思科路由器典型配置总结(2)

  • 时间:
  • 浏览:4

思科路由器配置之使用CAR(Control Access Rate)限制ICMP数据包流量速率单位单位

参考以下例子:

  1. interface xy  
  2.  
  3. rate-limit output access-group 2020 1150000 511150 7815000 conform-action  
  4.  
  5. transmit exceed-action drop  
  6.  
  7. access-list 2020 permit icmp any any echo-reply 

请参阅IOS Essential Features 获取更全部资料。

思科路由器配置之设置SYN数据包流量速率单位单位

  1. interface  
  2.  
  3. rate-limit output access-group 153 411500000 1115000 1115000 conform-action  
  4.  
  5. transmit exceed-action drop  
  6.  
  7. rate-limit output access-group 152 11150000 1115000 1115000 conform-action  
  8.  
  9. transmit exceed-action drop  
  10.  
  11. access-list 152 permit tcp any host eq www  
  12.  
  13. access-list 153 permit tcp any host eq www established 

在实现应用中时需进行必要的修改,替换:

411500000为最大连接速率单位单位

11150000为SYN flood流量速率单位单位的150%到150%之间的数值。

burst normal(正常突变)和 burst max(最大突变)4个多多多速率单位单位为正确的数值。

注意,由于突变速率单位单位设置超过150%,由于会丢失或多或少合法的SYN数据包。使用"show interfaces rate-limit"命令查看该网络接口的正常和过度速率单位单位,也能帮助选用相当于的突变速率单位单位。你这个 SYN速率单位单位限制数值设置标准是保证正常通信的基础上尽由于地小。

警告:一般推荐在网络正常工作时测量SYN数据包流量速率单位单位,以此基准数值加以调整。时需在进行测量时确保网络的正常工作以防止经常出现较大误差。

另外,建议考虑在由于成为SYN攻击的主机上安装IP Filter等IP过滤工具包。

思科路由器配置之搜集证据并联系网络安全部门或机构

由于由于,捕获攻击数据包用于分析。建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为:

  1. tcpdump -i interface -s 11150 -w capture_file  
  2.  
  3. snoop -d interface -o capture_file -s 11150 

本例中假定MTU大小为11150.由于MTU大于11150,则时需修改相应参数。将什么捕获的数据包和日志作为证据提供给有关网络安全部门或机构。

思科路由器的几条或多或少典型配置请阅读:思科路由器典型配置总结(1)

【编辑推荐】

  1. 网络命令学习基础之Route
  2. 思科基础知识:广域网协议(1)
  3. 思科基础知识:使用访问列表管理流量
  4. 网络命令学习基础之在cmd下更改ip地址

【责任编辑:

liyan

TEL:(010)684761506】