หนึ่งจะบรรเทา SYN FLOOD DOS บน Catalyst 3750/3560 ได้อย่างไรเนื่องจากไม่มีการป้องกันเครื่องบินควบคุม
หนึ่งจะบรรเทา SYN FLOOD DOS บน Catalyst 3750/3560 ได้อย่างไรเนื่องจากไม่มีการป้องกันเครื่องบินควบคุม
คำตอบ:
3750 มีความสำคัญบางอย่างภายในสิ่งที่มันชอบที่จะถ่อเมื่อแออัด แต่มันไม่สามารถกำหนดค่าได้
ดังนั้นคุณควรพึ่งพาแนวทางปฏิบัติที่ดีที่สุดที่มีอยู่ในทุกเครือข่ายของคุณคุณควรมี iACL (ACL โครงสร้างพื้นฐาน) ใน iACL คุณจะอนุญาตให้มี UDP highport, ICMP ไปยังที่อยู่เครือข่ายโครงสร้างพื้นฐานและส่วนที่เหลือ วิธีการ ping และ traceroute นี้ทำงาน แต่โครงสร้างพื้นฐานไม่สามารถโจมตีได้
iACL ควรได้รับการเสริมโดยการตรวจสอบปริมาณการใช้งานที่อนุญาตในอัตราที่ยอมรับได้
วิธีนี้เมื่อบุคคลภายนอกจู่โจมที่อยู่ใน 3750 ของคุณมันจะถูกทิ้งโดยเครือข่ายที่ขอบ
โดยทั่วไปแล้ว iACL จะเป็นแบบคงที่ 100% ดังนั้นจึงมีการบำรุงรักษาน้อยเนื่องจากจะมีเฉพาะที่อยู่โครงสร้างพื้นฐานเท่านั้น (การวนกลับ, การเชื่อมโยงหลัก)
กรณีนี้จะยังคงเปิดอยู่ในกรณีที่เราเตอร์ของคุณหันหน้าไปทาง LAN ลูกค้าโดยตรงเช่นเมื่อ LAN เป็น 192.0.2.0/24 และ 3750 มี 192.0.2.1 จากนั้นโดยทั่วไป 192.0.2.1 จะไม่ครอบคลุมโดย iACL และสามารถถูกโจมตีได้
วิธีแก้ปัญหาสำหรับอุปกรณ์เหล่านั้นคือการลงทุนในอุปกรณ์ที่มีความสามารถ CoPP ที่เหมาะสมหรือบำรุงรักษา iACL แบบไดนามิกมักจะเพิ่มลูกค้าของเราเตอร์หันที่อยู่ที่นั่น
หากคุณเผชิญกับลูกค้าผ่านทางลิงค์ - เน็ตเวิร์ก (/ 30 หรือ / 31) โซลูชันนั้นสะอาดกว่าเดิมมากคุณแค่ละเว้นการโฆษณาลิงค์เน็ตเวิร์กและเพิ่มเส้นทางสแตติก / 32 สำหรับฝั่ง CPE ด้วยวิธีนี้ภายนอกกับฝ่ายเราเตอร์นี้ไม่สามารถโจมตี เราเตอร์เนื่องจากไม่มีเส้นทาง
ทางเลือกอื่นในการแก้ปัญหาเดียวกันคือการใช้รายการ ACL แบบไม่ต่อเนื่องใน iACL หาก CPE ลิงก์เครือข่ายของคุณคือ 198.51.100.0/24 ใน iACL คุณสามารถทำ 'ปฏิเสธ ip ใด ๆ 198.51.100.0 0.0.0.254' ที่อยู่ทั้งหมดจะเท่ากับ ได้รับอนุญาตและที่อยู่แปลก ๆ ถูกปฏิเสธดังนั้นหาก CPE เป็นเลขคู่และ 3750 เป็นเลขคี่ลิงก์ปัจจุบันและอนาคตทั้งหมดจะได้รับการคุ้มครองโดยไม่ต้องอัพเดต iACL