cisco路由器上配置TCP拦截

 大家先回顾一下我之前发的“ACL中的established选项”中关于TCP的内容。

之前说过,TCP建立连接的三次握手过程中,一方向另一方发送的第一个报文设置了SYN位,当某台设备接收到一个请求服务的初始报文时,该设备响应这个报文,发回一个设置了SYN和ACK位的报文,并等待源端来的ACK应答。那么,如果发送方并不回复ACK,主机就会因为超时而结束连接。当主机在等待这个连接超时的过程中,连接处于半开(Half-open)状态,半开连接消耗了主机的资源。在等待三次握手过程中耗尽主机资源就形成了SYN攻击,尤其是将成千上万的SYN发往某台主机,则该主机将很快崩溃掉。

这时我就需要在路由器上配置TCP拦截(TCP intercept)来防止这种攻击了。

在TCP连接请求到达目标主机之前,TCP拦截通过对其进行拦截和验证来阻止这种攻击,也就是说,路由器会代替主机进行连接。

TCP拦截(TCP intercept)可以在两种模式上工作:拦截和监视。在拦截模式下(intercept mode),路由器拦截所有到达的T C P同步请求,并代表服务器建立与客户机的连接,并代表客户机建立与服务器的连接。如果两个连接都成功地实现,路由器就会将两个连接进行透明的合并。路由器有更为严格的超时限制,以防止其自身的资源被S Y N攻击耗尽。在监视模式下(watch mode),路由器被动地观察half-open连接的数目。如果超过了所配置的时间,路由器也会关闭连接。ACL则用来定义要进行TCP拦截的源和目的地址。www.3lian.com

基本配置命令:

ip tcp intercept mode {intercept/watch} '设置TCP拦截的工作模式,默认是intercept。

ip tcp intercept list ACL编号 '调用ACL(扩展的)用来定义要进行TCP拦截的源和目的地址。

其他命令:

当一个路由器因为其所定义的门限值被超出而确认服务器正遭受攻击时,路由器就主动删除连接,直到half-open的连接值降到小于门限值。默认关闭的是最早的连接,除非使用了“ip tcp intercept drop-mode random”命令(随机关闭半开连接)。当所设置的门限值被超时时,路由器进行下面的动作:

1) 每一个新的连接导致一个最早的(或随机的)连接被删除。

2) 初始的重传超时时间被减少一半,直到0.5秒。

3) 如果处于监视模式,则超时时间减半,直到15秒。

有两个因素用来判断路由器是否正在遭受攻击。如果超过了两个高门限值中的一个,则表明路由器正遭受攻击,直到门限值已经降至两个低门限值以下。下面显示了有关的参数及其默认值,并对其加以简单描述。

1) ip tcp intercept max-incomplete high number 1100

在路由器开始删除连接之前,能够存在的half-open连接的最大数目。

2) ip tcp inercept max-incomplete low number 900

在路由器停止删除half-open连接之前,能够存在的最大half-open连接数目。

3) ip tcp intercept one-minute high number 1100

在路由器开始删除连接之前,每分钟内能存在的最大half-open连接数目。

4) ip tcp intercept one-minute low number 900

在路由器停止删除连接之前,每分钟内能存在的最小half-open连接数目。

half-open连接总数与每分钟half-open连接的数量比率是相联系的。任何一个最大值到达,T C P拦截就被激活并且开始删除half-open连接。一旦TCP拦截被激活,这两个值都必须下降到TCP拦截的低设置值,以便停止删除连接。

注意:

拦截模式下,路由器响应到达的SYN请求,并代替服务器发送一个响应初始源IP地址的SYN、ACK报文,然后等待客户机的ACK。如果收到 ACK,再将原来的SYN报文发往服务器,路由器代替原来的客户机与服务器一起完成三次握手过程。这种模式会增加路由器的内存和CPU的额外开销,并且增加了一些初始会话的延时。

在监视模式下,路由器允许SYN请求直接到达服务器。

如果这个会话在30秒钟内(默认值)没有建立起来,路由器就给服务器发送一个RST,以清除这个连接。

时间: 2024-11-03 21:36:13

cisco路由器上配置TCP拦截的相关文章

在CISCO路由器上配置NAT功能

随着internet的网络迅速发展,IP地址短缺已成为一个十分突出的问题.为了解决这个问题,出现了多种解决方案.下面几绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能. 一.NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请.在网络内部,各计算机间通过内部的IP地址进行通讯.而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的

