Защита Cisco Catalyst 3750/3560 SYN FLOOD

Как можно смягчить SYN FLOOD DOS на Catalyst 3750/3560, поскольку у него нет защиты плоскости управления?

11 голосов | спросил romuald_geo 10 AM000000110000004031 2013, 11:28:40

1 ответ


11

3750 имеет некоторый внутренний приоритет в отношении того, что он предпочитает использовать при перегрузке, но он не настраивается.

Поэтому вам следует полагаться на общие лучшие практики, то есть на всех ваших краях сети у вас должен быть iACL (ACL инфраструктуры). В iACL вы разрешаете высокие уровни UDP, ICMP для сетевых адресов сети и отдыха. Таким образом, ping и traceroute работают, но инфраструктуру нельзя атаковать.
iACL следует дополнять, контролируя допустимый трафик до небольших приемлемых тарифов.

Таким образом, когда внешняя сторона атакует адреса на вашем 3750, она будет удалена по границе сети по краю.

iACL обычно статично 100%, поэтому он не требует обслуживания, поскольку он будет включать только адреса инфраструктуры (loopback, core links).

Это все равно останется широко открытым случаем, когда ваш маршрутизатор напрямую связан с локальной сетью клиента, например, когда в сети есть 192.0.2.0/24 и 3750 192.0.2.1, тогда обычно 192.0.2.1 не будет покрываться iACL и может быть атакован.
Решение для этих устройств - либо инвестировать в устройство с надлежащими возможностями CoPP, либо поддерживать динамический iACL, всегда добавляя к нему адрес клиента маршрутизатора.

Если вы сталкиваетесь только с клиентами по сетям link-networks (/30 или /31), это намного чище, вы просто не рекламируете сеть ссылок и добавляете статический /32 маршрут для стороны CPE, таким образом, внешний для сторон маршрутизатора не могут атаковать маршрутизатор, поскольку у них не будет маршрута.
Альтернативным решением для этой же проблемы является использование не непрерывной записи ACL в iACL, если ваша сеть ссылок CPE составляет 198.51.100.0/24 в iACL, вы можете сделать «deny ip any 198.51.100.0 0.0.0.254», тогда все четные адреса будут разрешены и нечетные адреса, поэтому, если CPE четный и 3750 нечетно, все текущие и будущие ссылки защищены без обновления iACL.

ответил ytti 10 PM000000120000000031 2013, 12:19:00

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132