Cấu hình TCP intercept (Watch Mode) phòng chống tấn công DOS

[phamminhtuan]

Mục tiêu: Cấu hình để router giám sát các kết nối TCP phòng chống tấn công DOS
Mô hình:

Mô tả:
- Cấu hình NAT tĩnh
- Tạo ACL 199 và match các kết nối TCP port 80 vào server.
- Cấu hình TCP intercept sử dụng ACL 199 và dùng mode random-drop
- Router sẽ reset các kết nối nếu chúng ở trong tình trạng half-open hơn 15 giây.
- Bắt đầu resetting half-open sessions khi số session lên đến 1500
- Dừng resetting half-open sessions khi số session giảm dần xuống còn 1200

Cấu hình tham khảo
Bước 1: Đặt địa chỉ IP, định tuyến, cấu hình NAT tĩnh
Router 4
!
!
interface Loopback0
ip address 150.1.4.4 255.255.255.0
!
interface FastEthernet0/0
ip address 155.1.45.4 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.0.4 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Serial0/2/0
no ip address
shutdown
no fair-queue
clockrate 2000000
!
router ospf 1
log-adjacency-changes
network 150.1.4.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
!
!
ip http server
no ip http secure-server
ip nat inside source static 10.0.0.1 150.1.4.4
!
!

Router1
!
interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.0
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.4
!
!

Router5
!
!
!
!
interface FastEthernet0/0
ip address 155.1.45.5 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 150.1.5.5 255.255.255.0
duplex auto
speed auto
no keepalive
!
!
router ospf 1
log-adjacency-changes
network 150.1.5.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
no ip http server
!
!
!

Bước 2: Cấu hình TCP intercept ở watch mode
Router 4

!
ip tcp intercept list 199
ip tcp intercept mode watch
ip tcp intercept watch-timeout 15
ip tcp intercept max-incomplete high 1500
ip tcp intercept max-incomplete low 1200
ip tcp intercept connection-timeout 3600
ip tcp intercept drop-mode random
!
!
access-list 199 permit tcp any any eq 80
!
!

Bước 3: Kiểm tra.
R4#debug ip tcp intercept
TCP intercept debugging is on

R5#telnet 150.1.4.4 80
Trying 150.1.4.4, 80 ... Open

[Connection to 150.1.4.4 closed by foreign host]

R4#
Mar 8 10:10:58.783: INTERCEPT: new connection (155.1.45.5:53353 SYN -> 10.0.0.1:80)
Mar 8 10:10:59.099: INTERCEPT: client packet passed in SYNSENT (155.1.45.5:53353 -> 10.0.0.1:80)
Mar 8 10:10:59.103: INTERCEPT: client packet passed in SYNSENT (155.1.45.5:53353 -> 10.0.0.1:80)
Mar 8 10:11:13.787: INTERCEPT: SYNSENT timing out (155.1.45.5:53353 <-> 10.0.0.1:80)
Mar 8 10:11:13.791: INTERCEPT(*): (155.1.45.5:53353 RST -> 10.0.0.1:80) => (1)
R4#

(1) Kết nối đã quá thời gian timeout, router sẽ gửi cờ RST tới server.

[mars]

Phải bảo vệ thế Hệ thống mới được an toàn, mỗi tầng ta áp dụng một nhiệm vụ riêng.