今天isp所面临的最大的挑战之一是跟踪和阻止denial of service (dosattacks). 对付dos attack 有三个步骤: intrusion detecti source tracking, and blocking. 本命令是针对source tracking。
1、配置举例:
本例说明怎样在路由器上所有line cards/port adapters , 为了让每块line card or port adapter收集到主机 100.10.0.1(被攻击的机器) 的数据流。两分钟后生成 log日志. 记录在log的数据包和流每60秒向grp/rsp 导出以方便察看.
router# c interface
router(c ip source-track 100.10.0.1
router(c ip source-track syslog-interval 2
router(c ip source-track export-interval 60
显示到达源端口的攻击包的源地址及流量:
router# show ip source-track
address srcif bytes pkts bytes/s pkts/s
10.0.0.1 po2/0 0 0 0 0
192.168.9.9 po1/2 131m 511m 1538 6
192.168.9.9 po2/0 144g 3134m 6619923 143909
显示所有攻击源条目:
router# show ip source-track summary
address bytes pkts bytes/s pkts/s
10.0.0.1 0 0 0 0
100.10.1.1 131m 511m 1538 6
192.168.9.9 146g 3178m 6711866 145908
2、cisco ios feature 配置 tcp intercept (防止 denial-of-service attacks)
配置路由器以保护服务器免收 tcp syn-flooding attacks。
以下配置定义了一个扩展access list 101,保护192.168.1.0/24网段的服务器:
ip tcp intercept list 101
access-list 101 permit tcp any 192.168.1.0 0.0.0.255
1、配置举例:
本例说明怎样在路由器上所有line cards/port adapters , 为了让每块line card or port adapter收集到主机 100.10.0.1(被攻击的机器) 的数据流。两分钟后生成 log日志. 记录在log的数据包和流每60秒向grp/rsp 导出以方便察看.
router# c interface
router(c ip source-track 100.10.0.1
router(c ip source-track syslog-interval 2
router(c ip source-track export-interval 60
显示到达源端口的攻击包的源地址及流量:
router# show ip source-track
address srcif bytes pkts bytes/s pkts/s
10.0.0.1 po2/0 0 0 0 0
192.168.9.9 po1/2 131m 511m 1538 6
192.168.9.9 po2/0 144g 3134m 6619923 143909
显示所有攻击源条目:
router# show ip source-track summary
address bytes pkts bytes/s pkts/s
10.0.0.1 0 0 0 0
100.10.1.1 131m 511m 1538 6
192.168.9.9 146g 3178m 6711866 145908
2、cisco ios feature 配置 tcp intercept (防止 denial-of-service attacks)
配置路由器以保护服务器免收 tcp syn-flooding attacks。
以下配置定义了一个扩展access list 101,保护192.168.1.0/24网段的服务器:
ip tcp intercept list 101
access-list 101 permit tcp any 192.168.1.0 0.0.0.255
show tcp intercept c 显示不完全和已建tcp连接
本文转自CC博客51CTO博客,原文链接http://blog.51cto.com/levelive/5879如需转载请自行联系原作者
刀博士