免费注册 找回密码     

查看: 2509|回复: 0
打印 上一主题 下一主题

用tcp拦截在cisco路由器上防止被dos

[复制链接]

2万

主题

2万

帖子

3万

积分

管理员

Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

跳转到指定楼层
1
发表于 2009/11/30 11:49 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

发现有人dos某服务器,需要在服务器所在外的公网路由器做tcp拦截。步骤内详。
  1)定义一个acl,目的是要保护的机器:
access-list 101 per tcp any host 202.106.0.20

  由于没必要匹配源地址,一般的dos都伴随着地址欺骗,所以这里的source都是any.
  2)全局下开启tcp intercept.
ip tcp intercept list 101

  3)设置tcp拦截的模式,tcp拦截有两种模式一种是拦截,一种是监视。拦截模式像是一个找茬的流氓,看谁都不爽,见谁都打。监视模式是一个稍微理性一点的流氓,仅仅当别人在他家门口那片空地赌着不走的时候才大打出手(默认是30秒)。见谁都打,肯定累啊。我们要理性一点。
ip tcp intercept mode watch
ip tcp intercept watch-timeout 20

  4)另外tcp连接你也不能一辈子都让他连着。设置一个tcp超时时间,默认24小时,一般网中特殊服务的需要长连接的应用时候30分钟足咦
ip tcp intercept connection-timeout 1800

  5)对于最大半开连接的门限也是可以更改的。默认low 900,high 1100.
ip tcp intercept max-incomplete low 800
ip tcp intercept max-incomplete high 1000

  6)状态查看
show tcp intercept connecitons
show tcp intercept statistics

  ===================================
  他人观点:
  · tcp intercetp是防止syn攻击的,不是dos
  · syn攻击属于一种dos攻击,所以两个人都没说错,不过严格的说,还是应该说预防syn攻击,毕竟dos攻击不止syn这么一种
您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

QQ|Archiver|兴宁A8 ( 粤ICP备17110913号 粤公网安备44140202000139号)  

GMT+8, 2024/11/24 10:34

© 兴宁A8

手机绑定 兴宁A8支持手机、电脑、平板一站式访问!

快速回复 返回顶部 返回列表