開啟路由器的 TCP 攔截

2019-11-04 20:56:43

字體：大中小

來源：轉載

供稿：網友

　　TCP攔截即TCP intercept，大多數的路由器平臺都引用了該功能，其主要作用就是防止SYN泛洪攻擊。SYN攻擊利用的是TCP的三次握手機制，攻擊端利用偽造的ip地址向被攻擊端發出請求，而被攻擊端發出的響應報文將永遠發送不到目的地，那么被攻擊端在等待關閉這個連接的過程中消耗了資源，假如有成千上萬的這種連接，主機資源將被耗盡，從而達到攻擊的目的。我們可以利用路由器的TCP攔截功能，使網絡上的主機受到保護（以Cisco路由器為例）。
開啟TCP攔截分為三個步驟：

　　1. 設置TCP攔截的工作模式

　　TCP攔截的工作模式分為攔截和監視。在攔截模式下，路由器審核所有的TCP連接，自身的負擔加重，所以我們一般讓路由器工作在監視模式，監視TCP連接的時間和數目，超出預定值則關閉連接。

　　格式：ip tcp intercept mode (intercept　watch)

　　缺省為intercept

　　2. 設置訪問表，以開啟需要保護的主機

　　格式：access-list [100-199] [deny　permit] tcp source source-wildcard

　　destination destination-wildcard

　　舉例：要保護219.148.150.126這臺主機

　　access-list 101 permit tcp any host 219.148.150.126

　　3. 開啟TCP攔截

　　ip tcp intercept list access-list-number

　　示例：我們有兩臺服務器219.148.150.126和219.148.150.125需要進行保護，可以這樣配置：

　　ip tcp intercept list 101

　　ip tcp intercept mode watch

　　........

　　ip access-list 101 permit tcp any host 219.148.150.125

　　ip access-list 101 permit tcp any host 219.148.150.126

　　經過這樣的配置后，我們的主機就在一定程度上受到了保護。

上一篇：網管必備:網絡故障分層法排查

下一篇：明智PNP無盤如何安裝顯卡和聲卡