×

深信服社区»版块 安全类 下一代防火墙NGAF 关于DDOS防护-黑名单中的IP报文

关于DDOS防护-黑名单中的IP报文

查看数: 2253 | 评论数: 4 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2018-7-4 15:23

正文摘要:

防火墙版本:AF5.4 最近一周日志里出现大量的此类告警。源IP都是dns服务器(114.114.114.114等)。这是什么问题?误报吗?如何关闭。

回复

“简” 发表于 2018-7-4 16:59
启用恶意域名重定向
多简单 发表于 2018-7-4 15:45
dns 出现可能是误判 因为之前就出现过误判#
zhb 发表于 2018-7-4 15:36
试试这个配置
AF记录DNS服务器被识别为僵尸主机,该如何配置定位出内网感染僵尸网络的PC?
①以标准版本AF7.3版本操作路径示例:在WEB控制台的【内容安全】-【僵尸网络】-【高级配置】中勾选“启用恶意域名重定向”
②以标准版本AF7.4版本操作路径示例:在WEB控制台的【策略】-【安全策略】-【安全防护策略】-【高级设置】-【僵尸网络高级设置】中勾选“启用恶意域名重定向”
扫地僧 发表于 2018-7-4 15:30
麻烦检查下
DOS攻击配置了IP扫描或端口扫描防护,当某个源IP被判定存在扫描行为时,会自动将该IP列入“源IP黑名单”,若规则的“检测攻击后操作”为“阻断”时,在接下来的5分钟时间该源IP的包都将被丢弃。
在系统配置——全局放行中将114.114.114.114加入中放行。
qinpeng 发表于 2018-7-4 21:47
回复新手668978:楼主你好 这个阈值我不确定是不是很适用你那边的网络结构 不过可以肯定的是NGAF的DoS/DDoS防护的阀值需要根据具体业务情况来设置,没有统一的标准。你可以适当调大看看。