激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        始創(chuàng)于2000年 股票代碼:831685
        咨詢熱線:0371-60135900 注冊有禮 登錄
        • 掛牌上市企業(yè)
        • 60秒人工響應(yīng)
        • 99.99%連通率
        • 7*24h人工
        • 故障100倍補償
        全部產(chǎn)品
        您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

        cisco路由器配置TCP攔截

        發(fā)布時間:  2012/5/28 10:28:37

        TCP建立連接的三次握手過程中,一方向另一方發(fā)送的第一個報文設(shè)置了SYN位,當某臺設(shè)備接收到一個請求服務(wù)的初始報文時,該設(shè)備響應(yīng)這個報文,發(fā)回一個設(shè)置了SYN和ACK位的報文,并等待源端來的ACK應(yīng)答。那么,如果發(fā)送方并不回復ACK,主機就會因為超時而結(jié)束連接。當主機在等待這個連接超時的過程中,連接處于半開(Half-open)狀態(tài),半開連接消耗了主機的資源。在等待三次握手過程中耗盡主機資源就形成了SYN攻擊,尤其是將成千上萬的SYN發(fā)往某臺主機,則該主機將很快崩潰掉。

        在TCP連接請求到達目標主機之前,TCP攔截通過對其進行攔截和驗證來阻止這種攻擊,也就是說,路由器會代替主機進行連接。這時我就需要在路由器上配置TCP攔截(TCP intercept)來防止這種攻擊了。

        TCP攔截(TCP intercept)可以在兩種模式上工作:攔截和監(jiān)視。在攔截模式下(intercept mode),路由器攔截所有到達的TCP同步請求,并代表服務(wù)器建立與客戶機的連接,并代表客戶機建立與服務(wù)器的連接。如果兩個連接都成功地實現(xiàn),路由器就會將兩個連接進行透明的合并。路由器有更為嚴格的超時限制,以防止其自身的資源被SYN攻擊耗盡。在監(jiān)視模式下(watch mode),路由器被動地觀察half-open連接的數(shù)目。如果超過了所配置的時間,路由器也會關(guān)閉連接。ACL則用來定義要進行TCP攔截的源和目的地址。

        基本配置命令:

        ip tcp intercept mode{intercept/watch}設(shè)置TCP攔截的工作模式,默認是intercept。

        ip tcp intercept list ACL編號調(diào)用ACL(擴展的)用來定義要進行TCP攔截的源和目的地址。

        當一個路由器因為其所定義的門限值被超出而確認服務(wù)器正遭受攻擊時,路由器就主動刪除連接,直到half-open的連接值降到小于門限值。默認關(guān)閉的是最早的連接,除非使用了“ip tcp interceptdrop-mode random”命令(隨機關(guān)閉半開連接)。當所設(shè)置的門限值被超時時,路由器進行下面的動作:

        1)每一個新的連接導致一個最早的(或隨機的)連接被刪除。

        2)初始的重傳超時時間被減少一半,直到0.5秒。

        3)如果處于監(jiān)視模式,則超時時間減半,直到15秒。

        有兩個因素用來判斷路由器是否正在遭受攻擊。如果超過了兩個高門限值中的一個,則表明路由器正遭受攻擊,直到門限值已經(jīng)降至兩個低門限值以下。下面顯示了有關(guān)的參數(shù)及其默認值,并對其加以簡單描述。

        1)ip tcp intercept max-incomplete high number 1100

        在路由器開始刪除連接之前,能夠存在的half-open連接的最大數(shù)目。

        2)ip tcp inercept max-incomplete low number 900

        在路由器停止刪除half-open連接之前,能夠存在的最大half-open連接數(shù)目。

        3)ip tcp intercept one-minute high number 1100

        在路由器開始刪除連接之前,每分鐘內(nèi)能存在的最大half-open連接數(shù)目。

        4)ip tcp intercept one-minute low number 900

        在路由器停止刪除連接之前,每分鐘內(nèi)能存在的最小half-open連接數(shù)目。

        half-open連接總數(shù)與每分鐘half-open連接的數(shù)量比率是相聯(lián)系的。任何一個最大值到達,TCP攔截就被激活并且開始刪除half-open連接。一旦TCP攔截被激活,這兩個值都必須下降到TCP攔截的低設(shè)置值,以便停止刪除連接。

        注意:

        攔截模式下,路由器響應(yīng)到達的SYN請求,并代替服務(wù)器發(fā)送一個響應(yīng)初始源IP地址的SYN、ACK報文,然后等待客戶機的ACK。如果收到ACK,再將原來的SYN報文發(fā)往服務(wù)器,路由器代替原來的客戶機與服務(wù)器一起完成三次握手過程。這種模式會增加路由器的內(nèi)存和CPU的額外開銷,并且增加了一些初始會話的延時。

        在監(jiān)視模式下,路由器允許SYN請求直接到達服務(wù)器。

        如果這個會話在30秒鐘內(nèi)(默認值)沒有建立起來,路由器就給服務(wù)器發(fā)送一個RST,以清除這個連接。


        本文出自:億恩科技【mszdt.com】

        服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

      2. 您可能在找
      3. 億恩北京公司:
      4. 經(jīng)營性ICP/ISP證:京B2-20150015
      5. 億恩鄭州公司:
      6. 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
      7. 億恩南昌公司:
      8. 經(jīng)營性ICP/ISP證:贛B2-20080012
      9. 服務(wù)器/云主機 24小時售后服務(wù)電話:0371-60135900
      10. 虛擬主機/智能建站 24小時售后服務(wù)電話:0371-60135900
      11. 專注服務(wù)器托管17年
        掃掃關(guān)注-微信公眾號
        0371-60135900
        Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號
          0
         
         
         
         

        0371-60135900
        7*24小時客服服務(wù)熱線