首页 > 其他分享 >SNRS Day 4-2 (IOS IDS)

SNRS Day 4-2 (IOS IDS)

时间:2024-08-18 20:15:54浏览次数:20  
标签:GW audit ip IOS tcp SNRS intercept config Day

ios ids

topology:

同上

技术特点:

ios ids是一个在线式(in-line)的入侵检测sensor,对于所有穿越router的包,都一一扫描看是否match其中任何一个signature.

当发现可疑的行为,可以采取以下的行动:

1.alarm:发告警到syslog服务器或cisco secure ids director

2.drop:drop掉这个包

3.reset:reset这个tcp连接(但是会继续转发这个包,所有建议和drop同时使用)

当启用ios ids时,ios firewall自动就启用了,一些参数也起作用了(对于cbac半开连接自动启动)

如:

ip inspect mac-incomplete high

ip inspect max-incomplete low

ip inspect one-minute high

ip inspect one-minute low

配置步骤:

GW(config)#ip audit smtp spam 20 最大的邮件收件人数目,默认250

GW(config)#ip audit notify nr-director 发log到director(相当于ips的SDEE查看事件的协议)

GW(config)#ip audit notify log 发log到syslog server

GW(config)#ip audit name MYIDS info action alarm

GW(config)#ip audit name MYIDS attack action alarm drop reset

GW(config)#int s0/0

GW(config)#ip audit MYIDS in

GW(config)#logging 150.100.1.241

GW(config)#logging trap informational

GW(config)#ip audit po local hostid 10 orgid 1000

GW(config)#ip audit po remote hostid 11 orgid 1000 rmtaddress 150.100.1.241 localaddress 150.100.1.1

GW(config)#config-register 0x2102

GW#wr

GW#reload

测试:

制造告警在syslog server上看告警信息.

GW#ping 218.18.1.254

GW#ping 218.18.1.254 size 1025

show ip audit all

show ip audit statistics

clear ip audit configuration禁用ids并清除所有的ids的配置

实验:

r5:

ip audit notify log(发送日志到log服务器)

ip audit notify nr-director(发送信息到nr-director)

ip audit smtp spam 20(最大邮件接收人20)

ip audit name IDS info action alarm(对于提示信息发送提示)

ip audit name IDS attack action alarm drop reset(对于攻击reset和drop)

int f0/0

ip audit IDS in(调用)

ip audit po local hostid 10 orgid 1000

ip audit po remote hostid 11 orgid 1000 rmtaddress 56.1.1.254 localaddress 56.1.1.5(端口默认45000)

ip audit name IDS info action alarm drop

ip audit signature 2004 disable(关闭2004signature)

ip audit signature 2004 list 1(对列表1的signature关闭)

access-list 1 permit 56.1.1.0 0.0.0.255

no ip audit signature 2004

tcp intercept

拓扑:

技术特点:

1.tcp intercept 这个feature是用来保护tcp server不受tcp-syn泛洪攻击,也就是dos攻击.

2.tcp intercept有连个模式:主动的intercept模式和被动的watch模式

1)在intercept模式下,路由器会先代替目的server,跟client建立三次握手,当成功建立连接后,在代替client与server建立连接,最后将两个连接结合在一起.

2)在watch模式下,路由器只是被动前监视tcp的建立过程,当在设置的时间内连接还没有建立起来,就终结这个连接.

配置步骤:

GW(config)#access-list 101 permit tcp any host 192.168.1.100

GW(config)#ip tcp intercept list 101

GW(config)#ip tcp intercept mode watch默认是intercept模式

GW(config)#ip tcp intercept watch-timeout 20

wathc模式下超过这个时间还没有建立起来tcp连接,就clear当前连接,默认30s

GW(config)#ip tcp intercept connection-timeout 5

只有在intercept模式下这个connection-timeout值才会起作用,就是tcp session的IDLE时间.

