客户一台S7506E日志中频繁报syn-flood攻击,但设备并未配置攻击检测与防御功能,咨询报日志的原因,及如何解决:
%Feb 20 19:12:11:006 2018 H3C SOCKET/6/TCP_SYNFLOOD: -Chassis=2-Slot=4; atckType(1016)=(05)SYN-flood; srcIPAddr(1017)=10.11.66.65; destIPAddr(1019)=10.11.66.4; atckSpeed(1047)=300; atckTime_cn(1048)=2018022122542
1、TCP攻击检测在设备上分两个模块,安全业务模块和TCP模块,两者独立;攻击检测与防御做在安全业务模块,现场未配置;TCP模块同时也会对报文进行检测,只要每秒超过300个就会打印TCP_SYNFLOOD,只做检测打印日志,不做其它动作,默认开启不能关闭或调整;
2、通过日志找到攻击源,避免终端发送大量TCP SYN报文解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作