ISP 所面临的最年夜的挑战之一是跟踪和阻止denial of service(DoSattacks). 对于DoS attack 有三个轨范: intrusion detection, source tracking,and blocking. 本呼吁是针对source tracking。1、设置装备摆设举例: 6 x+ t: I6 h& u( l! N. U
本例声名若何在路由器上所有line cards/port adapters , 为了让每块line card or port adapter收集到主机 100.10.0.1(被抨击袭击的机械)的数据流。两分钟后生成 log日志. 记其实log的数据包和流每60秒向GRP/RSP 导出以便利察看.
: D' M/ b% H/ g Router# configure interface; h+ V: @3 Q+ r4 @7 F
Router(config)# ip source-track 100.10.0.1
6 ^! u1 k! c2 c6 r, W9 E2 s Router(config)# ip source-track syslog-interval 2
" _- F+ Y6 e: C) c3 p! o" h Router(config)# ip source-track export-interval 609 [0 H3 e$ r' v8 i+ [6 o
显示达到源端口的抨击袭击包的源地址及流量:
0 T$ R f( V. S5 J1 J6 O Router# show ip source-track
' A( |' u/ _4 D- ] `% R Address SrcIF Bytes Pkts Bytes/s Pkts/s+ [3 f" ^$ W0 T+ |5 t+ @
10.0.0.1 PO2/0 0 0 0 0
$ R# Z) S; m% K2 n0 l# Y 192.168.9.9 PO1/2 131M 511M 1538 6: {9 X" A7 r' U _$ u
192.168.9.9 PO2/0 144G 3134M 6619923 1439091 {/ u. L: K- |' |
显示所有抨击袭击源条目:8 t1 ~- o/ P! B2 ~. @
Router# show ip source-track summary
. |$ n+ B. D& `8 T3 G+ v Address Bytes Pkts Bytes/s Pkts/s q( D7 F0 U [6 t
10.0.0.1 0 0 0 00 O S$ Z% w2 ?) @' R3 i
100.10.1.1 131M 511M 1538 6$ w, f/ f9 a; I( [; c* i" z+ R
192.168.9.9 146G 3178M 6711866 145908
! N, t: a" Y% w* D. E2、Cisco IOS feature 设置装备摆设 TCP Intercept (防止 Denial-of-Service Attacks) 0 W: ] p4 A+ s& l3 R4 ^5 p9 ]
设置装备摆设路由器以呵护处事器免收 TCP SYN-flooding attacks。
6 c2 f$ [, E3 V2 h6 e 以下设置装备摆设界说了一个扩展access list 101,呵护192.168.1.0/24网段的处事器:
. \% w6 R& V) G+ j7 I' o$ e2 G ip tcp intercept list 101# D! h; r; U' l! B5 Z( Q4 F
access-list 101 permit tcp any 192.168.1.0 0.0.0.2556 O: _- I* G# [- Q
show tcp intercept connections 显示不完全和已建TCP毗连 |