ios安全经典特性
1.ip tcp intercept
抵御syn同步的dos攻击。
protect tcp servers from syn-flooding attacks
两种工作模式:
1.intercept mode(active mode)default
伪装服务器给客户端发送ack+syn
2.watch mode(passive mode)
可以设置在多长时间内完成3次握手,如果过了路由器就会伪装服务器给客户发送一个tcp的rest包就会清除缓存信息。
ip tcp intercept配置实例
ip access-list extended dos
permit tcp any host 1.1.1.1
ip tcp intercept list dos(最基本配置)
ip tcp intercept connection-timeout 10(只有在watch模式生效)
ip tcp intercept max-incomplete low 800
ip tcp intercept max-incomplete high 1000
ip tcp intercept one-minute low 400
ip tcp intercept one-minute high 500
ip tcp intercept mode watch intercept (修改模式)
ip tcp intercept drop-mode random/oldest(修改丢弃连接方式)
关于抵制欺骗的几个rfc
1.rfc 1918
10.0.0.0 10.255.255.255(10/8 prefix)
172.16.0.0 172.31.255.255(172.16/12prefix)
192.168.0.0 192.168.255.255(192.168/16 prefix)
2.rfc 3330(frc1918扩大版本)
3.rfc 2827(network ingress filtering:defeating denial of service)
4.rfc 3704(rfc 2827 multihomed networks增强版本)
2.unicast reverse path forwarding(urpf)
抵御dos攻击,丢弃不能够通过ip源地址检查的包。
unicast rpf配置实例
第一步:全局启用cef
ip cef
第二步:配置排除/log访问控制列表
access-list 101 permit ip host 1.1.1.1 any
access-list 101 deny ip any any log
第三步:接口下启用urpf
inter f0/0
ip verify unicast souce reachable-via rx严格模式(any宽松模式) allow-default allow-self-ping 101
第四步:查看urpf状态
show int f0/0
3.ip souce tracker
收集被攻击主机的流量信息,并且轻松判断攻击入口点。
ip source tracker配置
ip source-track 172.16.1.1(跟踪的被攻击主机)
ip souce-track syslog-interval 2 (产生syslog信息的周期,单位分钟)
ip souce tracker查看命令
show ip souce-track summary
4.netflow介绍
对接口流量进行统计
netflow配置实例
ip flow-export version 5
ip flow-export destination 137.78.10.208 2055
ip flow-export souce interface f0/1
interface f0/1
ip flow ingress
ip flow egress
flow:
1.souce ip address
2.destination ip address
3.source port number
4.destination port number
5.layer 3 protocol type
6.type of service (tos)
7.input logical interface
5.nbar
能够识别4-7层的应用和协议
nbar配置实例
step:配置/查看ip nbar protocol-discovery
interface f0/0
ip nbar protocol-discovery(对接口协议的包进行分析)
show ip nbar protocol-discovery
step2:修改现有协议端口/自定义协议
ip nbar port-map http tcp 8080
ip nbar custom GDOI udp 848
step3:使用nbar匹配协议或特定字段
class-map match-any nbar-test
match protocol http host "cisco\.com*"
match protocol http url "yeslab*"
更改nbar匹配http的端口号
ip nbar port-map http tcp 8080
标签:protocol,ip,tcp,souce,intercept,CCNA,第四天,Security,nbar From: https://www.cnblogs.com/smoke520/p/18357897