由于Catalyst 3750/3560没有控制平面保护,如何缓解SYN FLOOD DOS?

#1 楼

3750确实在拥塞时会优先选择哪些内容,但是它是不可配置的。

因此,您应该依靠通用的最佳实践,即在您的所有网络边缘上都应该拥有iACL(基础架构) ACL)。在iACL中,您将允许UDP高端口,ICMP到基础结构网络地址并删除其余部分。这样可以ping和traceroute,但不能攻击基础结构。
iACL应该通过将允许的流量限制在可接受的较小速率来进行补充。

这样,当外部方攻击3750上的地址时,它将被边缘的网络边界丢弃。

iACL通常是100%静态的,因此维护成本低,因为它仅包含基础结构地址(环回,核心链接)。

这仍然会在路由器直接面对客户LAN的情况下留下广阔的空间,例如当LAN为192.0.2.0/24而3750具有192.0.2.1时,iACL通常不会覆盖192.0.2.1。
这些设备的解决方案是要么投资具有适当CoPP功能的设备,要么维持动态iACL,始终在该设备上添加路由器的面向客户的地址。

如果仅通过链接网络(/ 30或/ 31)解决方案更加简洁,您只需省略广告链接网络,并为CPE端添加静态/ 32路由,这种方式在此路由器外部就无法攻击路由器,因为它们不会
相同问题的替代解决方案是在iACL中使用非连续ACL条目,如果iACL中的CPE链接网络为198.51.100.0/24,则可以“拒绝ip任何198.51.100.0 0.0”。 0.254',则所有偶数地址均被允许,奇数地址被拒绝,因此,如果CPE为偶数且3750为奇数,则所有当前和将来的链接均为受保护,无需更新iACL。

评论


十分确定您的意思是198.51.100.0 0.0.0.254

– Marco Marzetti
13年8月13日在7:08