Data Plane Security TCP Intercept

REFERENCE

Configuring TCP Intercept (Preventing Denial-of-Service Attacks)

MEMO

  • SYN Flood対策
  • NAT、ZFW、CBACとは使えない
    ACLで指定して、マッチした場合に有効になる
R3(config)#access-list 100 permit ip any host 192.168.0.1
R3(config)#access-list 100 deny ip any any
R3(config)#
R3(config)#ip tcp intercept list 100
R3(config)#ip tcp intercept mode ?
  intercept  Intercept connections
  watch      Watch connections
 
R3(config)#ip tcp intercept mode intercept
R3(config)#ip tcp intercept mode watch
R1(config)#ip tcp intercept drop-mode ?
  oldest  Drop oldest incomplete connection
  random  Drop random incomplete connection
!
R1(config)#ip tcp intercept watch-timeout ?
  <1-2147483>  Timeout in seconds
!
R1(config)#ip tcp intercept finrst-timeout ?
  <1-2147483>  Timeout in seconds
!
R1(config)#ip tcp intercept connection-timeout ?
  <1-2147483>  Timeout in seconds
!
R1(config)#ip tcp intercept max-incomplete ?
  high  Specify high-watermark for clamping
  low   Specify low-watermark for clamping
!
R1(config)#ip tcp intercept one-minute ?
  high  Specify high-watermark for clamping
  low   Specify low-watermark for clamping
!
R1(config)#ip tcp intercept list ?
  <100-199>  Extended access list number for intercept
  WORD       Access list name for intercept

 

Aggressive mode と言うのがある?このモードになると起こること

  • ハーフオープンが最大数を超えるとdrop-mode に従いドロップする
  • 再送時間を半分にする
  • 再送回数を4回行う
  • watch mode の場合は監視時間が半分になる

コメント