单位的代理服务器运行wingate服务,该服务器为双网卡,一块网卡连接联通宽带,一块网卡连接内部局域网,负责联通城域网用户访问公司局域网内OA服务器。最近用户反映,通过代理服务器登陆OA很困难。
检查发现,代理服务器宽带连接灯频繁闪烁,打开wingate的管理工具Gatekeeper,在Astivity窗口上看不断有各地的IP连接上来,并不断发生变化。但由于Wingate上做了严格设置,这些连接都没有被转发。
打开DOS命令窗口,输入netstat -a 命令查看网络连接情况,发现各地的IP都对Wingate的80端口处与监听状态(Time_wait),由此判断,代理服务器遭受到了DDOS攻击。各地的IP连接处与监听状态,使Wingate无法及时处理合法用户的正常连接,数据传输困难,OA页面打开困难或者下载不完全。
解决方法如下:
1.更改宽带IP地址使非法用户无法找到这台代理服务器。
2.更改Wingate的HTTP代理服务器端口,使非法用户无法对这台代理服务器80端口发起连接。
根据现场情况,我们采取了第二种方案,更改代理服务器端口为8080
实施效果:
用户访问OA系统正常,速度很快。代理服务器宽带连接灯仍然频繁闪烁,但非法用户已经无法和80端口建立起连接,对系统没有大的影响。Wingate管理工具Gatekeeper的Activity窗口没有不正常的连接出现。
一星期后,服务器款带连接灯停止频繁闪烁,互联网上对该服务器的攻击已经停止。
