Default Threat Protection > 关于默认数据包处理选项 > 关于淹没攻击

关于 淹没攻击

在淹没攻击中,攻击者会向系统发送非常大的流量,从而导致该系统无法检查和允许批准的网络流量。 例如,当系统接收到过多 ICMP ping 命令而必须使用其所有资源来发送应答命令时,即发生了 ICMP 淹没攻击。 XTM 设备能够防护以下类型的淹没攻击:

淹没攻击也称为拒绝服务 (DoS) 攻击。 XTM 设备的默认配置会阻止淹没攻击。

可以使用 Fireware XTM Web UI 来更改该功能设置,或更改每秒钟允许的最大数据包数。

  1. 选择“防火墙 > 默认数据包处理”。
    将显示“默认数据包处理”页面。
  1. 选中或清除“淹没攻击”复选框。
  2. 单击箭头以为每个源 IP 地址选择每秒钟允许的最大数据包数。
    例如,若设置为 1000,如果 Firebox 每秒钟从该源接收到的数据包数超过 1000,Firebox 将阻止该源。
  3. 单击“保存”。

关于 SYN 淹没攻击设置

对于 SYN 淹没攻击,您可以设置 XTM 设备对可能的 SYN 淹没攻击进行报告的阈值,但接收到选定数量的数据包时不会丢弃数据包。 达到选定阈值的两倍时,将丢弃所有 SYN 数据包。 对于选定阈值与选定阈值两倍之间的任何值,如果数据包的 src_IP、dst_IP 和 total_length 值与以前接收到的数据包相同,将总是丢弃该数据包。 否则,接收到的新数据包的 25% 将被丢弃。

例如,将 SYN 淹没攻击阈值设置为每秒 18 个数据包。 当 XTM 设备每秒接收到 18 个数据包时,它将向您报告可能发生 SYN 淹没攻击,但不丢弃任何数据包。 如果该设备每秒接收到 20 个数据包,将会丢弃接收到数据包的 25%(5 个数据包)。 如果该设备接收到 36 个或更多数据包,将丢弃最后 18 个或更多数据包。

另请参阅

关于 默认数据包处理选项

提供反馈  •   获得支持  •   全部产品文件  •   知识库