锐捷防止dos攻击.docx

锐捷防止dos攻击.docx

ID:61765094

大小:137.11 KB

页数:5页

时间:2021-03-19

锐捷防止dos攻击.docx_第1页
锐捷防止dos攻击.docx_第2页
锐捷防止dos攻击.docx_第3页
锐捷防止dos攻击.docx_第4页
锐捷防止dos攻击.docx_第5页
资源描述:

《锐捷防止dos攻击.docx》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、58DoS保护配置58.1DoS保护配置58.1.1概述DoS保护功能支持防Land攻击、防非法TCP报文攻击。nLand攻击Land攻击主要是攻击者将一个SYN包的源地址和目的地址都设置为目标主机的地址,源和目的端口号设置为相同值,造成被攻击主机因试图与自己建立TCP连接而陷入死循环,甚至系统崩溃。n非法TCP报文攻击在TCP报文的报头中,有几个标志字段:1.SYN:连接建立标志,TCPSYN报文就是把这个标志设置为1,来请求建立连接。2.ACK:回应标志,在一个TCP连接中,除了第一个报文(TCPSYN)外,所有报文都设置该字段作为对上一个报文的响应。3.

2、FIN:结束标志,当一台主机接收到一个设置了FIN标志的TCP报文后,会拆除这个TCP连接。4.RST:复位标志,当IP协议栈接收到一个目标端口不存在的TCP报文的时候,会回应一个RST标志设置的报文。5.PSH:通知协议栈尽快把TCP数据提交给上层程序处理。非法TCP报文攻击是通过非法设置标志字段致使主机处理的资源消耗甚至系统崩溃,例如以下几种经常设置的非法TCP报文:1.SYN比特和FIN比特同时设置的TCP报文正常情况下,SYN标志(连接请求标志)和FIN标志(连接拆除标志)不能同时出现在一个TCP报文中,而且RFC也没有规定IP协议栈如何处理这样的畸形

3、报文。因此各个操作系统的协议栈在收到这样的报文后的处理方式也不相同,攻击者就可以利用这个特征,通过发送SYN和FIN同时设置的报文,来判断操作系统的类型,然后针对该操作系统,进行进一步的攻击。2.没有设置任何标志的TCP报文正常情况下,任何TCP报文都会设置SYN,FIN,ACK,RST,PSH五个标志中的至少一个标志,第一个TCP报文(TCP连接请求报文)设置SYN标志,后续报文都设置ACK标志。有的协议栈基于这样的假设,没有针对不设置任何标志的TCP报文的处理过程,因此这样的协议栈如果收到了这样的报文可能会崩溃。攻击者利用了这个特点,对目标主机进行攻击。3

4、.设置了FIN标志却没有设置ACK标志的TCP报文正常情况下,除了第一报文(SYN报文)外,所有的报文都设置ACK标志,包括TCP连接拆除报文(FIN标志设置的报文)。但有的攻击者却可能向目标主机发送设置了FIN标志却没有设置ACK标志的TCP报文,这样可能导致目标主机崩溃。58.1.2配置DoS保护58.1.2.1缺省的Dos保护设置下面列出DoS缺省配置:功能特性缺省值landattackOffagainstinvalidtcpattackOff58.1.2.2防Land攻击在全局配置模式下,执行如下命令可以在设备上开启防Land攻击功能:命令作用Step

5、1Ruijie#configureterminal进入全局配置模式Step2Ruijie(config)#ipdenyland开启防Land攻击功能Step3Ruijie(config)#end退回到特权模式58.1.2.3预防非法TCP报文攻击在全局配置模式下,执行如下命令可以在设备上开启防非法TCP报文攻击功能:命令作用Step1Ruijie#configureterminal进入全局配置模式Step2Ruijie(config)#ipdenyinvalid-tcp开启防非法TCP报文攻击功能Step3Ruijie(config)#end退回到特权模式58

6、.1.3显示DoS保护的状态58.1.3.1显示防Land攻击的状态在特权用户模式下,执行如下命令可以显示防Land攻击的状态:命令作用Ruijie#showipdenyland显示防Land攻击的状态下面的例子显示了如何查看防Land攻击的状态:Ruijie#showipdenylandDoSProtectionModeState------------------------------------------protectagainstlandattackOn58.1.3.2显示防非法TCP报文攻击的状态在特权用户模式下,执行如下命令可以显示防非法TCP

7、报文攻击的状态:命令作用Ruijie#showipdenyinvalid-tcp显示防非法TCP报文攻击的状态下面的例子显示了如何查看预防非法TCP报文攻击的状态:Ruijie#showipdenyinvalid-tcpDoSProtectionModeState------------------------------------------protectagainstinvalidtcpattackOn58.2防DOS攻击的入口过滤58.2.1概述近年来,各种DoS攻击(DenialofService,拒绝服务)报文在互联网上传播,给互联网用户带来很大烦

8、恼。DoS的攻击方式有很多种,最基本的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。