CCNA Security第四天.1

ios安全经典特性

1.ip tcp intercept

抵御syn同步的dos攻击。

protect tcp servers from syn-flooding attacks

两种工作模式：

1.intercept mode(active mode)default

伪装服务器给客户端发送ack+syn

2.watch mode(passive mode)

可以设置在多长时间内完成3次握手，如果过了路由器就会伪装服务器给客户发送一个tcp的rest包就会清除缓存信息。

ip tcp intercept配置实例

ip access-list extended dos

permit tcp any host 1.1.1.1

ip tcp intercept list dos(最基本配置）

ip tcp intercept connection-timeout 10(只有在watch模式生效）

ip tcp intercept max-incomplete low 800

ip tcp intercept max-incomplete high 1000

ip tcp intercept one-minute low 400

ip tcp intercept one-minute high 500

ip tcp intercept mode watch intercept (修改模式）

ip tcp intercept drop-mode random/oldest(修改丢弃连接方式）

关于抵制欺骗的几个rfc

1.rfc 1918

10.0.0.0 10.255.255.255(10/8 prefix)

172.16.0.0 172.31.255.255(172.16/12prefix)

192.168.0.0 192.168.255.255(192.168/16 prefix)

2.rfc 3330(frc1918扩大版本）

3.rfc 2827（network ingress filtering:defeating denial of service)

4.rfc 3704(rfc 2827 multihomed networks增强版本）

2.unicast reverse path forwarding(urpf)

抵御dos攻击，丢弃不能够通过ip源地址检查的包。

unicast rpf配置实例

第一步：全局启用cef

ip cef

第二步：配置排除/log访问控制列表

access-list 101 permit ip host 1.1.1.1 any

access-list 101 deny ip any any log

第三步：接口下启用urpf

inter f0/0

ip verify unicast souce reachable-via rx严格模式(any宽松模式) allow-default allow-self-ping 101

第四步：查看urpf状态

show int f0/0

3.ip souce tracker

收集被攻击主机的流量信息，并且轻松判断攻击入口点。

ip source tracker配置

ip source-track 172.16.1.1(跟踪的被攻击主机）

ip souce-track syslog-interval 2 （产生syslog信息的周期，单位分钟）

ip souce tracker查看命令

show ip souce-track summary

4.netflow介绍

对接口流量进行统计

netflow配置实例

ip flow-export version 5

ip flow-export destination 137.78.10.208 2055

ip flow-export souce interface f0/1

interface f0/1

ip flow ingress

ip flow egress

flow:

1.souce ip address

2.destination ip address

3.source port number

4.destination port number

5.layer 3 protocol type

6.type of service (tos)

7.input logical interface

5.nbar

能够识别4-7层的应用和协议

nbar配置实例

step:配置/查看ip nbar protocol-discovery

interface f0/0

ip nbar protocol-discovery(对接口协议的包进行分析）

show ip nbar protocol-discovery

step2:修改现有协议端口/自定义协议

ip nbar port-map http tcp 8080

ip nbar custom GDOI udp 848

step3:使用nbar匹配协议或特定字段

class-map match-any nbar-test

match protocol http host "cisco\.com*"

match protocol http url "yeslab*"

更改nbar匹配http的端口号

ip nbar port-map http tcp 8080