下面四个参数是配置intercept什么时候进入和退出aggressive mode

进入aggressive mode后:

灭个新进入的连接都将导致是最老的连接被删除.(或者任意删除一个连接,通过下面的命令调整)

GW(config)#ip tcp intercept drop-mode random 默认是oldest

如果是watch mode,watch timeout将减半

GW(config)#ip tcp intercept max-incomplete high 1000 默认是1100

GW(config)#ip tcp intercept max-incomplete low 800 默认是900

半开连接的总数超过high就进入aggressive mode,低于low退出

标签:GW,audit,ip,IOS,tcp,SNRS,intercept,config,Day
From: https://www.cnblogs.com/smoke520/p/18366029

相关文章

  • _PIX 7.0 Day 2
    pix只支持ip包,带有选项字段的ip包是过不了pix的,传输层协议tcp面向连接可靠的传输层协议,确认机制,序列号,pix可以对tcp维护状态表项,列表只对初始化的包有效.udp面向无连接,没有确认机制,高效率.nat1.有限公网地址2.私网地址转换公网3.隐藏源ip地址,增加安全性.高安全......
  • python入门篇-day06-文件操作
    文件操作文件操作概述概述:​我们所熟知的操作系统,例如:Windows,MacOS,Linux都是文件操作系统,它们都是通过文件来管理数据的.文件的基本操作步骤:​1.打开文件.2.读取数据或者写入数据或者追加数据.3.关闭文件.文件操作涉及到的函数:open(文件......
  • 对象流,序列化和反序列化 day18
    packagecom.shujia.day18.ketang;importjava.io.*;/*序列化流:序列化:将一个对象转换成网络中传输的流对象输出流:ObjectOutputStream将一个类的对象写进文本中反序列化:将网络中传输的流还原成一个对象对象输入流:Object......
  • 嵌入式day30
    管道---半双工通信方式单工       //广播---单一方向的数据通道半双工        //对讲机---同一时刻只能有一个方向全双工        //手机电话---同一时刻两个方向都可以通信无名管道只能用于亲缘关系进程间有名管道是一种特殊......
  • Day01
    Markdown学习一级标题:#+空格+标题名字二级标题:##+空格+标题名字三级标题:###+空格+标题名字四级标题:####+空格+标题名字......最多到六级标题字体粗体:两边都加两个星号斜体:两边都加一个星号斜体加粗:两边都加三个星号删除线:两边都加两个波浪号引用一个大于符号加空格......
  • 026、Vue3+TypeScript基础,使用async和await来异步读取axios的网络图片
    01、App.vue代码如下:<template><divclass="app"><h2>App.Vue</h2><Person/></div></template><scriptlang="ts"setupname="App">//JS或TSimportPersonfrom'./......
  • JDBC链接MySQL day18
    packagecom.shujia.day18.ketang;importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.ResultSet;importjava.sql.Statement;/*我们要想操作mysql数据库,jdk本身是无法操作的,因为java并不知道将来开发者需要使用java连接什么样的数据库,所以j......
  • Configuring the Cisco IOS XE DHCP Relay Agent
    CiscoroutersrunningCiscoIOSXEsoftwareincludeDynamicHostConfigurationProtocol(DHCP)serverandrelayagentsoftware.ADHCPrelayagentisanyhostthatforwardsDHCPpacketsbetweenclientsandservers.Thismoduledescribestheconceptsandt......
  • 2024 NVIDIA Summer Camp Day1:构建RAG多模态AI Agent
    下载材料和课件等课程相关资料下载链接:https://pan.baidu.com/s/15Y-gmsfeYCgKF-M3TJZVgg?pwd=fafe提取码:fafe 1.课件链接:https://pan.baidu.com/s/15JTy9CqnesXSlPiwwrUmjA?pwd=1111 提取码:1111 2.phi3量化大模型链接:https://pan.baidu.com/s/10HqxpkJmSyg-Bb......
  • java基础--day08面向对象以及键盘录入
    1.类和对象1.1类和对象的理解客观存在的事物皆为对象,所以我们也常常说万物皆对象。类类的理解类是对现实生活中一类具有共同属性和行为的事物的抽象类是对象的数据类型,类是具有相同属性和行为的一组对象的集合简单理解:类就是对现实事物的一种描述类的组成......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99