TMG Forefront 仅适用于 windows server 2008 或 2008R2 - 不适用于 windows server 2012。

如何缓解 windows server 2012R2 - Flood 攻击、http 攻击？

请帮助如何构建windows server 2012R2

Maximum TCP connect requests per minute per IP address   600 (custom: 6,000)
Maximum concurrent TCP connections per IP address        160 (custom: 400)  
Maximum half-open TCP connections (non-configurable)     80  
Maximum HTTP requests per minute per IP address          600 (custom: 6,000)  
Maximum new non-TCP sessions per minute per rule         1,000  
Maximum concurrent UDP sessions per IP address           160 (custom: 400)  
Specify how many denied packets trigger an alert         600  

感谢您的帮助（全部）

我最近在我们的学校网络上遇到了麻烦。浏览互联网时，用户通常会从浏览器收到一条错误消息，说“没有互联网 DNS_PROBE_FINISHED_NXDOMAIN”，但是当他们刷新页面时会加载。起初我怀疑我们的 dns 服务器，因为页面无法解析。我尝试了几种不同的方法，但没有发现任何区别。我打电话给我们的供应商，但他们说有大量的网络流量被发送到调制解调器。

在监控网络流量时，几乎总是有几台计算机发送大量数据包。它们似乎总是不同的计算机。我可以看到实验室中的计算机，通常是学生没有打开浏览器运行 Mavis Beacon 或其他不使用互联网的东西。我们所有的计算机都运行 Windows 10。流量总是来自某些内容交付网络，例如 akamiedge、amazonaws 或 edgecastcdn。

我曾尝试研究过这个问题，但大多数人说这些是微软用来下载更新的无害内容交付网络。我已将所有学校计算机设置为接收来自带有 WSUS 的 Windows Server 2012 R2 的所有更新，因此他们不应该从 Microsoft 下载任何更新。

我有一个 Netgear ProSAFE 防火墙，它设置了 Block TCP 和 UDP Floods，使其保持默认限制。我曾尝试检查某些 pc 上的后台进程以了解网络使用情况。Chrome 一直在使用大约 0.1mbps，有些以及“来自 Microsoft 后台任务主机”和“来自 microsoft 下载\上传主机”。Adobe 有一些背景资料，但并非所有计算机都安装了这些资料。

我不知道该尝试什么并担心服务器或路由器上的一些广告软件，因为这种流量似乎来自所有计算机。大约一个月前突然发生了这种情况，我无法追踪到任何特别的事情。将不胜感激任何建议。谢谢！

我的网络上有一个单播泛滥问题，这始于我将一些软件移动到虚拟化来宾。它似乎与此处报告的内容非常相似：Switch flooding when bonding interfaces in Linux。这个问题可以追溯到 2012 年......所以也许现在有更好的解决方案，也许是在 Linux/KVM 方面。

在下文中，我将尝试解释我执行的架构和故障排除步骤。我希望有人能给我一些提示，也许是一个解决方案！提前致谢！

建筑学

服务器

带有 PROXMOX 4.1 和多个 Windows 虚拟机的 Linux 主机。

主机有 4 Gbit 以太网接口（MAC 地址为 A、B、C 和 D），使用 balance-tlb 方法绑定。

然后将绑定桥接到虚拟机。因此，每个 VM 都有自己的 MAC 地址（MAC 地址为 X、Y、Z...）。

托管在虚拟机上的软件与现场的许多设备进行交互。

网络

服务器连接到瞻博网络交换机，然后连接到广泛的思科网络。一切都是2级。

问题

在思科网络上，我不时看到单播风暴。似乎他们每 5 分钟或多次开始。我分析了流量，突然发现从某些设备到某个虚拟机的流量（反之亦然）被复制到交换机的所有物理端口（在同一个 VLAN 上）。几秒钟后问题就单独解决了。

主意

阅读Cisco文档（关于单播泛洪和MAC“老化时间”）以及上述链接，我发现问题可能是由于虚拟机的MAC地址在网络上出现的频率不高，所以之后在一定的“老化时间”之后，交换机开始将此类流量转发到所有端口，直到它们发现主机所在的位置。

