NOTE
- SYN Flood対策
- NAT、ZFW、CBACとは使えない
ACLで指定して、マッチした場合に有効になる
R3(config)#access-list 100 permit ip any host 192.168.0.1 R3(config)#access-list 100 deny ip any any R3(config)# R3(config)#ip tcp intercept list 100 R3(config)#ip tcp intercept mode ? intercept Intercept connections watch Watch connections R3(config)#ip tcp intercept mode intercept R3(config)#ip tcp intercept mode watch
R1(config)#ip tcp intercept drop-mode ? oldest Drop oldest incomplete connection random Drop random incomplete connection ! R1(config)#ip tcp intercept watch-timeout ? <1-2147483> Timeout in seconds ! R1(config)#ip tcp intercept finrst-timeout ? <1-2147483> Timeout in seconds ! R1(config)#ip tcp intercept connection-timeout ? <1-2147483> Timeout in seconds ! R1(config)#ip tcp intercept max-incomplete ? high Specify high-watermark for clamping low Specify low-watermark for clamping ! R1(config)#ip tcp intercept one-minute ? high Specify high-watermark for clamping low Specify low-watermark for clamping ! R1(config)#ip tcp intercept list ? <100-199> Extended access list number for intercept WORD Access list name for intercept
Aggressive mode と言うのがある?このモードになると起こること
- ハーフオープンが最大数を超えるとdrop-mode に従いドロップする
- 再送時間を半分にする
- 再送回数を4回行う
- watch mode の場合は監視時間が半分になる
コメント