用cisco命令确定和跟踪DOS攻击源

跟踪和阻止denial of service (DoSattacks). 对付DoS attack 有三个步骤: intrusion detection, source tracking, and blocking. 本命令是针对source tracking。
1、配置举例:
本例说明怎样在路由器上所有line cards/port adapters , 为了让每块line card or port adapter收集到主机 100.10.0.1(被攻击的机器) 的数据流。两分钟后生成 log日志. 记录在log的数据包和流每60秒向GRP/RSP 导出以方便察看.

Router# configure interface
Router(config)# ip source-track 100.10.0.1
Router(config)# ip source-track syslog-interval 2
Router(config)# ip source-track export-interval 60

显示到达源端口的攻击包的源地址及流量:
Router# show ip source-track
Address SrcIF Bytes Pkts Bytes/s Pkts/s
10.0.0.1 PO2/0 0 0 0 0
192.168.9.9 PO1/2 131M 511M 1538 6
192.168.9.9 PO2/0 144G 3134M 6619923 143909
显示所有攻击源条目:
Router# show ip source-track summary
Address Bytes Pkts Bytes/s Pkts/s
10.0.0.1 0 0 0 0
100.10.1.1 131M 511M 1538 6
192.168.9.9 146G 3178M 6711866 145908

2、cisco IOS feature 配置 TCP Intercept (防止 Denial-of-Service Attacks)
配置路由器以保护服务器免收 TCP SYN-flooding attacks。
以下配置定义了一个扩展access list 101,保护192.168.1.0/24网段的服务器:

ip tcp intercept list 101
access-list 101 permit tcp any 192.168.1.0 0.0.0.255

show tcp intercept connections 显示不完全和已建TCP连接

关键词: 学习 , 信息安全 , cisco

上一篇: Cisco设备做流量监控的方法
下一篇: 上海夜空出现不明飞行物

相关文章
访客评论
#1
回复 MuRraIn 2007-08-26, 22:58:10
貌似有种技术,就是通过cisco路由,把流量引导导一个机器上,不知道怎么实现的
#2
回复 性感美女 2007-08-27, 10:29:52
最痛恨的就是dos分布式攻击了,可是现在的人都用肉鸡进行攻击,怎么来确定最终源?
#3
回复 4mxku 2007-08-27, 16:47:54
那叫引流,黑洞就是用的这个机制
#4
回复 murrain 2007-08-29, 22:53:41
知道啊,上次在一个群扯蛋,一个在成都电信工作的牛B淫物给一个网吧处理DDOS攻击就是,一个10兆带宽的网吧,挡住了500多兆的流量,这样对抗了17天,并且找到了攻击的源头,但是具体细节,牛淫不给透露
#5
回复 GK 2009-01-15, 14:00:36
10M是无论如何也低不住500M的

他这样说有装13的嫌疑,或者Y只说了表面上的结果。

我知道的一个实例是这样的:攻击网吧,就得知道网吧IP,网吧IP有的是固定有的是不固定,网吧和网站不同是没有DNS解析来得知具体IP,换句会来说,攻击者需要知道被攻击网吧公网的IP,就需要在网吧内部或者咋第比如到IP138上知道公网IP,这样子,就给防护和查找带来了机会。
朋友是把网吧的数据包通过VPN路由到电信的抗DDOS防火墙的电信机房,攻击者获取的公网IP全是高带宽高防护的电信机房。自然就抗住了,再在网吧内部抓包,看有谁访问获取自己IP的网站,找到谁上那机器就抓到人了。
抓到那人没有撒技术就是别人请来查IP的,审了一下是竞争对手搞的.......剩下的事情就!@#!¥#!¥#
发表评论

评论内容 (必填):