ISP 所面临的最大的挑战之一是跟踪和阻止denial of service(DoSattacks). 对付DoS attack 有三个步骤: intrusion detection, source tracking,and blocking. 本命令是针对source tracking。 1、配置举例:- C, l9 N: S4 @3 |
本例说明怎样在路由器上所有line cards/port adapters , 为了让每块line card or port adapter收集到主机 100.10.0.1(被攻击的机器)的数据流。两分钟后生成 log日志. 记录在log的数据包和流每60秒向GRP/RSP 导出以方便察看.- o! N& S' T! x: R4 ?& Q2 i1 A6 J t
Router# configure interface
; [* h# ?6 x4 f" O ?7 @ Router(config)# ip source-track 100.10.0.1. b% C. K1 E7 m! t
Router(config)# ip source-track syslog-interval 2
& U8 z. N2 o" o1 X Router(config)# ip source-track export-interval 603 |$ ?$ X' I+ Q A
显示到达源端口的攻击包的源地址及流量:& x+ p6 g- F* a: x
Router# show ip source-track" I3 @7 z: F* b
Address SrcIF Bytes Pkts Bytes/s Pkts/s6 u5 W$ g" }# `* \* M
10.0.0.1 PO2/0 0 0 0 0
" P+ m+ k/ |9 f/ q/ ~ 192.168.9.9 PO1/2 131M 511M 1538 6
% }- y4 R, t) s* @$ b A 192.168.9.9 PO2/0 144G 3134M 6619923 143909& {7 t# T! v L8 \4 L! i
显示所有攻击源条目:% S3 W9 W' O. e5 s
Router# show ip source-track summary. |9 C4 m }: a, f3 C% J! a
Address Bytes Pkts Bytes/s Pkts/s" n( B' ^+ e. Z3 e7 J+ o
10.0.0.1 0 0 0 0! n2 `. g% y+ W! ?6 y0 h1 }
100.10.1.1 131M 511M 1538 6* @6 `% Y5 t5 r; J8 W k/ F4 Y
192.168.9.9 146G 3178M 6711866 145908
* P+ h1 q) ~# F4 B0 } 2、Cisco IOS feature 配置 TCP Intercept (防止 Denial-of-Service Attacks) i% x& G8 v1 |7 h' I! t( D
配置路由器以保护服务器免收 TCP SYN-flooding attacks。
- g, E9 k9 ]! S# D0 v: H% u+ l& z5 U 以下配置定义了一个扩展access list 101,保护192.168.1.0/24网段的服务器:( F1 G& n# D+ d- ]; C4 o6 r! {4 A: A
ip tcp intercept list 101' d7 a2 G4 M1 F
access-list 101 permit tcp any 192.168.1.0 0.0.0.255
7 |) b% J: |/ l show tcp intercept connections 显示不完全和已建TCP连接 |