伪造源地址攻击的解决方法力量

滴滴打车不仅要应对政策的影响 黑客机器向受害主机发送大量伪造源地址的TCP SYN报文，占用安全关的NAT会话资源，最终将安全关的NAT会话表占满，导致局域内所有人无法上。这就是伪造源地址攻击。

【快速查找】在WebUI系统状态NAT统计NAT状态，可以看到IP地址一栏里面有很多不属于该内IP段的用户：

在WebUI系统状态用户统计用户统计信息，可以看到安全关接收到某用户（192.168.0.67/24）发送的海量的数据包，但是安全关发向该用户的数据包很小，依此判断该用户可能在做伪造源地址攻击：

【解决办法】

1、将中病毒的主机从内断开，杀毒。

2、在安全关配置策略只允许内的段连接安全关，让安全关主动拒绝伪造的源地址发出的TCP连接：

1）WebUI高级配置组管理，建立一个工作组all（可以自定义名称），包含整个段的所有IP地址（192.168.0.1--192.168.0.254）。

注意：这里用户局域段为192.168.0.0/24，用户应该根据实际使用的IP地址段进行组IP地址段指定。

2）WebUI高级配置业务管理业务策略配置，建立策略pemit（可以自定义名称），允许all工作组到所有目标地址（0.0.0..255.255.255）的访问，按照下图进行配置，保存。