Tweet
Mục tiêu
Cấu hình để router giám sát các kết nối TCP phòng chống tấn công DOS
Mô hình
Mô tả
- Cấu hình NAT tĩnh
- Tạo ACL 199 và match các kết nối TCP port 80 vào server.
- Cấu hình TCP intercept sử dụng ACL 199 và dùng mode random-drop
- Router sẽ reset các kết nối nếu chúng ở trong tình trạng half-open hơn 15 giây.
- Bắt đầu resetting half-open sessions khi số session lên đến 1500
- Dừng resetting half-open sessions khi số session giảm dần xuống còn 1200
Cấu hình tham khảo
Bước 1: Đặt địa chỉ IP, định tuyến, cấu hình NAT tĩnh
Router 4
!
!
interface Loopback0
ip address 150.1.4.4 255.255.255.0
!
interface FastEthernet0/0
ip address 155.1.45.4 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.0.4 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Serial0/2/0
no ip address
shutdown
no fair-queue
clockrate 2000000
!
router ospf 1
log-adjacency-changes
network 150.1.4.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
!
!
ip http server
no ip http secure-server
ip nat inside source static 10.0.0.1 150.1.4.4
!
!
Router1
!
interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.0
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.4
!
!
Router5
!
!
!
!
interface FastEthernet0/0
ip address 155.1.45.5 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 150.1.5.5 255.255.255.0
duplex auto
speed auto
no keepalive
!
!
router ospf 1
log-adjacency-changes
network 150.1.5.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
no ip http server
!
!
!
Bước 2: Cấu hình TCP intercept ở watch mode
Router 4
!
ip tcp intercept list 199
ip tcp intercept mode watch
ip tcp intercept watch-timeout 15
ip tcp intercept max-incomplete high 1500
ip tcp intercept max-incomplete low 1200
ip tcp intercept connection-timeout 3600
ip tcp intercept drop-mode random
!
!
access-list 199 permit tcp any any eq 80
!
!
Bước 3: Kiểm tra.
R4#debug ip tcp intercept
TCP intercept debugging is on
R5#telnet 150.1.4.4 80
Trying 150.1.4.4, 80 ... Open
[Connection to 150.1.4.4 closed by foreign host]
R4#
Mar 8 10:10:58.783: INTERCEPT: new connection (155.1.45.5:53353 SYN -> 10.0.0.1:80)
Mar 8 10:10:59.099: INTERCEPT: client packet passed in SYNSENT (155.1.45.5:53353 -> 10.0.0.1:80)
Mar 8 10:10:59.103: INTERCEPT: client packet passed in SYNSENT (155.1.45.5:53353 -> 10.0.0.1:80)
Mar 8 10:11:13.787: INTERCEPT: SYNSENT timing out (155.1.45.5:53353 <-> 10.0.0.1:80)
Mar 8 10:11:13.791: INTERCEPT(*): (155.1.45.5:53353 RST -> 10.0.0.1:80) => (1)
R4#
(1) Kết nối đã quá thời gian timeout, router sẽ gửi cờ RST tới server.
Cấu hình để router giám sát các kết nối TCP phòng chống tấn công DOS
Mô hình
Mô tả- Cấu hình NAT tĩnh
- Tạo ACL 199 và match các kết nối TCP port 80 vào server.
- Cấu hình TCP intercept sử dụng ACL 199 và dùng mode random-drop
- Router sẽ reset các kết nối nếu chúng ở trong tình trạng half-open hơn 15 giây.
- Bắt đầu resetting half-open sessions khi số session lên đến 1500
- Dừng resetting half-open sessions khi số session giảm dần xuống còn 1200
Cấu hình tham khảo
Bước 1: Đặt địa chỉ IP, định tuyến, cấu hình NAT tĩnh
Router 4
!
!
interface Loopback0
ip address 150.1.4.4 255.255.255.0
!
interface FastEthernet0/0
ip address 155.1.45.4 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.0.4 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Serial0/2/0
no ip address
shutdown
no fair-queue
clockrate 2000000
!
router ospf 1
log-adjacency-changes
network 150.1.4.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
!
!
ip http server
no ip http secure-server
ip nat inside source static 10.0.0.1 150.1.4.4
!
!
Router1
!
interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.0
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.4
!
!
Router5
!
!
!
!
interface FastEthernet0/0
ip address 155.1.45.5 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 150.1.5.5 255.255.255.0
duplex auto
speed auto
no keepalive
!
!
router ospf 1
log-adjacency-changes
network 150.1.5.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
no ip http server
!
!
!
Bước 2: Cấu hình TCP intercept ở watch mode
Router 4
!
ip tcp intercept list 199
ip tcp intercept mode watch
ip tcp intercept watch-timeout 15
ip tcp intercept max-incomplete high 1500
ip tcp intercept max-incomplete low 1200
ip tcp intercept connection-timeout 3600
ip tcp intercept drop-mode random
!
!
access-list 199 permit tcp any any eq 80
!
!
Bước 3: Kiểm tra.
R4#debug ip tcp intercept
TCP intercept debugging is on
R5#telnet 150.1.4.4 80
Trying 150.1.4.4, 80 ... Open
[Connection to 150.1.4.4 closed by foreign host]
R4#
Mar 8 10:10:58.783: INTERCEPT: new connection (155.1.45.5:53353 SYN -> 10.0.0.1:80)
Mar 8 10:10:59.099: INTERCEPT: client packet passed in SYNSENT (155.1.45.5:53353 -> 10.0.0.1:80)
Mar 8 10:10:59.103: INTERCEPT: client packet passed in SYNSENT (155.1.45.5:53353 -> 10.0.0.1:80)
Mar 8 10:11:13.787: INTERCEPT: SYNSENT timing out (155.1.45.5:53353 <-> 10.0.0.1:80)
Mar 8 10:11:13.791: INTERCEPT(*): (155.1.45.5:53353 RST -> 10.0.0.1:80) => (1)
R4#
(1) Kết nối đã quá thời gian timeout, router sẽ gửi cờ RST tới server.