7.19. Настройка защиты от DDoS-атак (DDoS prevent)

Назначение

Функциональность DDoS prevent предназначена для защиты коммутатора от DoS/DDoS-атак.

Описание

DoS/DDoS-атака - согласованные усилия человека или людей, направленные на то, чтобы лишить интернет-сайт или службу возможности эффективно функционировать.

Поддерживается защита от следующих типов атак: ICMP-флуд, Smurf-атака, SYN-флуд, UDP-флуд, Fraggle attack, Small-packet, Bad MAC Intercept, Bad IP Equal.

Настройка

Ниже показана настройка коммутатора с соответствии представленной конфигурацией сети.

image

Рис. 7.15 Конфигурация сети

Шаг 1: Вход в режим “Global config”

Switch# configure terminal

Шаг 2: Установка защиты

Включение перехвата ICMP-флуда, установка максимальной скорости приема ICMP-пакетов в секунду = 100:

Switch(config)# ip icmp intercept maxcount 100

Включение перехвата UDP-флуда, установка максимальной скорости приема UDP-пакетов в секунду = 100:

Switch(config)# ip udp intercept maxcount 100

Включение перехвата Smurf-атак:

Switch(config)# ip smurf intercept

Включение перехвата SYN-флуда и установка максимальной скорости приема SYN-пакетов в секунду = 100:

Switch(config)# ip tcp intercept maxcount 100

Включение перехвата Fraggle attack:

Switch(config)# ip fraggle intercept

Включение перехват атаки Small-packet и установка длины пакета в 32:

Switch(config)# ip small-packet intercept maxlength 32

Включение перехвата пакетов, в которых IP-адрес источника равен IP-адресу назначения:

Switch(config)# ip ipeq intercept

Включение перехвата пакетов, в которых MAC-адрес источника равен MAC-адресу назначения:

Switch(config)# ip maceq intercept

Шаг 3: Выход из режима “Global config”

Switch(config)# end

Шаг 4: Проверка

Switch# show ip-intercept config
Current DDoS Prevent configuration:
============================================================
ICMP Flood Intercept             :Enable  Maxcount:500
UDP Flood Intercept              :Enable  Maxcount:500
SYN Flood Intercept              :Enable  Maxcount:500
Small-packet Attack Intercept    :Enable  Packet Length:45
Smurf Attack Intercept           :Enable
Fraggle Attack Intercept         :Enable
MAC Equal Intercept              :Enable
IP Equal Intercept               :Enable

Switch# show ip-intercept statistics
Current DDoS Prevent statistics:
============================================================
Resist Small-packet Attack packets number    :  1730
Resist ICMP Flood packets number             :  0
Resist SYN Flood packets number              :  0
Resist Fraggle Attack packets number         :  0
Resist UDP Flood packets number              :  0

Current DDoS Prevent mgmt-if statistics:
============================================================
Resist ICMP Flood packets number             :  0
Resist SYN Flood packets number              :  0
Resist Fraggle Attack packets number         :  0
Resist UDP Flood packets number              :  0