Wie kann man SYN FLOOD DOS auf Catalyst 3750/3560 abschwächen, da es keinen Schutz für die Steuerebene hat?
Wie kann man SYN FLOOD DOS auf Catalyst 3750/3560 abschwächen, da es keinen Schutz für die Steuerebene hat?
Antworten:
3750 hat intern eine gewisse Priorität für das, was es bevorzugt, wenn es überlastet ist, aber es ist nicht konfigurierbar.
Sie sollten sich also auf gängige Best Practices verlassen, dh an all Ihren Netzwerkrändern sollten Sie über iACL (Infrastructure ACL) verfügen. In iACL erlauben Sie UDP-Highports, ICMP, Infrastruktur-Netzwerkadressen und Drop-Rest. Auf diese Weise funktionieren Ping und Traceroute, aber die Infrastruktur kann nicht angegriffen werden.
iACL sollte durch die Überwachung des zulässigen Datenverkehrs auf kleine akzeptable Raten ergänzt werden.
Auf diese Weise wird eine externe Partei, die Adressen auf Ihrem 3750 angreift, durch die Netzwerkgrenze am Rand gelöscht.
iACL ist normalerweise zu 100% statisch und daher wartungsarm, da es nur Infrastrukturadressen (Loopback, Core-Links) enthält.
Dies lässt weiterhin Fälle offen, in denen Ihr Router direkt mit dem Kunden-LAN konfrontiert ist, z. B. wenn LAN 192.0.2.0/24 und 3750 192.0.2.1 ist, wird 192.0.2.1 normalerweise nicht von iACL abgedeckt und kann angegriffen werden.
Die Lösung für diese Geräte besteht darin, entweder in Geräte mit den richtigen CoPP-Funktionen zu investieren oder eine dynamische iACL beizubehalten, wobei immer die Kundenadresse des Routers hinzugefügt wird.
Wenn Sie Kunden nur über Link-Netzwerke (/ 30 oder / 31) begegnen, ist die Lösung viel sauberer. Sie lassen die Werbung für das Link-Netzwerk einfach weg und fügen eine statische / 32-Route für die CPE-Seite hinzu. Auf diese Weise können externe Router die Parteien nicht angreifen Router, da sie keine Route haben.
Eine alternative Lösung für dasselbe Problem besteht darin, einen nicht kontinuierlichen ACL-Eintrag in iACL zu verwenden. Wenn Ihr CPE-Verbindungsnetzwerk in iACL 198.51.100.0/24 lautet, können Sie die IP-Adresse für 198.51.100.0 0.0.0.254 verweigern, dann würden alle geraden Adressen verwendet erlaubt und ungerade Adressen verweigert werden. Wenn CPE gerade und 3750 ungerade ist, werden alle aktuellen und zukünftigen Links geschützt, ohne dass iACL aktualisiert wird.