開啟路由器的TCP攔截保護網絡主機

2019-11-05 00:43:20

字體：大中小

來源：轉載

供稿：網友

　　TCP攔截即TCP intercept，大多數的路由器平臺都引用了該功能，其主要作用就是防止SYN泛洪攻擊。SYN攻擊利用的是TCP的三次握手機制，攻擊端利用偽造的ip地址向被攻擊端發出請求，而被攻擊端發出的響應報文將永遠發送不到目的地，那么被攻擊端在等待關閉這個連接的過程中消耗了資源，假如有成千上萬的這種連接，主機資源將被耗盡，從而達到攻擊的目的。我們可以利用路由器的TCP攔截功能，使網絡上的主機受到保護（以Cisco路由器為例）。
　　
　　開啟TCP攔截分為三個步驟：
　　
　　1. 設置TCP攔截的工作模式
　　
　　TCP攔截的工作模式分為攔截和監視。在攔截模式下，路由器審核所有的TCP連接，自身的負擔加重，所以我們一般讓路由器工作在監視模式，監視TCP連接的時間和數目，超出預定值則關閉連接。
　　
　　格式：ip tcp intercept mode (interceptwatch)
　　
　　缺省為intercept
　　
　　2. 設置訪問表，以開啟需要保護的主機
　　
　　格式：access-list [100-199] [denypermit] tcp source source-wildcard
　　
　　destination destination-wildcard
　　
　　舉例：要保護219.148.150.126這臺主機
　　
　　access-list 101 permit tcp any host 219.148.150.126
　　
　　3. 開啟TCP攔截
　　
　　ip tcp intercept list access-list-number
　　
　　示例：我們有兩臺服務器219.148.150.126和219.148.150.125需要進行保護，可以這樣配置：
　　
　　ip tcp intercept list 101
　　
　　ip tcp intercept mode watch
　　
　　........
　　
　　ip access-list 101 permit tcp any host 219.148.150.125
　　
　　ip access-list 101 permit tcp any host 219.148.150.126
　　
　　經過這樣的配置后，我們的主機就在一定程度上受到了保護。

上一篇：路由器上防止分布式拒絕服務（DDoS）攻擊

下一篇：玩網新浪潮 ADSL+無線路由器布網實戰(2)