- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
14-TCP攻擊防禦配置
本章節下載: 14-TCP攻擊防禦配置 (142.14 KB)
攻擊者可以利用TCP連接的建立過程對與其建立連接的設備進行攻擊,為了避免攻擊帶來的危害,設備提供了相應的技術對攻擊進行檢測和防範。
下麵將詳細介紹防攻擊技術的原理以及配置。
Naptha屬於DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊方式,主要利用操作係統TCP/IP棧和網絡應用程序需要使用一定的資源來控製TCP連接的特點,在短時間內不斷地建立大量的TCP連接,並且使其保持在某個特定的狀態(CLOSING、ESTABLISHED、FIN_WAIT_1、FIN_WAIT_2和LAST_ACK五種狀態中的一種),而不請求任何數據,那麼被攻擊設備會因消耗大量的係統資源而陷入癱瘓。
防止Naptha攻擊功能通過加速TCP狀態的老化,來降低設備遭受Naptha攻擊的風險。開啟防止Naptha攻擊功能後,設備周期性地對各狀態的TCP連接數進行檢測。當某狀態的最大TCP連接數超過指定的最大連接數後,將加速該狀態下TCP連接的老化。
表1-1 配置防止Naptha攻擊功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟防止Naptha攻擊功能 |
tcp anti-naptha enable |
缺省情況下,防止Naptha攻擊功能處於關閉狀態 |
|
(可選)配置TCP連接的某一狀態下的最大TCP連接數 |
tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit number |
缺省情況下,CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五種狀態最大TCP連接數均為50 如果最大TCP連接數為0,則表示不會加速該狀態下TCP連接的老化 |
|
(可選)配置TCP連接狀態的檢測周期 |
tcp check-state interval interval |
缺省情況下,TCP連接狀態的檢測周期為30秒 |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
