Kontrol düzlemi koruması olmadığı için Catalyst 3750/3560'ta SYN FLOOD DOS'u nasıl azaltabiliriz?
Kontrol düzlemi koruması olmadığı için Catalyst 3750/3560'ta SYN FLOOD DOS'u nasıl azaltabiliriz?
Yanıtlar:
3750, tıkanık olduğunda punt yapmayı tercih ettiği şeyde dahili olarak bir önceliğe sahiptir, ancak yapılandırılamaz.
Bu nedenle, ortak en iyi uygulamalara güvenmelisiniz, yani tüm ağ kenarlarınızda iACL (altyapı EKL) olmalıdır. İACL'de UDP yüksek sporlarına, ICMP'ye altyapı ağ adreslerine ve bırakma işlemlerine izin verirsiniz. Bu şekilde ping ve traceroute çalışır, ancak altyapı saldırılamaz.
iACL, izin verilen trafiği kabul edilebilir küçük oranlara getirerek tamamlanmalıdır.
Bu şekilde harici taraf 3750'nizdeki adreslere saldırdığında, kenardaki ağ kenarlığı tarafından bırakılacaktır.
iACL genellikle% 100 statiktir, bu nedenle yalnızca altyapı adreslerini (geri döngü, çekirdek bağlantılar) içereceğinden az bakım gerektirir.
Bu, LAN 192.0.2.0/24 ve 3750 192.0.2.1 olduğunda, genellikle 192.0.2.1 iACL tarafından kapsanmayacağı ve saldırıya uğrayabileceği gibi, yönlendiricinizin doğrudan müşteri LAN'ıyla karşı karşıya olduğu geniş açık durumlar bırakacaktır.
Bu cihazlar için çözüm, uygun CoPP özelliklerine sahip cihaza yatırım yapmak veya her zaman yönlendiricinin müşteriye dönük adresini ekleyerek dinamik iACL'yi korumaktır.
Müşterilere sadece bağlantı ağları (/ 30 veya / 31) çözümü ile karşı karşıyaysanız çok daha temizse, sadece bağlantı ağının reklamını atlar ve CPE tarafı için statik / 32 yol eklersiniz, bu şekilde bu yönlendirici partilerine dış yönlendirici, çünkü rotaları olmayacak.
Aynı soruna alternatif çözüm, iACL'de sürekli olmayan ACL girişini kullanmaktır, eğer CPE bağlantı ağınız iACL'de 198.51.100.0/24 ise 'herhangi bir 198.51.100.0 0.0.0.254' ipini reddedebilirsiniz ' izin verilir ve tek adresler reddedilir, dolayısıyla CPE çift ve 3750 tekse, mevcut ve gelecekteki tüm bağlantılar iACL güncellenmeden korunur.