- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
15-TCP攻擊防禦配置
本章節下載: 15-TCP攻擊防禦配置 (118.44 KB)
攻擊者可以利用TCP連接的建立過程對與其建立連接的設備進行攻擊,為了避免攻擊帶來的危害,設備提供了相應的技術對攻擊進行檢測和防範。
Naptha屬於DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊方式,主要利用操作係統TCP/IP棧和網絡應用程序需要使用一定的資源來控製TCP連接的特點,在短時間內不斷地建立大量的TCP連接,並且使其保持在某個特定的狀態(CLOSING、ESTABLISHED、FIN_WAIT_1、FIN_WAIT_2和LAST_ACK五種狀態中的一種),而不請求任何數據,那麼被攻擊設備會因消耗大量的係統資源而陷入癱瘓。
防止Naptha攻擊功能通過加速TCP狀態的老化,來降低設備遭受Naptha攻擊的風險。開啟防止Naptha攻擊功能後,設備周期性地對各狀態的TCP連接數進行檢測。當某狀態的最大TCP連接數超過指定的最大連接數後,將加速該狀態下TCP連接的老化。
(1) 進入係統視圖。
system-view
(2) 開啟防止Naptha攻擊功能。
tcp anti-naptha enable
缺省情況下,防止Naptha攻擊功能處於關閉狀態。
(3) (可選)配置TCP連接的某一狀態下的最大TCP連接數。
tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit number
缺省情況下,CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五種狀態最大TCP連接數均為50。
如果最大TCP連接數為0,則表示不會加速該狀態下TCP連接的老化。
(4) (可選)配置TCP連接狀態的檢測周期。
tcp check-state interval interval
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
