 |
一般情况下,TCP连接的建立需要经过三次握手的过程:
1.建立发起者向目标计算机发送一个TCP SYN数据包。
2.目标计算机收到这个TCP SYN数据包后,在内存中创建TCP连接控制块(TCB),然后向发送源回复一个TCP确认(ACK)数据包,等待发送源的响应。
3.发送源收到TCP ACK数据包后,再以一个TCP ACK数据包,TCP连接成功。
TCP SYN洪水攻击的过程:
1.攻击者向目标设备发送一个TCP SYN数据包。
2.目标设备收到这个TCP SYN数据包后,建立TCB,并以一个TCP ACK数据包进行响应,等待发送源的响应。
3.而发送源则不向目标设备回复TCP ACK数据包,这样导致目标设备一致处于等待状态。
4.如果TCP半连接很多,会把目标设备的资源(TCB)耗尽,而不能响应正常的TCP连接请求。,从而完成拒绝服务的TCP SYN洪水攻击。
TCP拦截特性可以防止TCP的SYN洪水攻击。TCP拦截特性的两种模式:
1.拦截(intercept):软件将主动拦截每个进站的TCP连接请求(TCP SYN),并以服务器的身份,以TCP ACK数据包进行回复,然后等待来自客户机的TCP ACK数据包。当再次收到客户机的TCP ACK数据包后,最初的TCP SYN数据包被移交给真正的服务器,软件进行TCP三次握手,建立TCP连接。
2.监控(watch):进站的TCP连接请求(TCP SYN)允许路由器移交给服务器,但是路由器将对连接进行监控,直到TCP连接建立完成。如果30秒内TCP连接建立不成功,路由器将发送重置(Reset)信号给服务器,服务器将清除TCP半连接。
Configuring TCP Intercepting
配置TCP拦截的步骤如下:
1.定义IP扩展ACL:
BitsCN(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} tcp {source source-wildcard destination destination-wildcard}
2.启用TCP拦截:
BitsCN(config)#ip tcp intercept list {ACL}
3.定义TCP拦截模式,默认为拦截模式。可选:
BitsCN(config)#ip tcp intercept mode {intercept|watch}
4.定义TCP拦截的切断模式,默认为切断最老的TCP连接。可选:
BitsCN(config)#ip tcp intercept drop-mode {oldest|random}
5.定义TCP拦截监控的超时时间,默认为30秒。可选:
BitsCN(config)#ip tcp intercept watch-timeout {seconds}
6.定义即使TCP连接不再活动,系统管理TCP连接的时间长度。默认时间长度为24小时。可选:
BitsCN(config)#ip tcp intercept connection-timeout {seconds}
Monitoring and Maintaining TCP Intercepting
一些辅助性的命令:
1.显示TCP连接信息:
| BitsCN#show tcp intercept connections |
2.显示TCP拦截的统计信息:
| BitsCN#show tcp intercept statistics |
自反ACL可以基于上层信息过滤IP流量。可以使用自反ACL实现流量的单向穿越。自反ACL只能通过命名扩展ACL来定义。
【责编:Kittoy】
|
相关文章
相关产品和培训
文章评论
专题推荐
今日更新
认证培训
频道精选
您现在的位置: 
佚名 
2007-7-16 
