网管支招:从路由下手与内网服务抢带宽(1)(6)
5)从访问控制列表入手封杀外网Ddos攻击:
在笔者一次实际网络管理与维护中发现企业内部一台路由器速度运行异常缓慢,访问连接该路由器下的服务器需要等待很少时间才能够显示页面。为了查明原因笔者登录该路由器执行sh arp后发现有很多来自外网的连接请求,而这个服务器上的资源只针对内网提供。如图13)
笔者怀疑正是因为这些外网连接请求作怪造成路由器运行速度缓慢转发效能降低而直接导致访问服务器等待时间过长。经过调试和思考笔者决定从WWW服务入手禁止外网的连接请求,经过查询原有访问控制列表没有发现关于WWW服务的过滤信息。如图14)
因此笔者决定在原有的访问控制列表Accesslist上添加了如下语句——如图15)
access-list 100 permit tcp 58.125.0.0 0.0.1.255 any eq www access-list 100 deny tcp any any eq www |
添加语句并在对应端口上应用后外部网络连接被全部过滤掉,我们的内网客户端可以顺利的访问该服务器,一切恢复正常。
小提示:
上面两句访问控制列表实际上的作用是容许源地址属于58.125.0.0/255.255.0.0这个网段的机器访问目的地址WWW端口80端口),而禁止其他网段的机器访问目的地址的WWW端口,从而实现了只容许内网用户访问禁止外网恶意攻击的功能。
评论暂时关闭