《配置预防DoS攻击的入口过滤》由会员分享,可在线阅读,更多相关《配置预防DoS攻击的入口过滤(6页珍藏版)》请在金锄头文库上搜索。
1、作者:风林来源: 风林的家 http:/221.199.150.103/jsj/Html/net/book/Router/ppp.htm日期: 2011/11/30配置预防DoS攻击的入口过滤作者:风林 来源:风林的家r DoS攻击概述拒绝服务攻击(DoS)是目前互联网上常见的攻击手段。DoS攻击方式有很 多种,最基本的DoS攻击是利用大量的合理服务请求来占用服务资源,使合 法用户无法得到服务的响应。而攻击报文多采用伪装源IP地址以防暴露其 踪迹。预防DoS攻击的方法之一就是在网络的接入设备上设置入口过滤,来限制伪 装源IP的报文进入网络,这样可以在攻击的早期防止DoS的发生,因而具 有较好的
2、效果。ISP可通过此项措施防止攻击进入Internet,局域网的网管 也有义务确保局域网不会成为此类攻击的发源地。锐捷交换机采用基于RFC2827的入口过滤规则来预防DoS攻击,该过滤采用 硬件实现,不会给网络转发增加负担。入口过滤的设置位置通常有两种:在三层交换机上配置DoS过滤在缺省情况下,3层交换机的预防DoS攻击的入口过滤功能是关闭的,配置 时,需要打开该服务。1、打开预防DoS攻击入口过滤的开关:模式:接口配置模式。命令:Switch(config-if)#ip deny spoofing-source这条命令用于打开指定接口的入口过滤开关。说明:1、这条命令只能用于3层口。2、过滤
3、开关打开后,系统会自动为该接口生成一个ACL, ACL的名称为 auto_defeat_dos_interfacelD 其中 interfacelD是接口名。假设这个 3 层口的IP地址是192.168.5.1/24,则生成的ACL的内容为:permit 192.168.5.0 0.0.0.255permit host 0.0.0.0deny any这个ACL会作用在接口的传入检查中,它只允许源地址和192.168.5.0匹配 的数据报传入,以及源地址为0.0.0.0的数据报传入(这种数据报是DHCP 请求报文),如果源地址是其它值,说明是伪造的,交换机会直接把它丢弃。3、你只能在和下层网段直
4、连的接口上配置过滤功能,不要在和上层网络相 连的接口(如Uplink 口)上配置过滤功能,这会导致源自Internet的各种 源IP报文无法进入该网段。4、如果在接口上有一个自定义的ACL,则它不能和过滤生成的ACL同时应 用。解决方法是不开启过滤功能,但在自定义的ACL中加入过滤用的语句。5、在设置了过滤功能后,如果修改了接口的IP地址,必须先关闭过滤功能 然后再打开,这样才能使入口过滤对新的地址生效。2、关闭入口过滤功能:模式:接口配置模式。命令:Switch(config-if)#no ip deny spoofing-source3、查看入口过滤配置:模式:特权模式。命令:Switch
5、#show access-group本命令用于查看ACL。配置举例1:在一个3层路由口上启用入口过滤功能。SwitchenableSwitch#configure terminalSwitch(config)#interface f0/3Switch(config-if)#no switchportSwitch(config-if)#ip address 192 168 301 2552552550Switch(config-if)#ip deny spoofing-sourceSwitch(config-if)#endSwitch#配置后会生成一个名为auto_defeat_dos_fast
6、ethernet_3的ACL,并且被 关联在f0/3的传入端,它会禁止源IP为192.168.30.0以外的数据报从此 接口进入交换机(DHCP请求报文除外)配置举例2:在一个3层SVI接口上启用入口过滤功能。SwitchenableSwitch#configure terminalSwitch(config)#interface vlan 2Switch(config-if)#ip address 192 168.120.1 255255255.0Switch(config-if)#ip deny spoofing-sourceSwitch(config-if)#endSwitch#配置后会生成一个名为auto_defeat_dos_vlan_2的ACL,并且被关联在vlan 2的传入端,它会禁止源IP为192.168.120.0以外的数据报从此接口进入 交换机(DHCP请求报文除外)
