当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 防止SYN泛洪攻击 开启路由器的TCP拦截

安全基础
用net start 可以启动肉鸡的命令(2)
用net start 可以启动肉鸡的命令(3)
用net start 可以启动肉鸡的命令(4)
DDOS攻击 如何判断是否遭到流量攻击
网络防“虫”手段和全局安全网络的应用
个人网络安全防卫手册(1)
个人网络安全防卫手册(2)
个人网络安全防卫手册(3)
个人网络安全防卫手册(4)
个人网络安全防卫手册(5)
个人网络安全防卫手册(6)
一位高手整理的IIS FAQ
使用Exchange 2003防御地址欺骗(1)
使用Exchange 2003防御地址欺骗(2)
RAdmin 服务端高级配置(1)
只防病毒不安全 网络还需防什么(1)
只防病毒不安全 网络还需防什么(2)
主动防御电脑病毒并非天方夜谭
用XPSP2防火墙打造最强护身甲(1)
用XPSP2防火墙打造最强护身甲(2)

安全基础 中的 防止SYN泛洪攻击 开启路由器的TCP拦截


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 100 ::
收藏到网摘: n/a

 

 文/王琳

  TCP拦截即TCP intercept,大多数的路由器平台都引用了该功能,其主要作用就是防止SYN泛洪攻击。SYN攻击利用的是TCP的三次握手机制,攻击端利用伪造的IP地址向被攻击端发出请求,而被攻击端发出的响应报文将永远发送不到目的地,那么被攻击端在等待关闭这个连接的过程中消耗了资源,如果有成千上万的这种连接,主机资源将被耗尽,从而达到攻击的目的。我们可以利用路由器的TCP拦截功能,使网络上的主机受到保护(以Cisco路由器为例)。
 
  开启TCP拦截分为三个步骤:

  1. 设置TCP拦截的工作模式

  TCP拦截的工作模式分为拦截和监视。在拦截模式下,路由器审核所有的TCP连接,自身的负担加重,所以我们一般让路由器工作在监视模式,监视TCP连接的时间和数目,超出预定值则关闭连接。

  格式:ip tcp intercept mode (intercept|watch)

  缺省为intercept

  2. 设置访问表,以开启需要保护的主机

  格式:access-list [100-199] [deny|permit] tcp source source-wildcard

  destination destination-wildcard

  举例:要保护219.148.150.126这台主机

  access-list 101 permit tcp any host 219.148.150.126

  3. 开启TCP拦截

  ip tcp intercept list access-list-number

  示例:我们有两台服务器219.148.150.126和219.148.150.125需要进行保护,可以这样配置:

  ip tcp intercept list 101

  ip tcp intercept mode watch

  ........

  ip access-list 101 permit tcp any host 219.148.150.125

  ip access-list 101 permit tcp any host 219.148.150.126

  经过这样的配置后,我们的主机就在一定程度上受到了保护。