Announcement

**danghoangkhanh** · 06-06-2007, 11:22 AM

Phòng chống tấn công DOS với TCP Intercept

Lab 1: Cấu hình TCP intercept ( Intercept Mode) phòng chống tấn công DOS

Mục tiêu: Cấu hình router để chặn tất cả và kiểm tra các kết nối TCP tới Web Servers
Mô hình:

Mô tả:

- Cấu hình NAT tĩnh
- Tạo ACL 199 match các kết nối TCP vào port 80 của server.
- Cấu hình TCP intercept dùng ACL 199, và mode random-drop
- Báo động khi số kết nối half-open sessions lên đến 1500
- Dừng báo động khi số kết nối half-pen session giảm xuống 1200
- Set thời gian timeout đến với các kết nối inactive là 1 giờ

Cấu hình tham khảo

Bước 1: Cấu hình IP, định tuyến, NAT

Router4
!
!
interface Loopback0
ip address 150.1.4.4 255.255.255.0
!
interface FastEthernet0/0
ip address 155.1.45.4 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.0.4 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Serial0/2/0
no ip address
shutdown
no fair-queue
clockrate 2000000
!
router ospf 1
log-adjacency-changes
network 150.1.4.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
!
!
ip http server
no ip http secure-server
ip nat inside source static 10.0.0.1 150.1.4.4
!
!

Router1
!
interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.0
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.4
!
!

Router5
!
!
!
!
interface FastEthernet0/0
ip address 155.1.45.5 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 150.1.5.5 255.255.255.0
duplex auto
speed auto
no keepalive
!
!
router ospf 1
log-adjacency-changes
network 150.1.5.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
ip http server
!
!
!

Bước 2: Cấu hình TCP intercept

Router4
!
!
ip tcp intercept list 199
ip tcp intercept connection-timeout 3600
ip tcp intercept max-incomplete low 1200
ip tcp intercept max-incomplete high 1500
ip tcp intercept drop-mode random
!
!
access-list 199 permit tcp any any eq www
!
!

Bước 3: Kiểm tra

R4#debug ip tcp intercept
TCP intercept debugging is on

R5#telnet 150.1.4.4 80
Trying 150.1.4.4, 80 ... Open

[Connection to 150.1.4.4 closed by foreign host]

R4#
*Jun 2 06:48:25.507: INTERCEPT: new connection (155.1.45.5:19297 SYN -> 10.0.0.1:80)
*Jun 2 06:48:25.511: INTERCEPT(*): (155.1.45.5:19297 <- ACK+SYN 10.0.0.1:80)
*Jun 2 06:48:25.511: INTERCEPT: 1st half of connection is established (155.1.45.5:19297 ACK -> 10.0.0.1:80)
*Jun 2 06:48:25.511: INTERCEPT(*): (155.1.45.5:19297 SYN -> 10.0.0.1:80)
*Jun 2 06:48:25.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
*Jun 2 06:48:25.515: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
*Jun 2 06:48:26.511: INTERCEPT(*): SYNSENT retransmit 1 (155.1.45.5:19297 SYN -> 10.0.0.1:80)
*Jun 2 06:48:26.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
*Jun 2 06:48:27.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
*Jun 2 06:48:28.511: INTERCEPT(*): SYNSENT retransmit 2 (155.1.45.5:19297 SYN -> 10.0.0.1:80)
*Jun 2 06:48:28.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
*Jun 2 06:48:31.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
*Jun 2 06:48:32.511: INTERCEPT(*): SYNSENT retransmit 3 (155.1.45.5:19297 SYN -> 10.0.0.1:80)
*Jun 2 06:48:32.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
*Jun 2 06:48:39.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
*Jun 2 06:48:40.511: INTERCEPT(*): SYNSENT retransmit 4 (155.1.45.5:19297 SYN -> 10.0.0.1:80)
*Jun 2 06:48:40.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
*Jun 2 06:48:56.511: INTERCEPT: SYNSENT retransmitting too long (155.1.45.5:19297 <-> 10.0.0.1:80)
*Jun 2 06:48:56.511: INTERCEPT(*): (155.1.45.5:19297 <- RST 10.0.0.1:80) =>(1)

(1) Kết nối đã vượt quá thời gian timeout, do đó router gửi cờ RST đến 155.1.5.5.

