网络安全篇 ASA的会话超时-23

最新推荐文章于 2023-05-06 18:45:44 发布
最新推荐文章于 2023-05-06 18:45:44 发布
阅读量789 收藏 1
点赞数
分类专栏: 网络安全 文章标签: 防火墙 ASA会话超时
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37171673/article/details/113858473
版权

目录

一、实验原理

二、实验拓扑

三、实验步骤

四、实验过程

总结

实验难度2
实验复杂度2

 

 

 

一、实验原理

网络上存在着很多攻击,其中一种就是利用TCP协议漏洞来攻击的,这种攻击方式简单粗暴,这个TCP的半开连接是十分有效的网络攻击方式,也是十分没有脑子的攻击方式(老实说,我个人十分鄙视使用这种方式进行攻击的行为)。现在我们来看看它的攻击原理,如下图,正常情况下,客户机与服务器的连接建立是使用TCP的三次握手来实现的,而攻击者就是利用这个连接进行攻击,因为攻击者可以发送大量的TCP数据包来占用服务器的资源,而它本身不回应服务器的同步数据包。

 

攻击原理图如下:

这个攻击我们可以使用ASA来阻止,我们可以通过定期发送DCD(死亡连接检测)包来发送这些占用资源的连接,然后进行清除掉。我们可以在ASA防火墙上设置会话超时的时间,以及设定DCD包的定期检测功能,这样一样,就可以在一定程度上防御SYN半开连接攻击当然完全连接也是一样的,当然想要完全防御住这个没有那么容易的,下面我们通过实验来理解ASA的会话超时这个内容。

 

二、实验拓扑

三、实验步骤

1.搭建如图所示的网络拓扑图;

2.初始化路由器,配置好相应的IP地址;

3.初始化ASA防火墙,名称为ASA,inside区域的安全级别为100,outside区域的安全级别为20;

4.在R1、R2上配置默认路由,下一步指向ASA的接口;

5.配置R2的远程登录信息功能,特权密码为ccie,采用本地用户密码:sec/sec的方式进行telnet认证;

6.配置匹配R1到R2的telnet流量的ACL名称为R12,把R12应用到class-map中,class-map的名称为CS,然后把class-map应用到全局policy-map中,,然后设置超时时间为50分钟,在50分钟内,最多发送3个DCD检测包,如果都没有检测到连接,则清除TCP连接。

四、实验过程

1.搭建如图所示的网络拓扑图;

使用GNS3或EVE来搭建,过程略。

2.初始化路由器,配置好相应的IP地址;

略。

3.初始化ASA防火墙,名称为ASA,inside区域的安全级别为100,outside区域的安全级别为20;

4.在R1、R2上配置默认路由,下一步指向ASA的接口;

5.配置R2的远程登录信息功能,特权密码为ccie,采用本地用户密码:sec/sec的方式进行telnet认证;

6.配置匹配R1到R2的telnet流量的ACL名称为R12,把R12应用到class-map中,class-map的名称为CS,然后把class-map应用到全局policy-map中,,然后设置超时时间为50分钟,在50分钟内,最多发送3个DCD检测包,如果都没有检测到连接,则清除TCP连接。

(1)配置ACL

(2)配置class-map,把ACL应用到这里

(3)配置全局policy-map

总结

本章节介绍了当穿越ASA的会话连接超时的处理内容,有兴趣的朋友们可以把DCD的发送频率调整的大一点,把时间范围设定的更小,然后进行抓包查看一下DCD的检测行为,这里我就不抓包了。好了,我们在下一个章节再见,加油!