故障排除

我在网络上连接了一台笔记本电脑，并开始从一个虚拟机 ping 它。我嗅了嗅笔记本电脑上的数据包。

从这里我可以看到：

• 来自虚拟机的 ARP 请求，使用它自己的 MAC 地址作为 MAC 源（比如说 X）

• 来自笔记本电脑的 ARP 回复，将其自己的 MAC 地址 (L) 用作 MAC 源，并将 VM MAC 地址 (X) 用作目标

• 来自虚拟机的 ping 请求，使用绑定的物理以太网端口的 MAC 地址之一（A、B、C、D，并在其中三个之间不时切换）作为 MAC 源并作为 MAC 目标 L

• ping 来自笔记本电脑的回复，使用 MAC 源 L 和 MAC 目标虚拟机 MAC 地址 (X)

基本上，除了第一个 ARP 请求外，虚拟机似乎永远不会以自己的 MAC 地址 (X) 出现在笔记本电脑上，但总是以 A、B、C 或 D（随时间变化）出现。但是，笔记本电脑总是响应 X。

解决方案？

我读到在 balance-tlb 模式下可以根据负载从不同的接口发出流量。但是，我认为这种行为与虚拟机出现在网络上并带有正在使用的物理接口的源 MAC 地址这一事实可能会产生我报告的问题。

如果这是正确的，是否有人知道是否有办法始终强制每次通信使用 VM 自己的 MAC 地址？（例如，它已经发生在 ARP 请求中）或者解决方案可能在其他地方？

我以为我可以设置 Windows 虚拟机每 3 分钟重置一次 ARP 表......但这对我来说似乎有点太暴力了...... :)

再次感谢任何帮助！

编辑：我确认如果在洪水事件期间我快速登录到相应的 VM 并发出 ARP 表重置，我会看到来自 VM 的新 ARP 请求（将其自己的 MAC 地址告诉网络）并且风暴立即停止。

在我们的 Linux 服务器上，我们不时会收到众所周知的 SYN 洪水消息：

possible SYN flooding on port 80

这可能不是攻击，因为网站流量很大。

然而，从某个时候开始，这些消息开始每隔约 60 秒出现一次。我的意思是：

Aug 16 01:22:44 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:23:45 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:25:05 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:26:06 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:27:13 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:28:13 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:29:14 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:30:39 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:31:41 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:32:53 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:33:57 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:35:03 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:36:27 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:37:30 amadeus kernel: possible SYN flooding on port 80. Sending cookies.
Aug 16 01:38:44 amadeus kernel: possible SYN flooding on port 80. Sending cookies.

这只是偶然吗？由于流量，我不会担心大量“可能的 SYN 泛滥”消息，但这些消息每 60 秒一次。

这是我们在 /etc/rc.local 中的自定义设置

# 3M
echo 3145728 > /proc/sys/net/netfilter/nf_conntrack_max

# 256k
echo 262144 > /proc/sys/net/ipv4/tcp_max_orphans

echo 1048576 1572864 4194304 > /proc/sys/net/ipv4/tcp_mem

# Neighbour Table Overflow
echo  4096 > /proc/sys/net/ipv4/neigh/default/gc_thresh1
echo  8192 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
echo 16384 > /proc/sys/net/ipv4/neigh/default/gc_thresh3

echo 1 > /proc/sys/net/ipv4/tcp_tw_reuse
echo 1 > /proc/sys/net/ipv4/tcp_tw_recycle

# Disable ip_forward
echo "0" > /proc/sys/net/ipv4/ip_forward

# Enable SYN Cookies
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

echo 40 > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_syn_recv

（对不起，如果这个问题是重复的，但我没有发现任何类似的问题）。

我们有一个带有固态驱动器的 linux 服务器 (Debian-Lenny)，没有经典硬盘。他用作路由器，因此流量仅用于转发。

我们希望监控连接以找到一些同步泛洪。Netstat 可以帮助我们，但是我们有很多流量，大约 150 Mbit/s，而在 '/proc/net' 中查看的 netstat 会阻止流量，所以这不是我们可以使用的方法。实际上，我们使用带有“hashlimit-*”的 iptables 规则来验证：从一个来源开始，每分钟没有太多的连接。但不容易调整，因为对于我们背后的一些网络来说“太多”。

有人知道我们能做什么吗？

感谢您的帮助，