TCP端口保护设置

页面提供了针对每个端口的独立设置参数,用户可根据某种端口的服务类型更改相应的处理策略。页面如下图所示:

1) 端口保护列表
1. 端口/结束端口
显示设置防护的端口范围
,默认针对“0-65535”端口进行防护。
2. 攻击检测
显示设置端口的连接攻击检测频率数值,
max 表示无限大。
3. 连接限制
显示设置端口的连接数量限制数值,
max 表示无限大。
4. 检测权重
显示设置端口的踢出
/探测权重的数值。
5. 防护模块
显示设置端口启用的防护模块类型,
default 为默认防护。
6. 附加模式
显示设置端口启用的防护标志有哪些,默认仅启用
超时连接模式。

2) 添加端口防护相关参数
1. 开放端口范围
用于设置指定端口,可以是一个端口也可以是一个端口范围。
2. 攻击频率检测
用于自动启用
TCP 防护插件。设置该参数后,当主机与该端口范围的 TCP 连接频率超过设置数值,
该主机将自动进入
TCP 防护模式,设置的插件将被启用,当连接频率小于该数值后一段时间,该主机将
自动取消
TCP 防护模式。
注:在主机设置页面手工设置 TCP 防护不会自动取消。
3. 连接数量限制
限制每个客户端允许与主机建立的连接数量,超出设置数量该连接被屏蔽。一般来说,
Web 服务应
将此数值保持为空即为不限制,而其它对连接数量依赖较小的服务可设置合适的数值来避免主机在单一
客户上耗费过多资源。
4. 踢出/探测权重
限制每个客户端允许与主机建立空连接的数量,超出设置限制该连接被屏蔽。建议设置值
20/10
5. 协议类型选择
用于设置指定协议类型,可设定接收或拒绝某端口的访问协议。如对于某些需要拒绝
HTTP 协议的
端口(如受代理攻击的某些游戏),则应该在协议类型里选择
HTTP,然后不选择接受协议,则该端口
将拒绝
HTTP 协议的访问,相反如果选择了接受协议则表示接收 HTTP 协议。 安装目录中的 protocols.txt
文件记录了相关协议,默认给出 8 中协议,如下图:

书写格式利用正则表达式定义协议特征,此数据为建立 TCP 三次握手后,由客户端首先发送的数据
特征,可以手工添加,添加后重启软防,添加的协议会出现在协议类型选择中。
6. 防护模式
1) 超时连接
设置超时连接标志后,此端口建立的连接如果持续一段时间保持空闲,则该连接将被重置以释放资
源。此种策略对于某些应用可能造成连接数据中断的情况,此时应把相应端口设为禁止屏蔽。
2) 延时提交
设置此选项的端口,系统将无限缓存该连接,除非客户端有数据发送,或者该连接被重置。
3) 超出屏蔽
设置超出屏蔽后,客户端在此端口进行的访问如果如果连接数大于连接限制设置的数值,则此客户
端将被加入黑名单而屏蔽。
4) 关联信任
有些游戏使用登录器进行登录,打开登陆器后,登陆器会自动加载一个
web 页面,利用登陆器这个
机制可以设置游戏端口的关联信任防御,此防御需要向加载页面中添加代码,具体操作需要技术人员参
与配合。
5) 接受协议

