ip virtual-reassembly:IP虚拟分片重组

最新推荐文章于 2022-05-23 17:33:09 发布
最新推荐文章于 2022-05-23 17:33:09 发布
阅读量1.7w 收藏 3
点赞数
分类专栏: Cisco 思科
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blakegao/article/details/12567513
版权

把分片的报文在自身组装起来,这样可以识别一些攻击之类的 FW功能。

IP虚拟分片重组
为了避免每个业务模块(如:IPSec、NAT和防火墙)单独处理后片先到(报文分片后)这种情况而导致复杂度过高,设备需要收到IP报文后就对分片报文进行虚拟分片重组。IP虚拟分片重组功能可以对分片报文进行检验、排序和缓存,保证后续业务模块处理的都是顺序正确的分片报文。

同时,IP虚拟分片重组功能还可以对下面几种分片攻击进行检测。如果检测到分片攻击,则设备会丢弃收到的分片报文,从而提高了设备的安全性。

Tiny Fragment攻击:如果设备收到分片报文的首片长度非常小,并且传输层协议(如:TCP、UDP)头字段放在第二个分片中,则认为是受到了Tiny Fragment攻击;
Overlapping Fragment攻击:如果设备收到了完全相同的分片报文,或者收到的分片报文与其前一分片或后一分片出现重叠时,则认为是受到了Overlapping Fragment攻击;
Fragment-flood攻击:如果设备收到的分片报文超过了指定的最大分片报文数或者设备上创建的分片队列个数超过了指定的最大分片队列个数,则认为是受到了Fragment-flood攻击。

 

 

Configuring VFR

Use this task to enable VFR on an interface, specify maximum threshold values to combat buffer overflow and control memory usage, and verify any VFR configurations.

SUMMARY STEPS

1. enable

 

2. configureterminal

 

3. interface type type number

 

4. ip virtual-reassembly [max-reassemblies number] [max-fragments number] [timeout seconds] [drop-fragments]

 

5. exit

 

6. exit

 

7. show ip virtual-reassembly [interface type]

 

 

 

DETAILED STEPS

Step 1

enable

Example:

Router> enable

Enables privileged EXEC mode.

