日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

Cisco路由器防止分布式拒絕服務(wù)攻擊( 二 )

云知道


參考以下例子:
interface xy
rate-limit output access-group 2020 3000000 512000 786000 conform-action
transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
5、設(shè)置SYN數(shù)據(jù)包流量速率
interface {int}
rate-limit output access-group 153 45000000 100000 100000 conform-action
transmit exceed-action drop
rate-limit output access-group 152 1000000 100000 100000 conform-action
transmit exceed-action drop
access-list 152 permit tcp any host eq www
access-list 153 permit tcp any host eq www established
在實(shí)現(xiàn)應(yīng)用中需要進(jìn)行必要的修改,替換:
45000000為最大連接帶寬
1000000為SYN flood流量速率的30%到50%之間的數(shù)值 。
burst normal(正常突變)和 burst max(最大突變)兩個速率為正確的數(shù)值 。
注重,假如突變速率設(shè)置超過30%,可能會丟失許多合法的SYN數(shù)據(jù)包 。使用"show interfaces rate-limit"命令查看該網(wǎng)絡(luò)接口的正常和過度速率,能夠幫助確定合適的突變速率 。這個SYN速率限制數(shù)值設(shè)置標(biāo)準(zhǔn)是保證正常通信的基礎(chǔ)上盡可能地小 。
警告:一般推薦在網(wǎng)絡(luò)正常工作時(shí)測量SYN數(shù)據(jù)包流量速率,以此基準(zhǔn)數(shù)值加以調(diào)整 。必須在進(jìn)行測量時(shí)確保網(wǎng)絡(luò)的正常工作以避免出現(xiàn)較大誤差 。
另外,建議考慮在可能成為SYN攻擊的主機(jī)上安裝IP Filter等IP過濾工具包 。

6、搜集證據(jù)并聯(lián)系網(wǎng)絡(luò)安全部門或機(jī)構(gòu)
假如可能,捕捉攻擊數(shù)據(jù)包用于分析 。建議使用SUN工作站或Linux等高速計(jì)算機(jī)捕捉數(shù)據(jù)包 。常用的數(shù)據(jù)包捕捉工具包括TCPDump和snoop等 ?;菊Z法為:
tcpdump -i interface -s 1500 -w capture_file
snoop -d interface -o capture_file -s 1500
本例中假定MTU大小為1500 。假如MTU大于1500,則需要修改相應(yīng)參數(shù) 。將這些捕捉的數(shù)據(jù)包和日志作為證據(jù)提供給有關(guān)網(wǎng)絡(luò)安全部門或機(jī)構(gòu) 。
為了防止利用IP Spoofing手段假冒源地址進(jìn)行的DoS攻擊對整個網(wǎng)絡(luò)造成的沖擊 。主要配置在邊緣路由設(shè)備(即直接與終端用戶網(wǎng)絡(luò)互連的路由設(shè)備)上,根據(jù)用戶網(wǎng)段規(guī)劃添加源路由檢查 。
針對不同DDOS攻擊的端口進(jìn)行過濾,在實(shí)施時(shí)必須探測到DDOS攻擊的端口 。
! The TRINOO DDoS system
Router(Config)# access-list 113 deny tcp any any eq 27665 log
Router(Config)# access-list 113 deny udp any any eq 31335 log
Router(Config)# access-list 113 deny udp any any eq 27444 log
! The Stacheldtraht DDoS system
Router(Config)# access-list 113 deny tcp any any eq 16660 log
Router(Config)# access-list 113 deny tcp any any eq 65000 log
! The TrinityV3 System
Router(Config)# access-list 113 deny tcp any any eq 33270 log
Router(Config)# access-list 113 deny tcp any any eq 39168 log
! The SubSeven DDoS system and some Variants
Router(Config)# access-list 113 deny tcp any any range 6711 6712 log
Router(Config)# access-list 113 deny tcp any any eq 6776 log
Router(Config)# access-list 113 deny tcp any any eq 6669 log
Router(Config)# access-list 113 deny tcp any any eq 2222 log
Router(Config)# access-list 113 deny tcp any any eq 7000 log
Router(Config)# interface eth 0/2
Router(Config-if)# ip access-group 113 in
DDOS是利用TCP協(xié)議的漏洞, 目前沒有什么有效的手段防護(hù),筆者認(rèn)為最有效的方法就是拼資源, 其次可以加個firewall 。DDOS多是有目的的攻擊, 是很難防護(hù)的,基本上,路由器防范DoS攻擊的能力還是很弱的,盡管我們在路由器上采取了適當(dāng)措施,以上配置不建議在核心和匯聚層設(shè)備上實(shí)行 。碰到問題時(shí)一種快速的手段, 就是利用2分法, 快速的查出它的來源地址, 然后封掉它 。
因此,防止各種DoS攻擊是非常必要的 。用戶需要注重的是,以上介紹的幾種方法,對付不同類型的DoS攻擊的能力是不同的,對路由器CPU和內(nèi)存資源的占用也有很大差別,在實(shí)際環(huán)境中,用戶需要根據(jù)自身情況和路由器的性能來選擇使用適當(dāng)?shù)姆绞?。

推薦閱讀