Як можна пом'якшити SYN FLOOD DOS на Catalyst 3750/3560, оскільки він не має захисту площини управління?
Як можна пом'якшити SYN FLOOD DOS на Catalyst 3750/3560, оскільки він не має захисту площини управління?
Відповіді:
3750 має певний внутрішній пріоритет щодо того, що він вважає за краще штампувати, коли він перевантажений, але це не налаштовується.
Отже, ви повинні покладатися на загальні найкращі практики, тобто на всіх краях вашої мережі ви повинні мати iACL (інфраструктура ACL). У iACL ви дозволятимете UDP-високому порту, ICMP до інфраструктурних мережевих адрес та відмовлятися від відпочинку. Таким чином працює ping і traceroute, але інфраструктуру не можна атакувати.
iACL має бути доповнений поліцейським дозволеним трафіком до невеликих прийнятних показників.
Таким чином, коли зовнішня сторона атакує адреси на вашому 3750, вона буде відкинута мережевою межею в краю.
Зазвичай iACL є 100% статичним, тому його низьке обслуговування, оскільки воно буде включати лише інфраструктурні адреси (зворотний зв'язок, основні посилання).
Це все ще залишить широко відкриті випадки, коли ваш маршрутизатор стикається з клієнтською локальною мережею безпосередньо, як, наприклад, коли локальна мережа 192.0.2.0/24 і 3750 має 192.0.2.1, то зазвичай 192.0.2.1 не охоплюватиметься iACL і може атакуватися.
Рішенням для цих пристроїв є або інвестувати в пристрій з належними можливостями CoPP, або підтримувати динамічний iACL, завжди додаючи туди адресу клієнта маршрутизатора.
Якщо ви стикаєтеся лише з клієнтами через рішення мережевих мереж (/ 30 або / 31), це набагато чистіше, ви просто опускаєте рекламу посилальної мережі і додаєте статичний / 32 маршрут для сторони CPE, таким чином зовнішні для цього маршрутизатора сторони не можуть атакувати атаку маршрутизатор, оскільки у них не буде маршруту.
Альтернативним рішенням цієї ж проблеми є використання неперервного запису ACL в iACL, якщо ваша мережа посилань CPE 198.51.100.0/24 в iACL, ви можете зробити "забороняти ip будь-який 198.51.100.0 0.0.0.254", тоді всі парні адреси буде дозволено, а непарні адреси відхилено, тому якщо CPE парний і 3750 непарний, всі поточні та майбутні посилання захищені без оновлення iACL.