公子绝
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
网络工程师之防火墙篇
life_boy的博客
03-22 1020
网络工程师之防火墙技术及参数配置
防火墙超时关闭TCP长连接 设置TCP长连接心跳机制
ZouTaooo的博客
08-31 4445
Error Traceback (most recent call last): File "/usr/lib/python3.5/threading.py", line 914, in _bootstrap_inner self.run() File "/usr/lib/python3.5/threading.py", line 862, in run self._target(*self._args, **self._kwargs) File "/home/zt/CI/Mas
【Cisco 思科 Firepower/ASA 系列防火墙策略长链接配置方法】
wzhj891119的博客
05-06 1557
金融行业城市商业银行应用和数据库之间之间长链接保活实现。 思科防火墙 ASA配置命令
ASA 5500部分实用技术二
weixin_33912638的博客
07-19 230
四.防止网络*** — 配置连接限制和超时 以下说明如何设定tcp和udp最大连接数,embryonic(半开)最大连接数、每客户端最大连接数、连接超时、DCD(死亡连接检测)和如何禁止TCP序列随即化。 连接数和半开连接数限制可以防止DoS***。全设备使用per-client限制和半开连接数限制来阻止tcp intercept(截取);防止由TCP同步报文泛洪...
ASA防火墙的TCP半开设置
weixin_34080951的博客
03-29 519
ASA(config)# class-map CONNS 先定义一个类ASA(config-cmap)# match any 匹配所有流量ASA(config-cmap)# policy-map CONNS 再定义一个策略ASA(config-pmap)# class CONNS 关联刚才定义的那个类ASA(config-p...
asa9-12-3-12-smp-k8.bin
07-25
Cisco Adaptive Security Appliance Software for the ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, 5585-X, and ASASM.
asa9-14-4-23-smp-k8.bin
07-18
Cisco ASA 防火墙固件
asa9-14-4-23-lfbff-k8.SPA
07-18
Cisco ASA 防火墙固件
asa9-14-1-smp-k8.bin
05-03
asa 最新系统
ASA.zip_ASA_Simulated-_simulated annealing_zip
09-14
ASA(Annealing Simulated Algorithm)是模拟退火算法的一种具体实现。 在计算机科学和信息技术领域,模拟退火算法被广泛应用在复杂问题的求解上,如旅行商问题、图着色问题、装载问题等。其主要思想是在搜索空间中...
思科防火墙ASA完整视频课程
03-04
本课程适合学习完NA/NP课程或有相应水平人士。本课程介绍思科全产品ASA的配置方法与部署方法。同时介绍技术特点与部署环境的主要应用,问题及解决办法。本课程介绍了基本的图型化配置方法与命令行配置方法,使用虚拟机版本8.42,基本与真实机器无差别。本课程主要讲解的全技术如下:ACL,对像组,穿越ASA,MPF,NAT,PAT,透明防火墙,多模式防火,冗余,A/S,A/A等技术介绍,同时简单介绍了关于ASA配置路由协议的命令。                                                       课件截图:
Oracle RAC tns 00505,Host Administratively Prohibited
weixin_39557199的博客
04-08 378
这时候,怀疑是不是ASA阻断了数据库和应用之间的连接。检查ASA配置后发现超时时间设置的是8个小时,这个业务在低谷期也不会出现8小时空闲,并且应用程序会在空闲的时候定期探测数据库长连接是否可用。因此,觉得不太可能是常见的空闲超时导致的连接中断。 继续进行分析,发现数据库里面有较多的direct path read 等待事件。观察应用SQL的执行计划,发现有大量的全表扫描,并且某些SQL的执行时间...
网络全篇 ASA的管理访问-06
佐德将军的博客
01-05 1184
实验难度 3 实验复杂度 4 一、实验原理 ASA防火墙的管理方式有很多种,比如有Telnet、SSH、HTTPS、SNMP等,现在我们在进行实验的时候主要是使用Telnet的方式进行管理的。当然除了使用远程的方式进行管理外,我们也可以使用带外网管,在初始化设备时,是需要使用这种方式来管理配置的。ASA的带外网络管口的特点与建议如下: 1.可以配置任何一个接口成为专用的管理接口; 2.流量不能够穿越管理接口,但是可以到达; 3.需要应用管理访问策略来允许访问; ...
