• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Cấu hình TCP intercept ( Intercept Mode) phòng chống tấn công DOS

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Cấu hình TCP intercept ( Intercept Mode) phòng chống tấn công DOS

    Cấu hình TCP intercept ( Intercept Mode) phòng chống tấn công DOS

    Mục tiêu: Cấu hình router để chặn tất cả và kiểm tra các kết nối TCP tới Web Servers
    Hình vẽ:

    Mô tả:
    - Cấu hình NAT tĩnh
    - Tạo ACL 199 match các kết nối TCP vào port 80 của server.
    - Cấu hình TCP intercept dùng ACL 199, và mode random-drop
    - Báo động khi số kết nối half-open sessions lên đến 1500
    - Dừng báo động khi số kết nối half-pen session giảm xuống 1200
    - Set thời gian timeout đến với các kết nối inactive là 1 giờ

    Cấu hình tham khảo
    Bước 1: Cấu hình IP, định tuyến, NAT
    Router4
    !
    !
    interface Loopback0
    ip address 150.1.4.4 255.255.255.0
    !
    interface FastEthernet0/0
    ip address 155.1.45.4 255.255.255.0
    ip nat outside
    ip virtual-reassembly
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    ip address 10.0.0.4 255.255.255.0
    ip nat inside
    ip virtual-reassembly
    duplex auto
    speed auto
    !
    interface Serial0/2/0
    no ip address
    shutdown
    no fair-queue
    clockrate 2000000
    !
    router ospf 1
    log-adjacency-changes
    network 150.1.4.0 0.0.0.255 area 0
    network 155.1.45.0 0.0.0.255 area 0
    !
    ip classless
    !
    !
    ip http server
    no ip http secure-server
    ip nat inside source static 10.0.0.1 150.1.4.4
    !
    !

    Router1
    !
    interface FastEthernet0/0
    ip address 10.0.0.1 255.255.255.0
    duplex auto
    speed auto
    !
    ip classless
    ip route 0.0.0.0 0.0.0.0 10.0.0.4
    !
    !

    Router5
    !
    !
    !
    !
    interface FastEthernet0/0
    ip address 155.1.45.5 255.255.255.0
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    ip address 150.1.5.5 255.255.255.0
    duplex auto
    speed auto
    no keepalive
    !
    !
    router ospf 1
    log-adjacency-changes
    network 150.1.5.0 0.0.0.255 area 0
    network 155.1.45.0 0.0.0.255 area 0
    !
    ip classless
    ip http server
    !
    !
    !

    Bước 2: Cấu hình TCP intercept
    Router4
    !
    !
    ip tcp intercept list 199
    ip tcp intercept connection-timeout 3600
    ip tcp intercept max-incomplete low 1200
    ip tcp intercept max-incomplete high 1500
    ip tcp intercept drop-mode random
    !
    !
    access-list 199 permit tcp any any eq www
    !
    !

    Bước 3: Kiểm tra

    R4#debug ip tcp intercept
    TCP intercept debugging is on

    R5#telnet 150.1.4.4 80
    Trying 150.1.4.4, 80 ... Open

    [Connection to 150.1.4.4 closed by foreign host]

    R4#
    *Jun 2 06:48:25.507: INTERCEPT: new connection (155.1.45.5:19297 SYN -> 10.0.0.1:80)
    *Jun 2 06:48:25.511: INTERCEPT(*): (155.1.45.5:19297 <- ACK+SYN 10.0.0.1:80)
    *Jun 2 06:48:25.511: INTERCEPT: 1st half of connection is established (155.1.45.5:19297 ACK -> 10.0.0.1:80)
    *Jun 2 06:48:25.511: INTERCEPT(*): (155.1.45.5:19297 SYN -> 10.0.0.1:80)
    *Jun 2 06:48:25.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
    *Jun 2 06:48:25.515: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
    *Jun 2 06:48:26.511: INTERCEPT(*): SYNSENT retransmit 1 (155.1.45.5:19297 SYN -> 10.0.0.1:80)
    *Jun 2 06:48:26.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
    *Jun 2 06:48:27.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
    *Jun 2 06:48:28.511: INTERCEPT(*): SYNSENT retransmit 2 (155.1.45.5:19297 SYN -> 10.0.0.1:80)
    *Jun 2 06:48:28.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
    *Jun 2 06:48:31.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
    *Jun 2 06:48:32.511: INTERCEPT(*): SYNSENT retransmit 3 (155.1.45.5:19297 SYN -> 10.0.0.1:80)
    *Jun 2 06:48:32.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
    *Jun 2 06:48:39.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
    *Jun 2 06:48:40.511: INTERCEPT(*): SYNSENT retransmit 4 (155.1.45.5:19297 SYN -> 10.0.0.1:80)
    *Jun 2 06:48:40.511: INTERCEPT: client packet dropped in SYNSENT (155.1.45.5:19297 -> 10.0.0.1:80)
    *Jun 2 06:48:56.511: INTERCEPT: SYNSENT retransmitting too long (155.1.45.5:19297 <-> 10.0.0.1:80)
    *Jun 2 06:48:56.511: INTERCEPT(*): (155.1.45.5:19297 <- RST 10.0.0.1:80) =>(1)

    (1) Kết nối đã vượt quá thời gian timeout, do đó router gửi cờ RST đến 155.1.5.5.
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314

Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org
- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog

  • #2
    Em cảm ơn anh

    Comment


    • #3
      Anh Tuấn ơi. Em làm như anh sao không được ạ. Nó toàn báo là "Destination unreachable; gateway or host down" em phải làm thế nào ạ. Em sửa mãi mà không được, anh giúp em với. Em cảm ơn anh.

