Cisco路由器配置DoS攻击防御

路由器配置DoS攻击防御

网络工程师Cisco路由器配置DoS攻击防御
【实验名称】网络工程师 DoS攻击防御
【实验目的】 掌握如何在交换机上防范DoS攻击
【实验设备】
1. 交换机S2126G 1台
2. S3550-24 1台
3. PC 2台

【预备知识】

1. IP ACL
2. DoS攻击
3. 端口安全
【步骤与测试】
1、 搭建上图所示的实验环境;
2、 PC1对Web Server发起Syn Flood攻击;
3、 在S3550-24交换机上配置防Syn Flood攻击,交换机配置如下:
hostname S3550-24
vlan 1
ip access-list standard auto_defeat_dos_Fa0/1
permit 192.168.10.0 0.0.0.255
permit host 0.0.0.0
deny any
!
interface FastEthernet 0/1
no switchport
ip address 192.168.10.1 255.255.255.0
ip access-group auto_defeat_dos_Fa0/1 in

!
interface FastEthernet 0/2
no switchport
ip address 192.168.20.1 255.255.255.0
4、PC1对Web Server进行Syn Flood攻击
备注:
1.只有配置了网络地址的三层接口才支持预防DoS攻击的入口过滤功能。
2.用户打开指定三层接口的defeat DoS 入口过滤,系统自动为网络接口动态创建防止伪装源IP通过的ACL,并将其应用到三层接口入口。这类ACL具有特定的名称auto_defeat_dos_interfaceID,即以defeat_dos_开始,后面的斜体interfaceID指接口名。您自己定义的ACL请不要与此同名,否则使用入口过滤功能的命令 [no] ip deny spoofing-source可能导致您定义的acl被修改或删除。
例如:interface vlan 1上配置的网络地址为192.168.5.1/24,则如果在接口模式下配置ip deny spoofing-source,则会自动生成以下的ACL:
ip access-list standard auto_defeat_dos_vlan_1
permit 192.168.5.0 0.0.0.255
permit host 0.0.0.0 (该ACE是为了通过源地址为0.0.0.0的DHCP请求报文)
deny any
并且自动关联到该interface中:
interface vlan 1
ip access-group auto_defeat_dos_vlan_1 in

3.注意只能在直连(connected)接口配置该过滤,在和骨干层相连的汇聚层接口(即uplink口)上设置入口过滤,会导致来自于internet各种源ip报文无法到达该汇聚层下链的主机。
4.您只能在一个接口上关联输入ACL或者设置入口过滤,二者不能同时应用。如果您已经将一个接口应用了一个acl,再打开预防DoS的入口过滤,将导致后者产生的acl代替前者和接口关联。反之亦然。
如果您希望二者都能够工作,那么可以通过在您自己创建的ACL中手工加入defeat DoS需要的ACE。例如,在一个网络地址为192.168.5.3/24接口上增加一条允许有效IP通过的的ACE:
……(用户设定ACE)
permit 192.168.5.0 0.0.0.255
permit host 0.0.0.0
……(用户设定ACE)
deny any(丢弃其它报文)
注意ACE的设置顺序
5.ACL支持的模板数有限,如果设置了太多的不同前缀长度的网络接口,可能导致某些网络接口因ACL模板数不够而无法设置成功。在这种情况下系统会提示用户。
6.在设置基于defeat DoS的入口过滤后,如果修改了网络接口地址,必须关闭入口过滤然后再打开,这样才能使入口过滤对新的网络地址生效。同样,对SVI应用了入口过滤,SVI对应物理端口的变化,也要重新设置入口过滤。

 

成为第一个发表评论的人

发表评论

您的电子邮件地址不会被公开.


*