由于Catalyst 3750/3560没有控制平面保护,如何缓解SYN FLOOD DOS?
由于Catalyst 3750/3560没有控制平面保护,如何缓解SYN FLOOD DOS?
Answers:
3750确实在拥塞时会偏向于偏向内部优先级,但是它是不可配置的。
因此,您应该依靠通用的最佳实践,也就是说,您应该在所有网络边缘都拥有iACL(基础结构ACL)。在iACL中,您将允许UDP高端口,ICMP到基础结构网络地址并删除其余部分。这种方式ping和traceroute有效,但是基础架构无法受到攻击。
iACL应该通过将允许的流量监管到可接受的较小比率来进行补充。
这样,当外部方攻击3750上的地址时,边缘的网络边界将丢弃该地址。
iACL通常是100%静态的,因此维护成本低,因为它仅包含基础结构地址(环回,核心链接)。
如果您的路由器直接面对客户LAN,这仍然会留下很多未解决的情况,例如,当LAN为192.0.2.0/24且3750具有192.0.2.1时,iACL通常不会覆盖192.0.2.1并对其进行攻击。
这些设备的解决方案是在具有适当CoPP功能的设备上进行投资,或者维护动态iACL,始终在此添加路由器面向客户的地址。
如果您仅通过链接网络(/ 30或/ 31)解决方案面对客户更为干净,则只需忽略发布链接网络并为CPE端添加静态/ 32路由,这样,该路由器方外部的方法就无法攻击路由器,因为他们没有路线。
解决同一问题的替代方法是在iACL中使用非连续ACL条目,如果您的CPE链接网络在iACL中为198.51.100.0/24,则可以“拒绝ip任何198.51.100.0 0.0.0.254”,那么所有偶数地址都将允许使用奇数地址,并且拒绝奇数地址,因此,如果CPE为偶数且3750为奇数,则将保护所有当前和将来的链接,而无需更新iACL。