分享是一种生活态度,求知,求真,分享工作,分享生活!

ASA发现DDOS攻击和防止方法

Cisco iqianyue 1440次浏览 0个评论 扫描二维码

案例分析网络拓扑结构

案例分析网络拓扑结构

 

地址规划

Server C
真实地址是10.1.1.50
地址转换后的地址是192.168.1.50

案例描述

在一个周一的早上,XYZ公司的网络管理员突然接到员工报障,反映打开位于Web服务器群的Server_C网页很慢甚至无法打开。接到报障后XYZ公司的管理员马上检查路由器的相关信息,除了入口流量大以外,在路由器侧没有任何异常,此时该管理员将目光投向了ASA。

排错工具

1)ASDM
2)Show 命令

如何利用ASA发现并应急处理DDOS攻击

1) 通过ASDM发现每秒的TCP连接数突增。

通过ASDM发现每秒的TCP连接数突增

2)利用 show perfmon 命令检查连接状态,发现每秒的TCP连接数高达2059个,半开连接数量则是1092个每秒。从公司的日常记录看,此时这两个连接数量属于不正常的范围。

利用 show perfmon 命令

3)利用show conn命令察看不正常连接的具体信息,例如源/目的地址以及源/目的端口。在本案例中发现随机的源地址和端口去访问相同的目的地址10.1.1.50的80端口,并且这些TCP的连接都是半开连接属于TCP SYN泛洪攻击。

利用show conn命令

4)利用ASDM发现半开(TCP SYN 泛洪)攻击存在,并且连接数量突增。

利用ASDM发现半开(TCP SYN 泛洪)攻击存在

5)利用TCP Intercept机制应急处理TCP的半开连接攻击。利用ACL及Class-Map来分类流量,在Policy-Map下限制最大的半开连接数,在本案例中为100。

利用TCP Intercept机制应急处理TCP的半开连接攻击

6) 利用ASDM检查,是否TCP intercept机制起效。由此可见连接数和TCP SYN攻击的曲线都有所下降。所以证明TCP intercept机制生效。但是总连接数还是处于一个不正常的状态。

利用ASDM检查,是否TCP intercept机制起效

7)限制每个客户端所能产生的最大连接数从而实现对垃圾连接的限制。

限制每个客户端所能产生的最大连接数

8)通过ASDM检查当前连接状态。发现连接数开始下降并恢复正常。

通过ASDM检查当前连接状态

9)利用ASDM跟踪攻击状态。此时攻击还是存在的但是ASA阻断了它们并保护了服务器的运行。

利用ASDM跟踪攻击状态

案例结果

经过在ASA上的调试,公司内部职员可以顺利的访问位于Web服务器群 Server_C。


iqianyue , 版权所有丨如未注明 , 均为原创,转载请注明iqianyue
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论

表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址