Bagaimana kita bisa mengurangi SYN FLOOD DOS pada Catalyst 3750/3560 karena tidak memiliki kontrol perlindungan pesawat?
sumber
Bagaimana kita bisa mengurangi SYN FLOOD DOS pada Catalyst 3750/3560 karena tidak memiliki kontrol perlindungan pesawat?
3750 memang memiliki beberapa prioritas internal pada apa yang lebih suka untuk menyepak bola ketika tersumbat, tetapi itu tidak dapat dikonfigurasi.
Jadi Anda harus mengandalkan praktik terbaik umum, yaitu pada semua tepi jaringan Anda, Anda harus memiliki iACL (infrastruktur ACL). Di iACL Anda akan mengizinkan UDP highports, ICMP ke alamat jaringan infrastruktur dan drop rest. Dengan cara ini ping dan traceroute berfungsi, tetapi infrastruktur tidak dapat diserang.
iACL harus dilengkapi dengan mengatur lalu lintas yang diizinkan ke tingkat yang dapat diterima kecil.
Dengan cara ini ketika pihak eksternal menyerang alamat pada 3750 Anda, itu akan dijatuhkan oleh batas jaringan di tepinya.
iACL biasanya 100% statis sehingga pemeliharaannya rendah, karena hanya akan menyertakan alamat infrastruktur (loopback, tautan inti).
Ini masih akan meninggalkan kasus terbuka lebar di mana router Anda menghadapi pelanggan LAN secara langsung, seperti ketika LAN 192.0.2.0/24 dan 3750 memiliki 192.0.2.1 maka biasanya 192.0.2.1 tidak akan tercakup oleh iACL dan dapat diserang.
Solusi untuk perangkat-perangkat tersebut adalah dengan berinvestasi pada perangkat dengan kemampuan CoPP yang tepat atau menjaga dinamika iACL selalu menambahkan alamat yang dihadapi pelanggan router di sana.
Jika Anda hanya menghadapi pelanggan melalui solusi tautan-jaringan (/ 30 atau / 31) jauh lebih bersih, Anda cukup menghilangkan iklan pada tautan-jaringan dan menambahkan rute statis / 32 untuk sisi CPE, dengan cara ini eksternal dari pihak router ini tidak dapat menyerang router, karena mereka tidak akan memiliki rute.
Solusi alternatif untuk masalah yang sama adalah dengan menggunakan entri ACL non-kontinu di iACL, jika jaringan tautan CPE Anda adalah 198.51.100.0/24 di iACL, Anda bisa melakukan 'deny ip 198.51.100.0 0.0.0.254' maka semua alamat genap akan diizinkan dan alamat ganjil ditolak, jadi jika CPE genap dan 3750 aneh, semua tautan saat ini dan di masa mendatang dilindungi tanpa memperbarui iACL.