      Comment


      • #4
        Chào bạn,

        Bạn làm đến khúc nào rồi, lỗi báo như vậy là do vấn đề về định tuyến.
        Bạn kiểm tra lại xem.
        Phạm Minh Tuấn

        Email : phamminhtuan@vnpro.org
        Yahoo : phamminhtuan_vnpro
        -----------------------------------------------------------------------------------------------
        Trung Tâm Tin Học VnPro
        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel : (08) 35124257 (5 lines)
        Fax: (08) 35124314

        Home page: http://www.vnpro.vn
        Support Forum: http://www.vnpro.org
        - Chuyên đào tạo quản trị mạng và hạ tầng Internet
        - Phát hành sách chuyên môn
        - Tư vấn và tuyển dụng nhân sự IT
        - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

        Network channel: http://www.dancisco.com
        Blog: http://www.vnpro.org/blog

        Comment


        • #5
          Em chào anh.
          Em không hiểu là R4 quảng bá đường 150.1.4.4/24 mà R5 lại học được với SM là /32. Do vậy mà từ R5 em không thể ping 150.1.4.4 để thực hiện lệnh telnet được. Anh giải thích giúp em với.
          Em cảm ơn anh.

          Comment


          • #6
            Chào bạn,

            Cái đó không sao hết, vì interface loopback không nối với ai hết nên nó /32

            Nếu bạn muốn /24 thì làm như sau:


            Code:
            Router(config)#int loopback 1
            Router(config-if)#ip ospf network point-to-point
            Phạm Minh Tuấn

            Email : phamminhtuan@vnpro.org
            Yahoo : phamminhtuan_vnpro
            -----------------------------------------------------------------------------------------------
            Trung Tâm Tin Học VnPro
            149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
            Tel : (08) 35124257 (5 lines)
            Fax: (08) 35124314

            Home page: http://www.vnpro.vn
            Support Forum: http://www.vnpro.org
            - Chuyên đào tạo quản trị mạng và hạ tầng Internet
            - Phát hành sách chuyên môn
            - Tư vấn và tuyển dụng nhân sự IT
            - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

            Network channel: http://www.dancisco.com
            Blog: http://www.vnpro.org/blog

            Comment


            • #7
              Em cảm ơn anh, em làm được rồi ạ. Chúc anh luôn thành công.
              Last edited by dothihuyen; 20-11-2010, 09:33 PM.

              Comment


              • #8
                Anh Tuấn ơi, em muốn hỏi là khi đứng ở R5 mà mình dùng lệnh Telnet 150.1.4.4 80. Nếu em không muốn để quá thời gian timeout thì em phải làm thế nào ạ. Nghĩa là em không muốn R4 gửi cờ RST về cho R5. Anh chỉ cho em với.

                Comment


                • #9
                  Cờ rst

                  Originally posted by dothihuyen View Post
                  Anh Tuấn ơi, em muốn hỏi là khi đứng ở R5 mà mình dùng lệnh Telnet 150.1.4.4 80. Nếu em không muốn để quá thời gian timeout thì em phải làm thế nào ạ. Nghĩa là em không muốn R4 gửi cờ RST về cho R5. Anh chỉ cho em với.

                  Chào bạn,

                  Không muốn R4 gửi cờ RST cho R5 thì tức R5 phải thiết lập đủ 3 bước.
                  Ví dụ:
                  đặt telnet trên R1
                  line vty 0 4
                  privilege level 15
                  no login

                  Sau đó từ R5# telnet 150.1.4.4

                  Bạn có thể dùng command sau để kiểm tra các trạng thái thiết lập kết nối
                  R4#show tcp intercept connections

                  Có thể xem thêm tài liệu đính kèm bên dưới để mở rộng thêm và cũng là ôn tập lại.
                  Attached Files
                  Phạm Minh Tuấn

                  Email : phamminhtuan@vnpro.org
                  Yahoo : phamminhtuan_vnpro
                  -----------------------------------------------------------------------------------------------
                  Trung Tâm Tin Học VnPro
                  149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                  Tel : (08) 35124257 (5 lines)
                  Fax: (08) 35124314

                  Home page: http://www.vnpro.vn
                  Support Forum: http://www.vnpro.org
                  - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                  - Phát hành sách chuyên môn
                  - Tư vấn và tuyển dụng nhân sự IT
                  - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                  Network channel: http://www.dancisco.com
                  Blog: http://www.vnpro.org/blog

                  Comment

                  • Working...
                    X