为防止黑客使用tcp syn类DDOS攻击服务器,思科在12.4IOS中加入了TCP Intercept特性
HACKER --- R2 --- server(1.1.1.1)
假如有黑客向R2后的server发起tcp syn flood 类DDOS攻击,发起大量半开TCP会话,试图耗尽server端资源时,R2上我们可以开启tcp intercept feature
例1:
// r2
access-list 144 permit tcp any host 1.1.1.1
ip tcp intercept list 144
ip tcp intercept mode intercept
ip tcp intercept connection-timeout 60
这只是一种例子,上述配置将使R2截获所有发往1.1.1.1的TCP syn请求,并向client发出回复,如client端有应答,并且完成了TCP三次握手,此时R2才会将这条会话移交给1.1.1.1。如在此期间(60秒内)未收到client端再次应答或没有完成三次握手,则清空此会话。
例2:
access-list 144 permit tcp any host 1.1.1.1
ip tcp intercept list 144
ip tcp intercept mode watch
ip tcp intercept watch-timeout 15
第二种情况,R2并不参与client端与1.1.1.1之间的会话,仅仅是掌控时间,如15秒内,client未与server成功建立三次握手,则清空此会话。
以上两种模式intercept又被称为active mode,watch又被称为passive mode
查看文档的话你会发现还有一种aggressive mode,注意不要与上述两种模式混淆,aggressive是指超过预设门限值后(默认门限值是1分钟内1100条会话,包含未完成的连接--针对intercept mode,与连接请求--针对watch mode),默认的时间对折,比如watch-timeout默认为30秒,减为15秒。
注意本例仅针对TCP SYN FLOOD类DDOS攻击,DDOS的攻击种类很多,不会有所谓的一招鲜,有时间再补充其它方法。
