ISP 所面临的最年夜的挑战之一是跟踪和阻止denial of service(DoSattacks). 对于DoS attack 有三个轨范: intrusion detection, source tracking,and blocking. 本呼吁是针对source tracking。1、设置装备摆设举例:
& }; K# x6 E# u0 F 本例声名若何在路由器上所有line cards/port adapters , 为了让每块line card or port adapter收集到主机 100.10.0.1(被抨击袭击的机械)的数据流。两分钟后生成 log日志. 记其实log的数据包和流每60秒向GRP/RSP 导出以便利察看.
: o6 @( R( R* z" U' b" H1 z Router# configure interface
# [ v4 [5 r/ X( o' I% X Router(config)# ip source-track 100.10.0.1% D! q$ R9 v- a
Router(config)# ip source-track syslog-interval 2
0 t5 @& m0 L- G9 [ Router(config)# ip source-track export-interval 60- F( N B/ J& l/ J
显示达到源端口的抨击袭击包的源地址及流量:
" n1 j. o4 h+ J6 Z/ [2 b Router# show ip source-track
k. e* u( P V @9 ~5 I Address SrcIF Bytes Pkts Bytes/s Pkts/s0 w* D; x& g/ n8 S; x- ]7 P$ }& [
10.0.0.1 PO2/0 0 0 0 0, ^: e: i7 @* u% Z! g# F, R
192.168.9.9 PO1/2 131M 511M 1538 6/ M/ g8 c, Y2 G9 [' k
192.168.9.9 PO2/0 144G 3134M 6619923 143909( q% }+ l. V$ P2 T, T; k; M1 G
显示所有抨击袭击源条目:6 g, g: V+ @) A8 ?0 ]
Router# show ip source-track summary
" C' |7 z- Z/ \: c5 j Address Bytes Pkts Bytes/s Pkts/s
) p$ O/ a5 J1 [* ]3 y* [. D 10.0.0.1 0 0 0 06 K$ ]* C, d7 { | U" {8 \/ J
100.10.1.1 131M 511M 1538 6
6 _& C, u; N7 T8 a8 F9 m7 o) U 192.168.9.9 146G 3178M 6711866 145908
) o2 s+ e8 z7 l) h$ B! x2、Cisco IOS feature 设置装备摆设 TCP Intercept (防止 Denial-of-Service Attacks)
, W% T$ h$ l. U& N; G0 G9 `* a 设置装备摆设路由器以呵护处事器免收 TCP SYN-flooding attacks。- Z- t0 m3 b( F2 j3 g. t5 k) N( ]; [
以下设置装备摆设界说了一个扩展access list 101,呵护192.168.1.0/24网段的处事器:
' J; w k( d0 X0 I: U ip tcp intercept list 101
( b& I" {7 _: \& H8 _3 | access-list 101 permit tcp any 192.168.1.0 0.0.0.2554 K4 ~* P0 o/ ~1 r2 c0 c& Z
show tcp intercept connections 显示不完全和已建TCP毗连 |
发表于 2012-8-3 20:03:30
