如何利用ASA发现DDOS攻击以及应急预案.pdf

《如何利用ASA发现DDOS攻击以及应急预案.pdf》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、如何利用ASA发现DDOS攻击以及应急预案如何利用ASA发现DDOS攻击以及应急预案目录案例分析网络拓扑结构目的地址规划案例描述排错工具如何利用ASA发现并应急处理DDOS攻击案例结果案例分析网络拓扑结构目的在阅读完本案例后，可以利用ASA发现并应急处理TCP泛洪类的DDOS攻击。地址规划ServerC真实地址是10.1.1.50地址转换后的地址是192.168.1.50案例描述在一个周一的早上，XYZ公司的网络管理员突然接到员工报障，反映打开位于Web服务器群的Server_C网页很慢甚至无法打开。接到报障后XYZ公司的管理员马上检查路由器的相关信息，除了

2、入口流量大以外，在路由器侧没有任何异常，此时该管理员将目光投向了ASA。排错工具1）ASDM2）Show命令如何利用ASA发现并应急处理DDOS攻击1)通过ASDM发现每秒的TCP连接数突增。2）利用showperfmon命令检查连接状态，发现每秒的TCP连接数高达2059个，半开连接数量则是1092个每秒。从公司的日常记录看，此时这两个连接数量属于不正常的范围。3）利用showconn命令察看不正常连接的具体信息，例如源/目的地址以及源/目的端口。在本案例中发现随机的源地址和端口去访问相同的目的地址10.1.1.50的80端口，并且这些TCP的连接都是半开

3、连接属于TCPSYN泛洪攻击。4）利用ASDM发现半开（TCPSYN泛洪）攻击存在，并且连接数量突增。5）利用TCPIntercept机制应急处理TCP的半开连接攻击。利用ACL及Class-Map来分类流量，在Policy-Map下限制最大的半开连接数，在本案例中为100。6)利用ASDM检查，是否TCPintercept机制起效。由此可见连接数和TCPSYN攻击的曲线都有所下降。所以证明TCPintercept机制生效。但是总连接数还是处于一个不正常的状态。7）限制每个客户端所能产生的最大连接数从而实现对垃圾连接的限制。8）通过ASDM检查当前连接状态。

4、发现连接数开始下降并恢复正常。9）利用ASDM跟踪攻击状态。此时攻击还是存在的但是ASA阻断了它们并保护了服务器的运行。案例结果经过在ASA上的调试，公司内部职员可以顺利的访问位于Web服务器群Server_C。版权所有©1992-2010思科系统文件创建日期:Apr27,2010http://www.cisco.com/cisco/web/support/CN/108/1082/1082839_AsaToDdos.html