常见DDoS（含CC）防护设置

以下防护设置适用金盾硬件防火墙，金盾盒子防火墙。

根据中新金盾DDoS 攻击防御经验，目前 DDoS 攻击主要分为流量型攻击和连接型
(Connection-Flood,简称“CC”)攻击。对于流量型攻击金盾防火墙会采用深层次、细粒度检测算法，依据默认参数主动进行防御，不需要人为的设置复杂策略。其中需要注意 UDP_Flood 攻击要根据主机服务内容设定具体策略：一般在无 UDP 协
议服务的主机遇到此攻击时需让其触发“全局参数”里 UDP 保护或者封掉被攻击端口；有 UDP 协议服务的主机要保证不让其触发“全局参数”里的 UDP 保护，而设置“UDP 端口保护”、“规则设置”、“协议定义”、“DNS 插件”进行防御。对于连接型攻击，最常见的是网站和游戏攻击（游戏“登录器“也是使用 HTTP 协议传输）。中新金盾针对此类攻击均开发出了独创的、扩展性好的插件进行防御。在使用时请先针对被攻击的端口设置插件参数，再打开主机列表，选择已经设置的“TCP 端口保护”集合并启用插件。

一：常见 DDOS 攻击类型及防御设置

1.1 流量型攻击

SYN_Flood 攻击
在流量型攻击中，SYN_FLOOD（同步“泛洪”攻击）是最常见的攻击方式之一。如下图所示，此主机正在遭受 SYN_FLOOD 攻击。从主机状态看，其受到的 SYN 攻击频率超出了全局参数中的《 SYN Flood 保护》，则主机会自动进入[SYN]模式防御，此时金盾硬件防火墙会主动采取内置的防护算法，直接拦截掉攻击流量，保证应用服务的正常。

ACK_Flood 攻击
如下图所示，此主机正在遭受 ACK_FLOOD 攻击，ACK 数值已超出全局参数《ACK&RST Flood 保护》，则此主机会自动触发保护而过滤掉此种攻击。
这里建议使用默认值，实际中可根据具体应用来做调整。若确定此主机遭受 ACK_FLOOD，但攻击量小于“全局参数”默认值 10000，请将此参数调小，触发[ACK]模式后，即可将攻击过滤掉，且不影响正常的客户端访问。

UDP_Flood 攻击
如下图所示，此主机正遭受 UDP_FLOOD 攻击。从左边主机状态看，攻击频率超出了“全局参数”《UDP 保护触发》，则此主机会自动触发 UDP 模式防御，中新金盾系统将会直接拦截所有 UDP 报文。但若此主机有 UDP 业务，则还需设置“UDP 端口保护”来达到完美防护。