Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1496980
  • 博文数量: 167
  • 博客积分: 2108
  • 博客等级: 上尉
  • 技术积分: 3287
  • 用 户 组: 普通用户
  • 注册时间: 2009-02-03 10:37
个人简介

10多年思科技术培训师。独特的以技术为载体,引导和建立思维、学习方法的授课技巧;丰富的大型企业定制培训经验;数年网络方案设计;专注技术架构;开思科技术书籍本地化先河;荣获2010和2012年读者最喜爱的作者奖;携手白宫通信局服务2011年美副总统拜登访华;全国高等职业技能大赛命题专家;

文章分类
文章存档

2017年(1)

2016年(2)

2015年(5)

2014年(15)

2013年(9)

2012年(24)

2011年(43)

2010年(35)

2009年(33)

分类: 网络与安全

2009-07-06 17:19:20

例1 : 

使用CAR限制DOS攻击流量。本例假设主机10.10.0.10正在被攻击,攻击流量从s0/0接口进入的。使用CAR把与该主机握手的TCP同步数据流量限制在8kbps,超出规定流量的TCP同步数据全部丢弃。

access-list 103 deny tcp any host 10.0.0.1 established

access-list 103 permit tcp any host 10.0.0.1

 

interface serial 0/0

rate-limit input access-group 103 8000 8000 8000 conform-action transmit  exceed-action drop

已经建立起TCP会话的数据匹配了访问列表中的第一个条件,这种数据流量是不被检测的。如果是TCP初始握手的数据,不匹配第一个条件,但匹配第二个条件,这种数据的流量是需要检测的,使其不能超过8kbps

提示:在这里使用访问列表不是为了过滤数据,而是用来分类数据的。匹配Deny语句的数据,其流量不被检测,只检测匹配permit语句的数据流量是否超出规定值。

2:如果计划保护整个网络或网段不受DOS攻击的严重影响,可以这么配置CAR

access-list 104 deny tcp any any established

access-list 104 permit tcp any any

 

interface  serial 0/0

  rate-limit input access-group 104 64000 8000 8000 conform-action transmit  exceed-action drop

以上配置把所有自s0/0接口进入的TCP SYN数据的流量限制在64kbps

3:在较高版本的IOS上,例1可以简化成如下配置。

access-list 105 permit tcp any host 10.0.0.1 syn

 

interface serial 0/0

  rate-limit input access-group 105 8000 8000 8000 conform-action transmit  exceed-action drop

4:在较高版本的IOS上,例2可以简化成如下配置。

access-list 106 permit tcp any any syn

interface serial 0/0

  rate-limit input access-group 106 64000 8000 8000 conform-action transmit  exceed-action drop
阅读(2038) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~