مقابله با حملات Dos

Printable View

2007-11-20, 10:09 PM
masood_y

مقابله با حملات Dos

دوستان سلام،
کسی راه حلی برای مقابله با حملات Dos یا پینگ با packet های سنگین داره؟
می دونم که میشه با تعریف یک route-map و به واسطه access-list که تعریف میشه، می توان اینکار را برای discard و echo در 2 حالت tcp و udp انجام داد.
اما اگر کسی اطلاعات بیشتری داره، خوشحال میشم تا با بحث در این مورد به یک نتیجه واحد برسیم.

هم اکنون نیازمند یاری سبزتان هستیم ... :rolleyes:
2007-11-20, 11:06 PM
shabake_karan

برای مقابه با حملات DOS چند راه کار است . مثل استفاده از uRPF و جلوگیری از IP spoofing , ...
برای بستن ICMP هم که باید که باید برای ICMP یک rate limit نوشت
استفاده از tcp intercept برای tune کردن پارامتر های مربوط به TCP برای جلوگیری از SYN Attack

این هم یک مفاله کوتاه است که من قبلا در وبلاگ خودم در این زمینه نوشتم : [URL="http://cisco-net.blogfa.com/post-10.aspx"]لینک[/URL]
2007-11-21, 09:47 AM
masood_y

[QUOTE=shabake_karan;172134]برای مقابه با حملات DOS چند راه کار است . مثل استفاده از uRPF و جلوگیری از IP spoofing , ...
برای بستن ICMP هم که باید که باید برای ICMP یک rate limit نوشت
استفاده از tcp intercept برای tune کردن پارامتر های مربوط به TCP برای جلوگیری از SYN Attack

این هم یک مفاله کوتاه است که من قبلا در وبلاگ خودم در این زمینه نوشتم : [URL="http://cisco-net.blogfa.com/post-10.aspx"]لینک[/URL][/QUOTE]
ممنون از راهنمائی. من به وبلاگ شما رفتم، اما دقیقاً مشکل من همین ACL ها است.
اگر امکان داره بیشتر کمک کنید.
2007-11-23, 03:39 PM
shabake_karan

اینها RFC داره . بطور مثال 2827 ، 3013 ، 2267 ، 1918 و . . . مثال هم مثل زیر
[LEFT][ltr]
Router# conf t Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip access-list ext ingress-antispoof
Router(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 any
Router(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 any
Router(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 any
Router(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 any
Router(config-ext-nacl)# permit ip any any
Router(config-ext-nacl)# exit
Router(config)#int s0/0
Router(config-if)#ip access-group ingress-antispoof in

[/ltr]

[RIGHT]برای کامل تر هم کاملا به شبکه شما مرتبط است و .... دیگه همه چیز هم نمی شه گفت
[/RIGHT]
[/LEFT]
2008-01-23, 11:18 AM
masood_y

از کمک شما ممنونم.
برای مقابله با Ping و Packet های بزرگ روی پورت های 7 و 9 در tcp و udp چطور؟!
2008-01-23, 12:10 PM
shabake_karan

[LEFT][LTR]
[SIZE=-1] no service tcp-small-servers
[/SIZE][SIZE=-1] no service udp-small-servers[/SIZE]

[/LTR][/LEFT]