4、使用CAR(Control Access Rate)限制ICMP数据包流量速率</p>参考以下例子:
5 G2 P! B% j" T% P* |interface xy) [' ~! I( k* [2 M2 u% X$ O, U9 `8 B
rate-limit output access-group 2020 3000000 512000 786000 conform-action) ~1 e c- J9 r7 t
transmit exceed-action drop& j8 G" ~6 S* `
access-list 2020 permit icmp any any echo-reply
$ N$ s) B, _8 w# {请参阅IOS Essential Features 获取更详细资料。
6 n) m( A5 c# u4 ?5、设置SYN数据包流量速率
) L2 B" C, h* j) | ~4 Cinterface {int}
7 ^8 `9 X L w7 Z3 J+ ^rate-limit output access-group 153 45000000 100000 100000 conform-action
: I3 s! `3 a4 e% Z; Ytransmit exceed-action drop
, w4 C% c9 B+ e; K- crate-limit output access-group 152 1000000 100000 100000 conform-action1 Y# E& y" c! L) K1 K
transmit exceed-action drop
/ V( ^& N: e6 v4 baccess-list 152 permit tcp any host eq www/ s/ M+ s2 }- n1 K6 b2 J
access-list 153 permit tcp any host eq www established
3 p" z# r% C# c2 g7 I: A4 U R" }在实现应用中需要进行必要的修改,替换:
/ r& Z* Y' z- n6 h, q* b: u5 v45000000为最大连接带宽; I& b, @( O- P
1000000为SYN flood流量速率的30%到50%之间的数值。/ M0 ` {- l# C% }- B, p# J- j
burst normal(正常突变)和 burst max(最大突变)两个速率为正确的数值。( j# Z$ K) x" D3 o. C8 o: Q
注意,如果突变速率设置超过30%,可能会丢失许多合法的SYN数据包。使用“show interfaces rate-limit”命令查看该网络接口的正常和过度速率,能够帮助确定合适的突变速率。这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。* G( G) l2 b$ Y& i& e! e
警告:一般推荐在网络正常工作时测量SYN数据包流量速率,以此基准数值加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差。
3 R3 H, ]% A( a2 }另外,建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。 |