目录
实验难度 | 2 |
实验复杂度 | 2 |
一、实验原理
网络上存在着很多攻击,其中一种就是利用TCP协议漏洞来攻击的,这种攻击方式简单粗暴,这个TCP的半开连接是十分有效的网络攻击方式,也是十分没有脑子的攻击方式(老实说,我个人十分鄙视使用这种方式进行攻击的行为)。现在我们来看看它的攻击原理,如下图,正常情况下,客户机与服务器的连接建立是使用TCP的三次握手来实现的,而攻击者就是利用这个连接进行攻击,因为攻击者可以发送大量的TCP数据包来占用服务器的资源,而它本身不回应服务器的同步数据包。
攻击原理图如下:
这个攻击我们可以使用ASA来阻止,我们可以通过定期发送DCD(死亡连接检测)包来发送这些占用资源的连接,然后进行清除掉。我们可以在ASA防火墙上设置会话超时的时间,以及设定DCD包的定期检测功能,这样一样,就可以在一定程度上防御SYN半开连接攻击当然完全连接也是一样的,当然想要完全防御住这个没有那么容易的,下面我们通过实验来理解ASA的会话超时这个内容。
二、实验拓扑
三、实验步骤
1.搭建如图所示的网络拓扑图;
2.初始化路由器,配置好相应的IP地址;
3.初始化ASA防火墙,名称为ASA,inside区域的安全级别为100,outside区域的安全级别为20;
4.在R1、R2上配置默认路由,下一步指向ASA的接口;
5.配置R2的远程登录信息功能,特权密码为ccie,采用本地用户密码:sec/sec的方式进行telnet认证;
6.配置匹配R1到R2的telnet流量的ACL名称为R12,把R12应用到class-map中,class-map的名称为CS,然后把class-map应用到全局policy-map中,,然后设置超时时间为50分钟,在50分钟内,最多发送3个DCD检测包,如果都没有检测到连接,则清除TCP连接。
四、实验过程
1.搭建如图所示的网络拓扑图;
使用GNS3或EVE来搭建,过程略。
2.初始化路由器,配置好相应的IP地址;
略。
3.初始化ASA防火墙,名称为ASA,inside区域的安全级别为100,outside区域的安全级别为20;
4.在R1、R2上配置默认路由,下一步指向ASA的接口;
5.配置R2的远程登录信息功能,特权密码为ccie,采用本地用户密码:sec/sec的方式进行telnet认证;
6.配置匹配R1到R2的telnet流量的ACL名称为R12,把R12应用到class-map中,class-map的名称为CS,然后把class-map应用到全局policy-map中,,然后设置超时时间为50分钟,在50分钟内,最多发送3个DCD检测包,如果都没有检测到连接,则清除TCP连接。
(1)配置ACL
(2)配置class-map,把ACL应用到这里
(3)配置全局policy-map
总结
本章节介绍了当穿越ASA的会话连接超时的处理内容,有兴趣的朋友们可以把DCD的发送频率调整的大一点,把时间范围设定的更小,然后进行抓包查看一下DCD的检测行为,这里我就不抓包了。好了,我们在下一个章节再见,加油!