最低0.47元/天 解锁文章
blakegao
关注
专栏目录
rip实验
weixin_42214459的博客
03-10 1735
实验拓扑搭建如下: 思路: 地址规划:ISP与R7.R8路由器根据提供的地址直接进行进行配置即可,其余路由器将192.168.1.0/24网段分为五个子网,其次根据每台路由器骨干链路和环回数量再进行子网划分,最终划分地址如下: 192.168.1.0/24 192.168.1.32/27 r2 192.168.1.32/28 骨干 192.168.1.48/29...
IPv4与IPv6业务-IP虚拟分片重组技术介绍.pdf
10-15
IPv4与IPv6业务-IP虚拟分片重组技术介绍.pdf
IP虚拟分片重组配置命令
weixin_34255055的博客
06-09 368
IP虚拟分片重组配置命令 1.1.1 display ip virtual-reassembly 【命令】 display ip virtual-reassembly [ interface interface-type interface-number ] 【视图】 任意视图 【缺省级别】 1:监控级 【参数】 interface interface-...
虚拟分片重组
kklvsports的专栏
10-30 999
IP包的分片重组,第一个分片有完整的TCP/UDP协议头信息,即端口信息,而其它分片则没有,而当这些分片经过防火墙的时候,防火墙就犯难了,对于第一个分片,如果是合规的,合规就是公司安全策略允许得流量,则允许通过;对于其它分片则只有IP信息,没有TCP/UDP端口信息,允许还是不允许?如果允许,如果是攻击包或者病毒包,对公司安全是一个威胁,防火墙的作用又何在?如果不允许,那合规的流量因为这些分片被...
Fragmentation-Reassembly-IP-Packets:该程序演示IP数据包如何分段以及如何在网络中重新组合IP数据包
05-06
碎片重组IP数据包 该程序演示IP数据包如何分段以及如何在网络中重新组合IP数据包。 安装/运行程序: 运行以下命令: g ++ -o碎片Fragmentation_and_Reassembly.cpp ip_packet.cpp ./碎片
ip virtual-reassembly
最新发布
04-26
IP virtual-reassembly是指在收到分段的IP包后将它们重新组装成...这个过程通常由网络设备(如路由器或防火墙)完成,可以防止分段攻击或分片重组攻击等安全问题。同时,它还可以提高数据传输效率,减小网络传输延迟。
Disassembly-and-Reassembly-of-a-Dell-System-Unit:探索2000年代中期计算机组成部分的学校项目
05-12
拆卸和重新组装Dell系统单元 内容 概述 我与另外三名学生组成的团队合作,拆解了戴尔系统单元并确定其硬件组件。 重新组装PC后,我们使用Ubuntu操作系统启动了计算机。... 该项目的目的是主要表现出我们的兴趣,并使...
BCMSN:组建Cisco多层交换网络-小型企业网三层架构
qq_40390383的博客
11-23 2667
sw1为vlan2的主网关,生成树的主根,vlan3的备份网关,生成树的备份根。 sw2为vlan3的主网关,生成树的主根,vlan2的备份网关,生成树的备份根。 在sw1与sw2上去用dhcp 所有汇聚层交换接口启用trunk,   所有接入层交换接口启用access并划分vlan 两台核心交换机中间的两条链路 e0/2-3 进行链路聚合 使用vtp同步vlan : vt...
NAT ALG DNS — DNS在内部,外网通过域名访问内部服务器
butcherroom的博客
05-23 1849
应用场景: R2、R3、R4为企业内部,DNS也部署在内网,R2上设置NAT使得R1能够telnet到R4。 如在R2上启用NAT ALG DNS功能后,R1通过域名butcherroom.com访问23端口,可以成功telnet R4。 如果不开启NAT ALG DNS功能则R1无法通过域名telnet R4。 基础配置: R1 ip name-server 202.100.1.150 ! interface Loopback0 ip address 1.1.1.
处理路由器%IP_VFR-4-FRAG_TABLE_OVERFLOW报错
weixin_33699914的博客
10-08 1152
近期单位路由器经常提示如下错误,并且网络速度明显降低: %IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet0: the fragment table has reached its maximum threshold 16 经查,是受到了网络碎片***。采取以下措施,效果明显: 1. 在端口提高包重组能力: int f0 i...
解决cisco碎片***
weixin_33984032的博客
06-17 152
1. 在端口提高包重组能力: int X ip virtual-reassembly max-reassemblies 1024 2. 在端口加acl拦截***包: int X ip access-group 110 in ip access-group 110 out access-list 110 deny ip any any fragment...
Cisco-2911 公司网络配置
tttccabc的博客
02-21 4612
show run dnamedtech_c2921#show running-config Building configuration... Current configuration : 7276 bytes ! ! Last configuration change at 18:26:40 cst Tue Nov 21 2017 ! NVRAM config last updated ...
RIP中V1/V2互通问题
weixin_43068298的博客
09-04 4283
RIP: 路由信息协议;距离矢量型协议,使用跳数作为度量,基于UDP520端口 工作特性: 支持等开销负载均衡,默认4条,最大6条; IOS版本12.4以上16条; 默认仅使用更新包,周期更新30s,触发更新; RIP中的V1 V2问题 RIP中存在三个版本分别为RIPV1、RIPV2(基于IPV4工作)和RIPNG(基于IPV6工作)在进行RIP配置时,需要选择RIP版本号...
IP_VFR-4-FRAG_TABLE_OVERFLOW【cisco设备报错】碎片***
weixin_33916256的博客
07-27 457
问题描述:05-23-2012 21:36:16 Local7.Warning 58.25x.x.x52: *May 23 21:30:34: %IP_VFR-4-FRAG_TABLE_OVERFLOW:GigabitEthernet0/0: the fragment table hasreached its maximum threshold 16IP_VFR-4-FRA...
网络技术之IGP协议
share_technology_go的博客
08-28 3961
   RIP总结 Rip:路由信息协议,基于udp520工作,源目端口,520;存在V1/2/ng版,rip ng是ipv6使用;其为DV型路由协议;基于跳数工作,最大15跳,16跳不可达;周期更新;支持等开销负载均衡,最大6条,默认4条,12.4ios以上16条 破解RIP环路方法:       水平分割---------从此接口进,不从此接口出       毒性逆转-----
名词解释: 虚拟IPVirtual IP Address)
探索新世界
10-12 3670
[color=red][b]VIP = Virtual IP Address[/b][/color],[color=blue]虚拟IP地址[/color][color=blue]是[/color]一个不与特定计算机或一个计算机中的网络接口卡(NIC)相连的[color=blue]IP地址[/color]。虚拟IP地址与代理服务器的真实IP地址不同,是由代理服务器根据Internet内部客户机的多...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值