可用于设置各端口指定接受的协议类型。
7. 防护模块插件
TCP 端口防护模块是针对特殊应用而开发的防护手段,主要包含三种:
1) 动态验证(WEB Service Protection
动态验证策略是金盾抗拒绝服务系统独有的、适用于
Web 服务的一种防护策略,是针对目前愈演
愈烈的
CC-HTTP Proxy 类攻击而开发的。应用此种策略的端口,系统将对进入的 HTTP 请求进行验证操作,
确保该请求来自正常的客户浏览行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单
进行屏蔽;动态验证模块,只对设置了
WebCC 保护模式的主机采用该验证策略,没有设置该保护模式
的主机不受影响。
金盾抗拒绝服务系统使用
WEB Plugin 来对 HTTP 类攻击进行防御。当客户端访问服务器时,WEB
Plugin
会返回脚本让客户端进行计算,然后客户端返回计算结果,如果结果正确,则通过插件验证,将
该客户端列入正常的用户列表,如果结果错误,则屏蔽此客户端
IP,攻击器无法解析脚本,无法完成验
证码的计算。
防御模块中选择
WEB 防御插件,参数一共有 5 个,后面的模块参数这里填写的是 258 10 10 1 10
每个参数的意义如下:
1. 参数 1:启用的验证模式。此值大于 256,表示对所有类型的页面进行验证
0 256:不执行跳转过程
1 257:一般验证模式,不需要手工干预。
2 258:复杂验证模式,不需要手工干预。
3 259:严格验证模式,打开网页时会出现点击进入的对话框,手工点击进入。
4 260:完美验证模式,需要配合验证服务器进行验证,打开网页时需要输入验证码。
2. 参数 2:对同一个页面的请求次数,如果超过次设置值,则该客户端将被屏蔽。
3. 参数 3:监测服务器回应,若超过次数值没有 304 Not Modified,则执行一次异常。
4. 参数 4:当第一个参数设置 3 259 时使用,打开网页时会有点击提示, 0 显示 点击继续访
1 显示 “click to continue”
5.
参数 5:验证通过后,连接多少次(包括 HTTP 请求数据或 TCP 建立的连接数)以后,执行重新验证

2) 游戏保护(Game Service Protection
参数设置为
5 10 500 100
如果晚上反馈防御效果不行 就改为
5 10 1000 300
如果反映屏蔽严重 参数就改为(先释放屏蔽)
10 20 1000 300
3Misc 插件防御
Misc 插件主要用于防护游戏,Misc 插件可以自定义回复数据,分为两种情况,第一种为默认:0-ftp
1-smtp2-pop3。第二种是自定义:10-17,是 8 组自定义回复策略,用于建立连接后服务器首先发送固
定数据给客户端,然后客户端回复固定数据,需要在附加控制参数里,设置
misc.customdata,格式是:服务器回复数据:客户端回应的正则表达式,主要是用于游戏连接时,服务器先回复固定数据,然后客户端发送的第一个包的数据相同,可以设置最多 8 参数中的 10 代表 Misc Custom 中的第一组数据
此时代表建立连接后服务器先发送固定数据,为 00011231,然后客户端回应数据的开始两个字节为1603。如果建立三次握手后,不符合设置数据格式,将被屏蔽。
模块插件参数
填写插件相关参数,具体参数及意义以上已经介绍,这里不再介绍。
4TCP 防护插件开启方法
共有两种方法,第一种为自动开启,即主机
IP 的每秒新建 TCP 连接数超过连接攻击检测设置数值时,
插件会自动开启,另一种是手动强制开启,即在状态监控页面,选中相应
IP,然后点击右键,可以强制开启或关闭相应插件

UDP端口保护

1) 端口保护列表
1. 端口起始/终止
显示设置防护的端口范围
,默认针对“0-65535”端口进行防护。
2. 攻击检测
显示设置端口的连接攻击检测数值,
max 表示无限大。
3. 报文限制
显示设置端口的报文频率限制数值,
max 表示无限大。
4. 防护模块
显示设置端口启用的防护模块类型,
default 为默认防护。
5. 附加模式
显示设置端口启用的防护标志有哪些,默认仅启用
开放端口模式。
2) 添加端口防护相关参数
添加
UDP 端口保护中的各项参数除了防护模式外,其他含义同“TCP 端口保护设置页面。
1. 防护模式
a 开放端口
指设备会允许此端口的连接,如果没有选,设备就拦截外网进来的连接此端口的数据。
b 同步连接
选中后,此端口(或范围)先得有 TCP 连接才会接受 UDP 连接,否则拦截 UDP 的数据包。
c 延时提交
此选项主要用于防护
DNS-flood,即丢弃 client 发过来的第一次 DNS 请求,这个和 TCP 延时提交的
意思不一样。
d 验证 TTL
检测 UDP 包中的 TTL 值是否不一样(对 udp 数据的 ip 头部 ttl 进行统计,如果某个数值的 ttl 频率过
高会进行屏蔽,可在一定程度上防御
udp 类攻击)的。
2. 协议类型选择
此处添加方式和
TCP 一样,只不过开头是 UDP,且此处选择即接受协议,与 TCP 的协议控制有所差
别。
3. 防护模块插件&防护插件参数
UDP 插件由于不常使用,此处不再进行介绍。

分类: 博客