思科CCIE考试：TCP连接的建立

会计考友

　　一般情况下,TCP连接的建立需要经过三次握手的过程: 　　1.建立发起者向目标计算机发送一个TCP SYN数据包.
　　2.目标计算机收到这个TCP SYN数据包后,在内存中创建TCP连接控制块(TCB),然后向发送源回复一个TCP确认(ACK)数据包,等待发送源的响应.
　　3.发送源收到TCP ACK数据包后,再以一个TCP ACK数据包,TCP连接成功.
　　TCP SYN洪水攻击的过程:
% O' r: m; v1 h4 Y) `　　1.攻击者向目标设备发送一个TCP SYN数据包.
5 g+ i9 U; j9 Q$ ?9 t　　2.目标设备收到这个TCP SYN数据包后,建立TCB,并以一个TCP ACK数据包进行响应,等待发送源的响应.
　　3.而发送源则不向目标设备回复TCP ACK数据包,这样导致目标设备一致处于等待状态.
& h6 L) v, j" w% l3 c( k8 g9 {　　4.如果TCP半连接很多,会把目标设备的资源(TCB耗尽,而不能响应正常的TCP连接请求.,从而完成拒绝服务的TCP SYN洪水攻击.
　　TCP拦截特性可以防止TCP的SYN洪水攻击.TCP拦截特性的两种模式:
　　1.拦截(intercept):软件将主动拦截每个进站的TCP连接请求(TCP SYN),并以服务器的身份,以TCPACK数据包进行回复,然后等待来自客户机的TCP ACK数据包.当再次收到客户机的TCP ACK数据包后,最初的TCP SYN数据包被移交给真正的服务器,软件进行TCP三次握手,建立TCP连接.
　　2.监控(watch):进站的TCP连接请求(TCP SYN)允许路由器移交给服务器,但是路由器将对连接进行监控,直到TCP连接建立完成.如果30秒内TCP连接建立不成功,路由器将发送重置(Reset)信号给服务器,服务器将清除TCP半连接.
　　配置TCP拦截的步骤如下:
3 X9 f* k! P2 l" J+ }　　1.定义IP扩展ACL:
　　Aiko(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]]{deny|permit} tcp {source source-wildcard destination destination-wildcard}
　　2.启用TCP拦截:
  W! ~' f0 w9 h　　Aiko(config)#ip tcp intercept list {ACL}
2 z4 l9 K" T7 }6 `+ O　　3.定义TCP拦截模式,默认为拦截模式.可选:
. a3 n7 {4 b- D$ C! e8 F7 ?　　Aiko(config)#ip tcp intercept mode {intercept|watch}
　　定义TCP拦截的切断模式,默认为切断最老的TCP连接.可选:
　　Aiko(config)#ip tcp intercept drop-mode {oldest|random}

　　5.定义TCP拦截监控的超时时间,默认为30秒.可选:
　　Aiko(config)#ip tcp intercept watch-timeout {seconds}
　　6.定义即使TCP连接不再活动,系统管理TCP连接的时间长度.默认时间长度为24小时.可选:Aiko(config)#ip tcp intercept connection-timeout {seconds}
4 t2 g/ j7 h& W! d　　Monitoring and Maintaining TCP Intercepting
　　一些辅助性的命令:
  A! \& D/ w" H1 p' ~) N# J　　1.显示TCP连接信息:
　　Aiko#show tcp intercept connections
　　2.显示TCP拦截的统计信息:
2 q  J( ^3 y0 h- x: ?' X8 u" d7 c　　Aiko#show tcp intercept statistics