- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-TCP攻擊防禦配置
本章節下載: 09-TCP攻擊防禦配置 (97.42 KB)
攻擊者可以利用TCP連接的建立過程對設備進行攻擊。為了避免上述攻擊帶來的危害,設備提供了SYN Cookie功能。
下麵將詳細介紹該功能的工作原理,以及配置過程。
一般情況下,TCP連接的建立需要經過三次握手,即:
(1) TCP連接請求的發起者向目標服務器發送SYN報文;
(2) 目標服務器收到SYN報文後,建立處於SYN_RECEIVED狀態的TCP半連接,並向發起者回複SYN ACK報文,等待發起者的回應;
(3) 發起者收到SYN ACK報文後,回應ACK報文,這樣TCP連接就建立起來了。
利用TCP連接的建立過程,一些惡意的攻擊者可以進行SYN Flood攻擊。攻擊者向服務器發送大量請求建立TCP連接的SYN報文,而不回應服務器的SYN ACK報文,導致服務器上建立了大量的TCP半連接。從而,達到耗費服務器資源,使服務器無法處理正常業務的目的。
SYN Cookie功能用來防止SYN Flood攻擊。當服務器收到TCP連接請求時,不建立TCP半連接,而直接向發起者回複SYN ACK報文。服務器接收到發起者回應的ACK報文後,才建立連接,並進入ESTABLISHED狀態。通過這種方式,可以避免在服務器上建立大量的TCP半連接,防止服務器受到SYN Flood攻擊。
表1-1 配置SYN Cookie功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能SYN Cookie功能 |
tcp syn-cookie enable |
必選 缺省情況下,SYN Cookie功能處於使能狀態 |
l 如果啟用了在建立TCP連接時進行MD5認證的功能,則SYN Cookie功能不會生效。取消在建立TCP連接時進行MD5認證功能後,之前配置的SYN Cookie功能會自動生效。關於在建立TCP連接時進行MD5認證功能的介紹,請參見“三層技術-IP路由配置指導”中的“BGP配置”。
l 使能SYN Cookie功能後,建立TCP連接時隻協商最大報文段長度選項,而不協商窗口縮放因子和時間戳選項。
在任意視圖下執行display tcp status命令可以顯示所有TCP連接的狀態,用戶可以通過顯示信息隨時監控TCP連接。
表1-2 TCP攻擊防禦顯示和維護
|
操作 |
命令 |
|
顯示所有TCP連接的狀態 |
display tcp status [ | { begin | exclude | include } regular-expression ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
