syn攻击导致isa2006断网问题

介绍解决方案之前我想有必要向大家简单介绍一下公司的网络结构：

光纤接入——》路由器（这里的路由器所尽的职责也就是单纯的路由职责了）——》ISA2004防火墙——》内部网络

故障情况：

公司内部上网时出现掉线情况，但是掉线情况分两种：一、QQ，网页等同时打不 开，但是故障持续时间很短，一般就5-15秒左右；二、QQ可以正常收发信息，但是网页打不开。ISA防火墙监视里面提示：受到SYN攻击，ISA开始保护网络；

解决过程：

第一步：根据ISA警报提示，首先我认为是内网里面感染病毒所以引起的，所以当下决定给内网所有的客户端全部安装赛门铁克的客户端，删除掉360安全卫士等免费的杀毒软件并设定PC客户端自动查杀病毒的时间；效果：掉线故障仍旧，ISA警报依然提示受到SYN攻击，ISA开始保护网络。

第二步

：由有短时掉线情况，所以把故障报修给了电信机房人员；当晚与电信人员在单独测试路由器没有发现掉线情况。利用测试器测试：路由器——防火墙网线情况3号线灯亮度微弱；抱着试一试的态度重新做了一条网线替代了原来网线；效果：

QQ，网页同时打不开的情况在第二天没有出现。但ISA依旧提示：受到SYN攻击，ISA开始保护内部网络；

第三步：由于ISA防火墙搭建以来运行一直很稳定，所以服务器操作系统与ISA 防火墙系统没有打上相关的补丁；为了进行确定故障来源：把所有的补丁全部打上，并进行病毒查杀（

打补丁之前一定要做好系统备份），效果：故障依旧；

第四步：

为了进一步找出故障来源，在防火墙布暑了抓包软件进行抓包判断（推荐大家使用：commview

或sniffer,局域网里面尽量不要使用PSP终结者等相关软件，容易带来负面效应）；

故障出现之后调看了抓包情况，发现内网当中一半以上的机器装有迅雷看看，暴风影音，PPS，PPLIVE等一些PSP软件。所以组织人员把迅雷，PPS等PSP软件卸掉；效果：以一个星期左右ISA防火墙不再提示受到SYN攻击，网络使用正常；

第五步：

好景不长，由于工作原因，内网中好多PC需要使用迅雷等软件，所以事后有一批PC终端又安装上了迅雷等PSP软件，故障在七天后再次出现；为了彻底解决SYN攻击ISA自动断开TCP/IP问题，最终把防火墙里面“自定义链接限制”的链接数改小，将连接数限制改为300和200，大家可以参考一下；效果：故障没有再次出现，但出现个别客户端由于疯狂使用迅雷等PSP软件自动断网情况，但对整体局域网来已经无大碍；

总结：

1、单位局域网是一个极易感染病毒的地方，身为管理员一定要定期对局域网内机器进行病毒查杀确保每个PC终端的健康；

2、系统补丁一定要及时打上，确保服务器自身的安全；

3、一些重要的网线比如：路由器——防火墙、中心交换机——子交换机的水晶头过段时间就重

新做一下吧，费不了多长时间。不然由于水晶头老化所带来的麻烦真的让人很头疼；以下是处理问题所参考的网址大家有兴趣可以看一下：

http://social.microsoft.com/Forums/zh-CN/isaserverzhchs/thread/f751b2c9-3ed1-419b-858d-c97cdb4accd2