6.1. Общие сведения о функциях предотвращения атак
Функционал безопасности, описываемый в данной главе представляет собой проверку пакетов определенный протоколов по алгоритму, призванному предотвратить атаку на отказ в обслуживании DoS. Данный функционал не вызывает дополнительных задержек кадров во время своей работы.
6.2. Конфигурация функций предотвращения атак
- Функция предотвращения атаки IP-spoofing;
- Функция предотвращения атаки TCP unauthorized label;
- Функция предотвращения атаки подмены порта;
- Функция предотвращения атаки ICMP fragmentation;
- Функция предотвращения атаки IP-spoofing:
Команда | Описание |
|---|---|
[no] dosattack-check srcip-equal-dstip enable ! В режиме глобальной конфигурации | Отбрасывать пакеты, IP-адрес источника которых равен IP-адресу назначения. Команда no разрешает передачу таких пакетов. |
2. Функция предотвращения атаки TCP unauthorized label:
Команда | Описание |
|---|---|
[no] dosattack-check tcp-flags enable ! В режиме глобальной конфигурации | Отбрасывать следующие 4 вида пакетов: 1. пакеты, содержащие несанкционированную метку TCP: SYN = 1, когда порт источника меньше 1024; 2. позиции метки TCP - все 0, а его serial № = 0;3. FIN = 1, URG = 1, PSH = 1 и серийный номер TCP = 0; 4. SYN = 1 и FIN = 1. Команда no разрешает передачу таких пакетов. |
3. Функция предотвращения атаки подмены порта:
Команда | Описание |
|---|---|
[no] dosattack-check srcport-equal-dstport enable ! В режиме глобальной конфигурации | Отбрасывать пакеты, TCP|UDP порт источника которых равен порту назначения. Команда no разрешает передачу таких пакетов. |
4. Функция предотвращения атаки ICMP fragmentation:
Команда | Описание |
|---|---|
[no] dosattack-check icmp-attacking enable ! В режиме глобальной конфигурации | Отбрасывать фрагментированные ICMPv4 пакеты, чья длина меньше определенной. Команда no разрешает передачу таких пакетов |
dosattack-check icmpv4 <size> ! В режиме глобальной конфигурации | Задать минимальный размер фрагментированного ICMPv4 пакета. По-умолчанию - 512. |