Мрежови устройства ISP може потенциално да станат жертви на атаки, които провокират отказ на услуга (DoS).
Атака TCP SYN: От подателя идва голямо количество връзки, които не могат да бъдат изпълнени. Това води до препълване на опашките за връзки, което прави невъзможно да се използва най-често срещаните потребителите на услуги.
Този документ съдържа техническо описание на това как на потенциала на атака TCP SYN и предложи начини за използване на Cisco IOS софтуера за защита срещу тях.
Забележка: Софтуер Cisco IOS 11.3 има функция за предотвратяване на активни атаки "отказ на услуга" TCP. Тази функция е описан в документ настройка намеси TCP (предотвратяване на DoS-атака).
За този документ, няма предпоставки.
Този документ не е ограничена до някакви специфични версии на софтуера и хардуера.
Информацията, съдържаща се в този документ, са били получени с устройства в дадена лабораторна среда. Всички устройства, описани в този документ започна с конфигурацията по подразбиране. Когато се работи с истинска мрежа трябва да е напълно наясно с възможните резултати от използването на всички отбори.
При установяване на нормални връзки TCP-дестинация домакин получава пакети SYN (старт синхронизация) от източник домакин и предава обратно пакет SYN АСК (синхронизация потвърждение). Възелът на дестинация трябва да получи пакет ACK (потвърждение) в отговор на изпратено пакета SYN АСК, преди да се осъществи връзката. Това се нарича тристепенен установяване на TCP-връзка. "
Очаквайки ACK пакет в отговор на SYN АСК, ограничения размер на всички съединения върху хостът следи връзки, които да установят в очакване на приключването. Тази опашка обикновено се изчиства бързо, защото пакет пристигането на АСК се очаква в рамките на няколко милисекунди след получаване на SYN ACK пакет.
Външни прояви на този проблем включват невъзможността да получите електронна поща, невъзможността да се направи WWW на услугите за връзка или FTP, или приемащата има много TCP-връзки с държавната SYN_RCVD.
Увеличаването на размера на опашката за връзка (SYN АСК опашката).
Намаляване на времето за чакане за настройка на три етапа.
Кръпка доставчици на софтуер (в случай на наличие на такава) за откриване и заобикаляне на проблема.
Ние домакин доставчик трябва да попитам за наличието на конкретни поправки за предотвратяване на TCP SYN АСК атака.
Например, ако вашата мрежа се състои от IP-мрежа 172.16.0.0, рутер и се свързва към Интернет доставчик през сериен интерфейс 0/1, можете да приложите списък за контрол на достъпа, както следва:
Например, ако на серийния интерфейс сериен 1/0 рутера свързани с мрежата от следния брой на клиентите си, можете да създадете определен списък за контрол на достъпа по-долу:
Свързани статии