1、使用 ip verfy unicast reverse-path 收集接口呼吁
2 c, _0 B/ t7 _7 n [* _# q4 p 这个功能搜检每一个经由路由器的数据包。在路由器的CEF(Cisco ExpressForwarding)表该数据包所达到收集接口的所有路由项中,如不美观没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由寡领受到一个源IP地址为1.2.3.4的数据包,如不美观CEF路由表中没有为IP地址1.2.3.4供给任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。
0 [8 h- E0 X4 u4 M0 J 单一地址反向传输路径转发(Unicast Reverse PathForwarding)在ISP(局端)实现阻止SMURF抨击袭击和其它基于IP地址伪装的抨击袭击。这能够呵护收集和客户免受来自互联网其它处所的侵扰。使用Unicast RPF需要打开路由器的"CEF swithing"或"CEF distributedswitching"选项。不需要将输入接口设置装备摆设为CEF交流(switching)。只要该路由器打开了CEF功能,所有自力的收集接口都可以设置装备摆设为其它交流(switching)模式。RPF(反向传输路径转发)属于在一个收集接口或子接口上激活的输入端功能,措置路由寡领受的数据包。) A" f: ]0 x, A. A6 _
在路由器上打开CEF功能长短常主要的,因为RPF必需依靠CEF.Unicast RPF包含在撑持CEF的Cisco IOS 12.0及以上版本中,但不撑持Cisco IOS 11.2或11.3版本。6 R9 T3 }( I ^* C8 n; c; {
2、使用访谒节制列表(ACL)过滤RFC 1918中列出的所有地址
3 V J1 h5 t5 O2 n5 Q. S 参考以下例子:) ^8 P4 K2 }2 Z7 d x
interface xy% M" v/ {; [& S) }1 g) G
ip access-group 101 in- R2 b4 @* M$ L$ Y( N9 J& a0 x
access-list 101 deny ip 10.0.0.0 0.255.255.255 any! a! ?2 V$ j+ n: e; g7 r
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
( n5 W' R4 l4 f+ T) n access-list 101 deny ip 172.16.0.0 0.15.255.255 any
0 z: O& {" M' }- D+ v access-list 101 permit ip any any; K8 e) q# F) ]$ }3 W. k
3、参照RFC 2267,使用访谒节制列表(ACL)过滤进出报文
0 ^* u; E( j8 m/ W3 h% W/ Q 参考以下例子:
% C, w4 b, r9 G. F ?5 M0 Y. J2 x {ISP中心} -- ISP端鸿沟路由器 -- 客户端鸿沟路由器 -- {客户端收集}
0 R$ f" g# D' B2 a ISP端鸿沟路由器应该只接管源地址属于客户端收集的通信,而客户端拓馇则应该只接管源地址未被客户端收集过滤的通信。以下是ISP端鸿沟路由器的访谒节制列表(ACL)例子:# \( F' M t6 _' m
access-list 190 permit ip {客户端收集} {客户端收集掩码} any
! n& F4 E1 Q8 {, n6 a access-list 190 deny ip any any [log]8 s4 e3 n: R6 x0 i) ^) G
interface {内部收集接口} {收集接口号}9 Z- ~- g# ?, F* T5 ^6 ^
ip access-group 190 in0 c3 X4 a; @/ y8 U, @
以下是客户端鸿沟路由器的ACL例子:
( K: M+ D( h- t+ l+ I. i' A& d, I6 c access-list 187 deny ip {客户端收集} {客户端收集掩码} any$ Y0 ?6 U( ]+ H( C( i/ O
access-list 187 permit ip any any
' ?& F7 d1 z7 o access-list 188 permit ip {客户端收集} {客户端收集掩码} any
5 S" \. Q9 o" H' W c0 p1 T access-list 188 deny ip any any) S9 w3 {# T8 E/ ^
interface {外部收集接口} {收集接口号}( J y% H3 K9 }0 A1 b- K/ k
ip access-group 187 in
4 \' V0 r+ C" B5 [ l0 O ip access-group 188 out% f3 H' u! \9 r/ C& E
如不美观打开了CEF功能,经由过程使用单一地址反向路径转发(Unicast RPF),能够充实地缩短访谒节制列表(ACL)的长度以提高路由器机能。为了撑持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的收集接口并不需若是CEF交流接口。
; T! | }% |9 N 4、使用CAR(Control Access Rate)限制ICMP数据包流量速度
- t! [! w9 h& X l4 j/ s3 h' w 参考以下例子:
2 \7 Y9 n2 t+ b: t' O6 L# L interface xy' u7 Z6 \0 o* J) Z4 s" u0 U' y
rate-limit output access-group 2020 3000000 512000 786000 conform-action
' r2 P* u% E6 I" m, g) U transmit exceed-action drop
, T4 H, V. X6 t6 _ access-list 2020 permit icmp any any echo-reply
1 _& q& J t0 [. h D 请参阅IOS Essential Features 获取更具体资料。$ H- G4 D$ W: D2 a+ \
5、设置SYN数据包流量速度
+ h& |& L: M! ?* a interface {int}3 S& e5 {- T0 a6 z
rate-limit output access-group 153 45000000 100000 100000 conform-action' s$ V B$ {7 m6 T+ R7 X' R
transmit exceed-action drop
& E- C8 Z+ N) O1 c' U" }& x; O rate-limit output access-group 152 1000000 100000 100000 conform-action
# [7 L7 o4 z1 ^ transmit exceed-action drop8 l$ P$ z0 q; D, z" o: X2 ?
access-list 152 permit tcp any host eq www0 `( P) h' ]/ i! |
access-list 153 permit tcp any host eq www established/ \: g( } J$ e& W
在实现应用中需要进行需要的改削,替代:3 s3 q' z& o4 \, i& ~% ~' A% r
45000000为最大毗连带宽) p5 V' u- ^: K
1000000为SYN flood流量速度的30%到50%之间的数值。% e" I2 B' ~. m9 Q9 A
burst normal(正常突变)和 burst max(最大突变)两个速度为正确的数值。
2 ^; H! D- a- ?" D 注重,如不美观突变速度设置跨越30%,可能会丢失踪良多正当的SYN数据包。使用"show interfaces rate-limit"呼吁查看该收集接口的正常和过度速度,能够辅佐确定合适的突变速度。这个SYN速度限制数值设置尺度是保证正常通信的基本上尽可能地小。0 `+ C/ G, f3 p" X& }: c; `* z
警告:一般举荐在收集正常工作时测量SYN数据包流量速度,以此基准数值加根柢整。必需在进行测量时确保收集的正常工作以避免呈现较大误差。; e3 \+ q# }2 g7 ^* n; p3 a1 L9 |
此外,建议考虑在可能成为SYN抨击袭击的主机上安装IP Filter等IP过滤工具包。7 T: Q# u3 p+ e
6、汇集证据并联系收集平安部门或机构
8 E! _/ G8 h0 q9 _) ] 如不美观可能,捕捉抨击袭击数据包用于剖析。建议使用SUN工作站或Linux等高速计较机捕捉数据包。常用的数据包捕捉工具搜罗TCPDump和snoop等。根基语法为:
4 q, {) L2 a! b P tcpdump -i interface -s 1500 -w capture_file
) Y, X4 W3 R; u9 A# O snoop -d interface -o capture_file -s 15000 b" t9 ~) p/ `+ b3 l
本例中假定MTU巨细为1500.如不美观MTU大于1500,则需要改削响应参数。将这些捕捉的数据包和日志作为证据供给给有关收集平安部门或机构。 |
发表于 2012-8-3 20:28:11
