سلام دوستان:
کسی می تونه Access-List تغریف کنه که تعداد بسته های دریافتی رو چک کنه. (برای جلوگیری از حملات ICMP).
ماشاالله این چند وقت باب شده این قضیه.
ممنون و متشکر
Printable View
سلام دوستان:
کسی می تونه Access-List تغریف کنه که تعداد بسته های دریافتی رو چک کنه. (برای جلوگیری از حملات ICMP).
ماشاالله این چند وقت باب شده این قضیه.
ممنون و متشکر
دوست عزیز بهترین راه اینه که ICMP رو رو INTERFACE های مختلفت ببندی.
دیگه خیالت از همه جهت راحته.
ping رو هم از بیرون و هم از داخل ببندی.
در ضمن حملات ICMPخیلی قدیمی و اصلا جدید نیست.اتفاقا الان این بچه بازی ها کم شده .مثلا ما هر ISP رو که راه اندازی می کنیم حتما PING رو می بندیم.
دوست عزیز شما برای جلوگیری از حملات icmp همون جلوی ping رو ببندید
جلوی ping رو بستن کار جالبی نیست.
مطمئن هستم در acc ها میشه با تعریف تعداد packet های مجاز جلوی اینکار رو گرفت.
[right][size=2][color=black]بیا آقا مسعود اینم اون چیزی که میخوای[/color][color=black]:[/color][/size]
[size=2][color=black]باید یه[/color][color=black] route-map [/color][color=black]تعریف کنی به این صورت[/color][color=black]:[/color][/size]
[color=black][size=2]route-map ICMP_CONTR permit 5
match ip address 130
match length 90 4096
set interface Null0[/size][/color]
[color=black][size=2] [/size][/color]
[size=2][color=black]و این اکسس لیست رو هم تعریف کنی[/color][color=black]:[/color][/size]
[color=black][size=2]access-list 130 permit icmp any any echo
access-list 130 permit icmp any any echo-reply
access-list 130 deny icmp any any[/size][/color]
[color=black][size=2] [/size][/color]
[size=2][color=black]بعد روی هر اینترفیسی که دوس داری مخصوصاً روی اینترفیس[/color][color=black] [/color][color=black]ورودی از اینترنت و نیز روی ورودی از سمت دایال آپ هات اونو اعمال کنی. اینجوری[/color][color=black] [/color][color=black]ICMP [/color][color=black]بسته نمیشه ولی[/color][color=black] Packet [/color][color=black]های بزرگ دراپ میشن[/color][color=black].[/color][/size][/right]
به صورت زیر باید اعمال بشه دیگه؟
ip policy route-map ICMP_CONTR
یه سوال دیگه: این rule که تعریف میشه، تاثیری روی recive یوزرها نمی ذاره؟ مثلاً حداکثر دریافت بشه 4 کیلو در ثانیه؟
Tnx
به نظرم نمیاد که این اکسس لیست بتونه برای محدود کردن ریسیو یوزر ها کاری بکنه