ISP 所面临的最大的挑战之一是跟踪和阻止denial of service(DoSattacks). 对付DoS attack 有三个步骤: intrusion detection, source tracking,and blocking. 本命令是针对source tracking。 1、配置举例:
" T. x% X# B6 s9 }1 }. o1 l 本例说明怎样在路由器上所有line cards/port adapters , 为了让每块line card or port adapter收集到主机 100.10.0.1(被攻击的机器)的数据流。两分钟后生成 log日志. 记录在log的数据包和流每60秒向GRP/RSP 导出以方便察看.
6 Y3 H6 f0 D( o8 d y8 }( Q8 U! f Router# configure interface! X' h% k) p! A4 m' p
Router(config)# ip source-track 100.10.0.1
g: A+ A5 t0 ^5 g$ ? Router(config)# ip source-track syslog-interval 2: p4 l7 y# Z, I* c7 a, }) K7 T
Router(config)# ip source-track export-interval 60 U5 i: T% R8 f. G; E+ \; C
显示到达源端口的攻击包的源地址及流量:+ G8 d! C: B% ?" N/ z: w. b
Router# show ip source-track
4 M2 P5 M4 O m e* `& z: } Address SrcIF Bytes Pkts Bytes/s Pkts/s
$ ]7 v3 W5 b: |* Q8 x1 A 10.0.0.1 PO2/0 0 0 0 0" t9 h K; H) I, W7 t' S0 C
192.168.9.9 PO1/2 131M 511M 1538 6
( Y0 ]( F, h9 s! L2 B" q; M1 g4 B( s 192.168.9.9 PO2/0 144G 3134M 6619923 143909
# k& t4 Q' w# s 显示所有攻击源条目:2 m0 O" V3 `6 J+ @
Router# show ip source-track summary5 a2 g/ B% P5 P" D0 O- c
Address Bytes Pkts Bytes/s Pkts/s- A2 P- A! k" Z% ^* L9 ?' x. H
10.0.0.1 0 0 0 06 i: R% o- _+ D; I# y
100.10.1.1 131M 511M 1538 64 j' a/ j) u! [0 S* I. w) f
192.168.9.9 146G 3178M 6711866 145908
+ S; h8 [) X. a7 C 2、Cisco IOS feature 配置 TCP Intercept (防止 Denial-of-Service Attacks)& [5 k' H6 n H: K
配置路由器以保护服务器免收 TCP SYN-flooding attacks。0 n6 E b t9 g/ `1 H* g' r$ {$ e
以下配置定义了一个扩展access list 101,保护192.168.1.0/24网段的服务器:& _8 I2 E. V4 K5 s0 N# e
ip tcp intercept list 101/ J1 k: \; E* h$ B
access-list 101 permit tcp any 192.168.1.0 0.0.0.255! C- B9 V& F7 Q j6 ~
show tcp intercept connections 显示不完全和已建TCP连接 |
发表于 2012-8-3 20:20:19