网络全之ASA基础配置(全萌新,旨在记录和分享,如有错误欢迎指教)
always_test的博客
10-12 1293
进行练习记录完成ASA基础配置(模拟工具GNS3)准备开始(进行扑朔图的搭建)基础配置1、配置主机名和密码:2、配置接口3、配置路由4、为出站流量配置网络地址转换:5.配置ACL: 完成ASA基础配置(模拟工具GNS3) 注意:主机和服务器均可以使用路由器来代替。 1.配置主机名和密码: ASA的名字为:ASA802 特权密码为:CISCO 远程登录密码为:CISCO 2.配置接口: 按图例配置接口名称和IP地址和接口全级别(分别为:0 /50 /100) 3.配置路由: 在ASA写入默认路由,指向
平面判断两点连线是否交叉
11-02 894
function judgeIntersect(x1,y1,x2,y2,x3,y3,x4,y4) { //快速排斥: //两个线段为对角线组成的矩形,如果这两个矩形没有重叠的部分,那么两条线段是不可能出现重叠的 //这里的确如此,这一步是判定两矩形是否相交 //1.线段ab的低点低于cd的最高点(可能重合) //2.cd的最左端小于ab的最右端(可能重合) //3.cd的最低点低于ab的最高点(加上条件1,两线段在竖直方向上重合) //4.ab的...
交换机 路由器 防火墙asa 全访问、配置 方式
centos的博客
10-18 4541
这里交换机 路由器 暂时统称为  网络设备 我们一般管理网络设备采用的几种方法   一般来说,可以用5种方式来设置路由器: 1. Console口接终端或运行终端仿真软件的微机(第一次配置要使用此方式) 2. AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连; 3. 通过Ethernet上的 telnet 程序或 ssh程序;
ping服务器请求超时_高防服务器能防哪些恶意网络攻击?
weixin_39930276的博客
12-06 169
目前有很多网络黑产,用各种各样的恶意网络攻击窃取用户信息甚至瘫痪服务器。因此有些企业和个人就会选用高防服务器。那高防服务器能防哪些恶意网络攻击呢?磐石云高防服务器保证您的业务全  1.攻击邮件系统  向电子邮件地址或邮件服务器发送大量相同或不同的电子邮件会使地址或服务器的存储空间变满,并且无法提供正常服务。电子邮件炸弹是最古老的匿名攻击之一。其原理是旧的SMTP协议不需要发件人的身份验证。黑客...
5种最常见的网络攻击方式详解!
oldboyedu1的博客
12-21 2711
互联网的快速发展,为我们的生活带来了很多的便利和变化,在此基础之上,也为网络攻击的发展提供了有力的支撑。常被伪装成工具程式或游戏等诱使用户打开,一旦用户打开了这些邮件的附件或执行了这些程式之后,他们就会留在计算机中,并在自己的计算机系统中隐藏一个能在Windows启动时悄悄执行的程式。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。是主机的一种工作模式,在这种模式下,主机能接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。
常见的网络攻击方法
coder
05-03 4528
常见的网络攻击
asa983-11-smp-k8.bin download
最新发布
08-11
asa983-11-smp-k8.bin是指CISCO公司的ASA设备的系统映像文件。该文件是ASA设备的操作系统文件,用于设备的引导和运行。 将这个文件下载到设备中,可以更新或ASA设备的操作系统版本。下载过程中,需要将asa983-11-smp-k8.bin文件保存在合适的位置,一般是设备的闪存(flash)或硬盘(hard disk)中。 下载的方法通常有两种:通过命令行界面(CLI)或通过远程管理工具,如Cisco ASDM。通过CLI下载,可以使用TFTP(Trivial File Transfer Protocol)或FTP(File Transfer Protocol)等协议来从FTP服务器或TFTP服务器中下载该文件。通过远程管理工具下载,可以通过图形用户界面(GUI)操作完成。无论使用哪种方法,都需要提供下载文件的路径和服务器的相关信息。 需要注意的是,在进行下载之前,应该确保设备与下载服务器之间的网络连接是正常的,同时也要确保下载设备的闪存或硬盘有足够的可用空间,以保存asa983-11-smp-k8.bin文件。 一旦下载完成,在设备的操作系统升级或装过程中,可能需要执行一些额外的步骤,如备份设备的配置文件或重启设备等。 总之,asa983-11-smp-k8.bin是CISCO ASA设备的系统映像文件,可以通过CLI或远程管理工具下载到设备中,用于设备的操作系统升级或装。下载前需要确保网络连接正常,下载设备有足够的可用空间,并在升级或装过程中遵循相应的操作步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

公子绝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值