Cisco路由器上配置VRF-aware Site-to-Site IPsec VPN的实例

本站之前通过场景实例向大家展示了用Virtual Routing and Forwarding (VRF,虚拟路由转发)将一个路由器分割成八个虚拟路由器的方法.当时我向大家演示了如何配置VRF,在本文中我们继续使用这个场景,并通过IPsec配置,将完全一致的拓扑结构和地址复制到八个实验环境.整个环境能够顺利进行,首先需要带有ASA的虚拟路由与Cisco 路由器建立VPN.这需要 VRF参与的IPsec.因此我需要一种方法能够实现完全一致的 isakmp 策略,一致的pre-shared keys

在cisco路由器上配置802.1x认证

通过配置802.1x认证有哪些用处呢?本文主要从802.1x的认证配置和实现详细的讲述了配置原理和应用过程.同时对于配置的操作给出了配置命令.要使用基于端口的认证,则交换机和用户PC都要支持802.1x标准,使用局域网上的可扩展认证协议(EAPOL),802.1x EAPOL是二层协议,如果交换机端口上配置了802.1x, 那么当在端口上检测到设备后,该端口首先处于未认证状态,端口将不转发任何流量(除了CDP,STP和EAPOL),此时客户PC只能使用EAPOL协议与交换机通信,我们需要再客户P

Cisco路由器上配置pppoe拨号

Router#show run Building configuration... Current configuration : 1115 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Router ! no logging on enable secret 5 $1$oyeO$b.DP73YbQ

cisco路由器配置TCP拦截的几个技巧

TCP建立连接的三次握手过程中,一方向另一方发送的第一个报文设置了SYN位,当某台设备接收到一个请求服务的初始报文时,该设备响应这个报文,发回一个设置了SYN和ACK位的报文,并等待源端来的ACK应答.那么,如果发送方并不回复ACK,主机就会因为超时而结束连接.当主机在等待这个连接超时的过程中,连接处于半开(Half-open)状态,半开连接消耗了主机的资源.在等待三次握手过程中耗尽主机资源就形成了SYN攻击,尤其是将成千上万的SYN发往某台主机,则该主机将很快崩溃掉. 这时我就需要在路由器上配

cisco路由器的配置命令

当谈到配置一台新的Cisco路由器,多数配置依赖于路由器的类型以及它将服务的用途.然而,每位管理员都有其自己的"正确"配置每台路由器的命令列表.笔者将和你分享他自己配置路由器的十条命令列表. 当谈到配置一台新的Cisco路由器,多数配置依赖于路由器的类型以及它将服务的用途.然而,有一些东西是你在每台新的Cisco路由器上都应该配置的. 有哪个命令的标准是你希望思科在每台路由器上都使用的吗?每位管理员都其自己的"正确"配置每台路由器的命令. 这是我认为你应该在每台路由

Cisco路由器上如何防止DDoS

Cisco路由器上防止分布式拒绝服务(DDoS)攻击的一些建议 1.使用 ip verfy unicast reverse-path 网络接口命令 这个功能检查每一个经过路由器的数据包.在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包.例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),

《IS-IS网络设计解决方案》一6.3 Cisco路由器上实现IS-IS SPF

6.3 Cisco路由器上实现IS-IS SPF IS-IS网络设计解决方案在特定的路由器平台上对某种协议的实现对网络操作者来说几乎是透明的,不同厂商的产品之间遵循标准以实现互操作性.特定厂商的协议实施细节及软件代码通常具有厂商的专利.但无论如何,一名网络工程师如果想要更好地了解特定平台上的IS-IS原理和操作方法,都要学习各种参数,如默认计时器.标志位.默认参数以及如何配置方面.此外,如ISO 10589和RFC 1195这类标准也提供了非常有用的指导.本节对Cisco路由器上IS-IS协议的

如何在Cisco Switch上配置IP

如何在Cisco Switch上配置IP Address和MAC Address的binding 内容提要: 目前,很多公司的内部网络,都采用了MAC地址与IP地址的绑定技术.下面我们就针对Cisco的交换机介绍一下IP地址和MAC地址绑定的配置方案. 说明: 目前,很多公司的内部网络,都采用了MAC地址与IP地址的绑定技术.下面我们就针对Cisco的交换机介绍一下IP地址和MAC地址绑定的配置方案. IP地址与MAC地址的关系: IP地址是根据现在的IPv4标准指定的,不受硬件限制长度4个字节