• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Cấu hình TCP intercept (Watch Mode) phòng chống tấn công DOS

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Cấu hình TCP intercept (Watch Mode) phòng chống tấn công DOS

    Mục tiêu: Cấu hình để router giám sát các kết nối TCP phòng chống tấn công DOS
    Mô hình:

    Mô tả:
    - Cấu hình NAT tĩnh
    - Tạo ACL 199 và match các kết nối TCP port 80 vào server.
    - Cấu hình TCP intercept sử dụng ACL 199 và dùng mode random-drop
    - Router sẽ reset các kết nối nếu chúng ở trong tình trạng half-open hơn 15 giây.
    - Bắt đầu resetting half-open sessions khi số session lên đến 1500
    - Dừng resetting half-open sessions khi số session giảm dần xuống còn 1200

    Cấu hình tham khảo
    Bước 1: Đặt địa chỉ IP, định tuyến, cấu hình NAT tĩnh
    Router 4
    !
    !
    interface Loopback0
    ip address 150.1.4.4 255.255.255.0
    !
    interface FastEthernet0/0
    ip address 155.1.45.4 255.255.255.0
    ip nat outside
    ip virtual-reassembly
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    ip address 10.0.0.4 255.255.255.0
    ip nat inside
    ip virtual-reassembly
    duplex auto
    speed auto
    !
    interface Serial0/2/0
    no ip address
    shutdown
    no fair-queue
    clockrate 2000000
    !
    router ospf 1
    log-adjacency-changes
    network 150.1.4.0 0.0.0.255 area 0
    network 155.1.45.0 0.0.0.255 area 0
    !
    ip classless
    !
    !
    ip http server
    no ip http secure-server
    ip nat inside source static 10.0.0.1 150.1.4.4
    !
    !

    Router1
    !
    interface FastEthernet0/0
    ip address 10.0.0.1 255.255.255.0
    duplex auto
    speed auto
    !
    ip classless
    ip route 0.0.0.0 0.0.0.0 10.0.0.4
    !
    !

    Router5
    !
    !
    !
    !
    interface FastEthernet0/0
    ip address 155.1.45.5 255.255.255.0
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    ip address 150.1.5.5 255.255.255.0
    duplex auto
    speed auto
    no keepalive
    !
    !
    router ospf 1
    log-adjacency-changes
    network 150.1.5.0 0.0.0.255 area 0
    network 155.1.45.0 0.0.0.255 area 0
    !
    ip classless
    no ip http server
    !
    !
    !

    Bước 2: Cấu hình TCP intercept ở watch mode
    Router 4

    !
    ip tcp intercept list 199
    ip tcp intercept mode watch
    ip tcp intercept watch-timeout 15
    ip tcp intercept max-incomplete high 1500
    ip tcp intercept max-incomplete low 1200
    ip tcp intercept connection-timeout 3600
    ip tcp intercept drop-mode random
    !
    !
    access-list 199 permit tcp any any eq 80
    !
    !

    Bước 3: Kiểm tra.
    R4#debug ip tcp intercept
    TCP intercept debugging is on

    R5#telnet 150.1.4.4 80
    Trying 150.1.4.4, 80 ... Open

    [Connection to 150.1.4.4 closed by foreign host]

    R4#
    Mar 8 10:10:58.783: INTERCEPT: new connection (155.1.45.5:53353 SYN -> 10.0.0.1:80)
    Mar 8 10:10:59.099: INTERCEPT: client packet passed in SYNSENT (155.1.45.5:53353 -> 10.0.0.1:80)
    Mar 8 10:10:59.103: INTERCEPT: client packet passed in SYNSENT (155.1.45.5:53353 -> 10.0.0.1:80)
    Mar 8 10:11:13.787: INTERCEPT: SYNSENT timing out (155.1.45.5:53353 <-> 10.0.0.1:80)
    Mar 8 10:11:13.791: INTERCEPT(*): (155.1.45.5:53353 RST -> 10.0.0.1:80) => (1)
    R4#

    (1) Kết nối đã quá thời gian timeout, router sẽ gửi cờ RST tới server.
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314

Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org
- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog

  • #2
    Phải bảo vệ thế Hệ thống mới được an toàn, mỗi tầng ta áp dụng một nhiệm vụ riêng.
    Truong Quang (Mr)
    Technical Department
    FPT Telecom
    Tel: 0934-723745

    Comment

    • Working...
      X