CISCO路由器上使用 TCP intercept 防止DOS攻击

  1. 云栖社区>
  2. 博客>
  3. 正文

CISCO路由器上使用 TCP intercept 防止DOS攻击

科技小能手 2017-11-12 18:36:00 浏览803
展开阅读全文
 1)定义一个acl,目的是要保护的机器:
  access-list 101 per tcp any host 202.106.0.20
  由于没必要匹配源地址,一般的dos都伴随着地址欺骗,所以这里的source都是any.
  2)全局下开启tcp intercept.
  ip tcp intercept list 101
  3)设置tcp拦截的模式,tcp拦截有两种模式一种是拦截,一种是监视。默认为拦截模式,拦截模式像是一个找茬的流氓,看谁都不爽,见谁都打。监视模式是一个稍微理性一点的流氓,仅仅当别人在他家门口那片空地赌着不走的时候才大打出手(默认是30秒)。见谁都打,肯定累啊。我们要理性一点。
  ip tcp intercept mode watch
  ip tcp intercept watch-timeout 20
  4)另外tcp连接你也不能一辈子都让他连着。设置一个tcp超时时间,默认24小时,一般网中特殊服务的需要长连接的应用时候30分钟足已
  ip tcp intercept connection-timeout 1800
  5)对于最大半开连接的门限也是可以更改的。默认low 900high 1100.
  ip tcp intercept max-incomplete low 800
  ip tcp intercept max-incomplete high 1000
  6)状态查看
  show tcp intercept connecitons

  show tcp intercept statistics


本文转自zcm8483 51CTO博客,原文链接:http://blog.51cto.com/haolun/991733

网友评论

登录后评论
0/500
评论
科技小能手
+ 关注