您现在的位置 : 路由人 > 路由器设置 > 正文 IP地址冲突 路由人教你更换IP地址 / 如何防蹭网的终极解决办法 / 连接上192.168.1.1没有账号、密码输入框 /

思科安全之TCP

对于网络上常见的攻击,想必大家都有所了解,其实大多数攻击都是基于TCP连接,发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击。下面,我以思科路由器为例,给大家介绍如何拦截非法的TCP连接。所谓的TC...

对于网络上常见的攻击,想必大家都有所了解,其实大多数攻击都是基于TCP连接,发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击。下面,我以思科路由器为例,给大家介绍如何拦截非法的TCP连接。

所谓的TCP建立连接的三次握手过程中,一方向另一方发送的第一个报文设置了SYN位,当某台设备接收到一个请求服务的初始报文时,该设备响应这个报文,发回一个设置了SYN和ACK位的报文,并等待源端来的ACK应答。

在TCP连接请求到达目标主机之前,TCP拦截通过对其进行拦截和验证来阻止这种攻击,也就是说,思科路由器会代替主机进行连接,这时就需要在思科路由器上配置TCP拦截(TCP intercept)来防止这种攻击了。

一、拦截模式

思科路由器拦截所有到达的TCP同步请求,并代表服务器建立与客户机的连接,并代表客户机建立与服务器的连接,如果两个连接都成功地实现,思科路由器就会将两个连接进行透明的合并,路由器有更为严格的超时限制,以防止其自身的资源被SYN攻击耗尽。

二、监视模式

思科路由器被动地观察half-open连接的数目,如果超过了所配置的时间,思科路由器也会关闭连接,ACL则用来定义要进行TCP拦截的源和目的地址。

(1)ip tcp intercept mode设置TCP拦截的工作模式,默认是intercept;

(1)ip tcp intercept list ACL编号调用ACL用来定义要进行TCP拦截的源和目的地址;

(1)当一个路由器因为其所定义的门限值被超出而确认服务器正遭受攻击时,路由器就主动删除连接,直到half-open的连接值降到小于门限值,默认关闭的是最早的连接,除非使用了ip tcp interceptdrop-mode random。

三、当所设置的门限值被超时时,路由器进行下面的动作

(1)每一个新的连接导致一个最早的(或随机的)连接被删除;

(2)初始的重传超时时间被减少一半,直到0.5秒;

(3)如果处于监视模式,则超时时间减半,直到15秒。

四、这是用来判断路由器是否正在遭受攻击,如果超过了两个高门限值中的一个,则表明路由器正遭受攻击,直到门限值已经降至两个低门限值以下

下面显示了有关的参数及其默认值,并对其加以简单描述

(1)ip tcp intercept max-incomplete high number 1100

在路由器开始删除连接之前,能够存在的half-open连接的最大数目;

(2)ip tcp inercept max-incomplete low number 900

在路由器停止删除half-open连接之前,能够存在的最大half-open连接数目;

(3)ip tcp intercept one-minute high number 1100

在路由器开始删除连接之前,每分钟内能存在的最大half-open连接数目;

(4)ip tcp intercept one-minute low number 900

在路由器停止删除连接之前,每分钟内能存在的最小half-open连接数目。

half-open连接总数与每分钟half-open连接的数量比率是相联系的。任何一个最大值到达,TCP拦截就被激活并且开始删除half-open连接。一旦TCP拦截被激活,这两个值都必须下降到TCP拦截的低设置值,以便停止删除连接。

以上就是思科路由器非法TCP连接拦截的配置步骤,有着同样苦恼的网友们可以尝试设置解决问题。

延伸阅读:
  • 本月热点
  • 随机推荐
路由人提示:如需转载本站无线连接及路由器设置等技术文章请您注明出处,谢谢!
Copyright © www.LuYouRen.com, All Rights Reserved.
  苏ICP备12075116号