Защита Cisco Catalyst 3750/3560 SYN FLOOD

11

Как можно смягчить SYN FLOOD DOS на Catalyst 3750/3560, поскольку он не имеет защиты плоскости управления?

romuald_geo
источник

Ответы:

11

3750 имеет некоторый внутренний приоритет по отношению к тому, что он предпочитает одевать, когда он перегружен, но это не настраивается.

Таким образом, вы должны полагаться на общие рекомендации, то есть на всех границах вашей сети у вас должен быть iACL (инфраструктурный ACL). В iACL вы бы разрешали UDP-порты высокого уровня, ICMP для сетевых адресов инфраструктуры и отбрасывали остальные. Таким образом, ping и traceroute работают, но инфраструктура не может быть атакована.
iACL должен быть дополнен политикой разрешенного трафика до небольших приемлемых скоростей.

Таким образом, когда внешняя сторона атакует адреса на вашем 3750, он будет отброшен к границе сети на границе.

iACL обычно на 100% статичен, поэтому требует минимального обслуживания, поскольку включает в себя только адреса инфраструктуры (петлевые, базовые ссылки).

Это по-прежнему оставит широко открытыми случаи, когда ваш маршрутизатор обращен непосредственно к локальной сети клиента, например, когда LAN имеет 192.0.2.0/24, а 3750 имеет 192.0.2.1, тогда обычно 192.0.2.1 не покрывается iACL и может быть атакован.
Решение для этих устройств заключается в том, чтобы либо инвестировать в устройство с надлежащими возможностями CoPP, либо поддерживать динамический iACL, всегда добавляя адрес маршрутизатора, обращенный к клиенту.

Если вы сталкиваетесь с клиентами только через решение для сетей связи (/ 30 или / 31), это намного чище, вы просто пропускаете рекламу сети каналов и добавляете статический маршрут / 32 для стороны CPE, таким образом, внешние по отношению к этому маршрутизатору стороны не могут атаковать маршрутизатор, так как у них не будет маршрута.
Альтернативное решение той же проблемы заключается в использовании непостоянной записи ACL в iACL, если ваша сеть связи CPE - 198.51.100.0/24 в iACL, вы можете сделать «запретить ip любой 198.51.100.0 0.0.0.254», тогда все четные адреса будут будут разрешены, а нечетные адреса запрещены, поэтому, если CPE четное, а 3750 нечетное, все текущие и будущие ссылки защищены без обновления iACL.

ytti
источник
1
Уверен, что вы имели в виду 198.51.100.0 0.0.0.254
Марко Марзетти