**danghoangkhanh** · 06-06-2007, 11:27 AM

Lab 2: Cấu hình TCP intercept (Watch Mode) phòng chống tấn công DOS

Mục tiêu: Cấu hình để router giám sát các kết nối TCP phòng chống tấn công DOS
Mô hình:

Mô tả:

- Cấu hình NAT tĩnh
- Tạo ACL 199 và match các kết nối TCP port 80 vào server.
- Cấu hình TCP intercept sử dụng ACL 199 và dùng mode random-drop
- Router sẽ reset các kết nối nếu chúng ở trong tình trạng half-open hơn 15 giây.
- Bắt đầu resetting half-open sessions khi số session lên đến 1500
- Dừng resetting half-open sessions khi số session giảm dần xuống còn 1200

Cấu hình tham khảo

Bước 1: Đặt địa chỉ IP, định tuyến, cấu hình NAT tĩnh

Router 4
!
interface Loopback0
ip address 150.1.4.4 255.255.255.0
!
interface FastEthernet0/0
ip address 155.1.45.4 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.0.4 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Serial0/2/0
no ip address
shutdown
no fair-queue
clockrate 2000000
!
router ospf 1
log-adjacency-changes
network 150.1.4.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
!
!
ip http server
no ip http secure-server
ip nat inside source static 10.0.0.1 150.1.4.4
!
!

Router1
!
interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.0
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.4
!
!

Router5
!
!
interface FastEthernet0/0
ip address 155.1.45.5 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 150.1.5.5 255.255.255.0
duplex auto
speed auto
no keepalive
!
!
router ospf 1
log-adjacency-changes
network 150.1.5.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
no ip http server
!
!
!

Bước 2: Cấu hình TCP intercept ở watch mode

Router 4

!
ip tcp intercept list 199
ip tcp intercept mode watch
ip tcp intercept watch-timeout 15
ip tcp intercept max-incomplete high 1500
ip tcp intercept max-incomplete low 1200
ip tcp intercept connection-timeout 3600
ip tcp intercept drop-mode random
!
!
access-list 199 permit tcp any any eq 80
!
!

Bước 3: Kiểm tra.

R4#debug ip tcp intercept
TCP intercept debugging is on

R5#telnet 150.1.4.4 80
Trying 150.1.4.4, 80 ... Open

[Connection to 150.1.4.4 closed by foreign host]

R4#
Mar 8 10:10:58.783: INTERCEPT: new connection (155.1.45.5:53353 SYN -> 10.0.0.1:80)
Mar 8 10:10:59.099: INTERCEPT: client packet passed in SYNSENT (155.1.45.5:53353 -> 10.0.0.1:80)
Mar 8 10:10:59.103: INTERCEPT: client packet passed in SYNSENT (155.1.45.5:53353 -> 10.0.0.1:80)
Mar 8 10:11:13.787: INTERCEPT: SYNSENT timing out (155.1.45.5:53353 <-> 10.0.0.1:80)
Mar 8 10:11:13.791: INTERCEPT(*): (155.1.45.5:53353 RST -> 10.0.0.1:80) => (1)

(1) Kết nối đã quá thời gian timeout, router sẽ gửi cờ RST tới server.

**dothihuyen** · 09-11-2010, 09:09 PM

Bạn ơi, bạn post topo lên cho mình xem với, chỉ có câu lệnh thì hơi khó hiểu. Mà mình có thể mô phỏng tấn công SYN flood trên packet tracer ko bạn. Cảm ơn bạn

**phamminhtuan** · 09-11-2010, 11:04 PM

Chào bạn,

Có thể dùng công cụ Nmap để giả lập SYN flood. Công cụ này không có trong Packet tracer.

Có thể dùng GNS3 + Nmap để thay thế.

**nggianglx** · 09-11-2010, 11:25 PM

có thể up lại hình giúp mình được không

Thanks for shared

**dothihuyen** · 12-11-2010, 10:09 AM

Bạn có thể hướng dẫn mình làm sao tạo SYN Flood trên GNS3 và Nmap không. Cảm ơn bạn nhiều

**phamminhtuan** · 12-11-2010, 05:35 PM

Chào bạn,

Để làm được thì đầu tiên phải tìm hiểu cách sử dụng GNS3.
+ Chạy thiết bị Cisco trên GNS3.
+ Nối interface của GNS3 với interface loopback hoặc interface thật của PC thật.
+ các dòng lệnh để bật tính năng IDS/IPS trên router.

Tìm hiểu cách sử dụng công cụ Nmap.
(gõ IP của PC hoặc router cần scan -> chọn profile -> nhấn nút scan )
Download tại đây

**dothihuyen** · 14-11-2010, 10:22 PM

Bạn ơi cho mình hỏi là dùng lệnh gì để kiểm tra thời gian time out của các kết nối vậy. Như dùng cho R4 ở trên. Cảm ơn bạn.

Announcement

Phòng chống tấn công DOS với TCP Intercept

Phòng chống tấn công DOS với TCP Intercept

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment