ISP 所面临的最大的挑战之一是跟踪和阻止denial of service(DoSattacks). 对付DoS attack 有三个步骤: intrusion detection, source tracking,and blocking. 本命令是针对source tracking。 1、配置举例:8 e" n2 i. c4 \; _4 W$ [- s
本例说明怎样在路由器上所有line cards/port adapters , 为了让每块line card or port adapter收集到主机 100.10.0.1(被攻击的机器)的数据流。两分钟后生成 log日志. 记录在log的数据包和流每60秒向GRP/RSP 导出以方便察看.
: s2 S' e, d8 d! i Router# configure interface
' q$ _$ _6 q, @/ r6 E Router(config)# ip source-track 100.10.0.1
, O8 j% ?( S: r; F' l Router(config)# ip source-track syslog-interval 2
5 S- d2 d0 t4 n4 L, w4 P5 a- m Router(config)# ip source-track export-interval 60
, `8 a9 J2 z ? 显示到达源端口的攻击包的源地址及流量:" _1 G4 F) x0 E& p M
Router# show ip source-track
7 x T7 X& v+ f8 `& S+ n# Z P( N Address SrcIF Bytes Pkts Bytes/s Pkts/s
/ L- s0 C: e0 ]+ H: G" ^ 10.0.0.1 PO2/0 0 0 0 0
: @, q* t( a, K7 s) ^ 192.168.9.9 PO1/2 131M 511M 1538 6
5 g( W8 X+ ?3 o2 d+ j 192.168.9.9 PO2/0 144G 3134M 6619923 143909
- j1 D3 e2 Y; E5 x* C. K# F 显示所有攻击源条目:; Q7 K6 d2 v) L4 s9 Z, O! h
Router# show ip source-track summary
: C* J. W5 q7 r+ q/ A) t Address Bytes Pkts Bytes/s Pkts/s9 N; ?0 v8 m* V5 u0 F" V
10.0.0.1 0 0 0 0/ U% y: r9 y. {
100.10.1.1 131M 511M 1538 66 K# R7 {& C' \
192.168.9.9 146G 3178M 6711866 1459081 T# e) p, k3 Q# ?, y
2、Cisco IOS feature 配置 TCP Intercept (防止 Denial-of-Service Attacks)( l# N: w- M O: @; p9 W+ _* H
配置路由器以保护服务器免收 TCP SYN-flooding attacks。
/ A2 {2 f7 D/ T0 } 以下配置定义了一个扩展access list 101,保护192.168.1.0/24网段的服务器:0 M8 P. w' m. f1 {3 F
ip tcp intercept list 101
4 j8 o' E6 T9 U: ? access-list 101 permit tcp any 192.168.1.0 0.0.0.255
# U& H5 a* P& t, F) Z! @ show tcp intercept connections 显示不完全和已建TCP连接 |
发表于 2012-8-3 20:20:19
