“cisco路由器上配置TCP拦截”

{/dede:field.body}

首先，让我们回顾一下我以前发送的acl的established选项的tcp的副本。

如上所述，在tcp建立连接的三次握手中，一个向另一个发送的第一个消息被设定了syn位，一个设备提供了服务 响应该消息，返回设置了syn位和ack位的消息，在等待中，如果发送方没有回复ack，则主机将超时终止连接。 当主机等待此连接超时时，连接处于半开放状态，半开放连接会占用主机资源。 在等待三次握手的过程中，如果主机资源用尽，发生syn攻击，特别是将千万syn发送到某台主机时，该主机很快就会崩溃。

在这种情况下，必须在路由器上配置tcp中断tcp中断，以防止此攻击。 / br/]

在TCP连接请求到达目标主机之前，TCP拦截通过拦截和验证它来阻止这种攻击。 这意味着路由器将代替主机进行连接。 / br// h///br// h/TCP拦截( TCP中断)在两种模式下工作:拦截和监视。 在拦截模式( intercept mode )下，路由器拦截所有到达的t c p同步请求，代替服务器建立与客户机的连接，代替客户机建立与服务器的连接。 如果两个连接都成功，路由器将透明地合并两个连接。 路由器有更严格的超时限制，以防止s y n攻击耗尽自身的资源。 在监视模式下，路由器被动地注意半开放连接的数量。 如果超过设定的时间，路由器也会断开连接。 acl用于定义进行tcp监听的源地址和目标地址。 3lian/br// h// br// h /基本配置命令:/br// h// br// iptcpinterceptmode / br// h// br /其他命令:由于超过了定义的阈值，服务器受到攻击 如果设置的阈值超时，路由器的工作方式如下:

1每个新连接都将删除最旧的(或随机的)连接。 / br// h/2初始重发超时时间减半到0.5秒。 在

3监视模式下，超时时间将减半到15秒。

有两个因素评估路由器是否受到攻击。 如果超过两个高阈值之一，则表示路由器正在受到攻击，并且阈值低于两个低阈值。 以下列出相关参数及其默认值，并作简要说明。 / br// h// br// h/1 iptcpinterceptmax-incompletehighnumber 1100/br// h// br// br// h// br// br// h// br/iptcpinterceptone-minutehighnumber 1100 / br/

半开路连接的总数和每分钟半开路连接的数量的比率相关。 达到其中一个最大值后，t c p拦截将被激活，同时开始删除半开放连接。 启用tcp块后，必须将两个值都降低到tcp块的较低设置，以停止删除连接。 / br// h// br// h /观察:在/ br// h /拦截模式下，路由器将响应到达的syn请求，而不是服务器 在此模式下，路由器的内存和cpu开销会增加，初始会话的延迟会略有增加。 在/ br/

监视模式下，路由器允许syn请求直接到达服务器。

如果在30秒钟内没有建立此会话，路由器将向服务器发送rst以清除此连接。

来源：雪球新闻网