Ограничение трафика (так же как функция перехвата TCP-пакетов) должно быть настроено в соответствии со стратегией предупреждения атак SYN — переполнением. Также следует отметить, что Cisco IOS версий 12.0 и выше по умолчанию отключает трансляцию направленных широковещательных сообщений. Это сделано (согласно рекомендации RFC2644) для того, чтобы предохранить сеть от ее участия в качестве усилителя амплификационной атаки. Использование большого количества маршрутизирующих фильтров может заметным образом отразиться на производительности устройства. Компания Cisco рекомендует использовать технологию TurboACL и подчеркивает, что списки доступа, состоящие более чем из 50 правил, могут понизить производительность маршрутизатора. Большинство современных операционных систем защищают себя от SYN — переполнения, увеличивая размер очереди входящих соединений и уменьшая время ожидания для этих соединений. Кроме того, некоторые ОС используют алгоритм случайного предварительного разрыва (random early drop). Этот алгоритм заключается в периодическом мониторинге очереди соединений и в исключении выбранных случайным образом SYN-запросов, не имеющих подтверждения со стороны клиента. В ОС Linux используется своеобразный подход к решению проблемы SYN — переполнения. При этом используется технология закладок SYN Cookies. Для того чтобы объяснить преимущества этой технологии, придется еще раз вернуться к рассмотрению трехступенчатого процесса установки ТСР — соединения. Клиентский узел присылает серверу SYN-запрос на соединение, содержащий ISN-число. После этого сервер оправляет клиенту соответствующий SYN/ACK-пакет, но, в случае с Linux, вместо того, чтобы включить в этот пакет обычное серверное ISN, сервер подставляет результат MD5 хэш — функции от адреса и порта отправителя, ISN клиента, приславшего запрос, адреса и порта назначения и секретного зерна (phew). После этого сервер достаточно эффективным образом освобождает ресурсы, которые могут быть поглощены в результате SYN-атаки. Если клиент вернет АСК-пакет (чего не происходит в случае нападения), то сервер высчитывает число ISN -1 и сравнивает его с тем, которое было вставлено в SYN/ACK-пакет. И только в случае, если числа совпадают, соединение устанавливается. Включить механизм SYN Cookies можно с помощью следующей команды:
Ограничение трафика
2 минуты на чтение
%20%D0%B4%D0%BE%D0%BB%D0%B6%D0%BD%D0%BE%20%D0%B1%D1%8B%D1%82%D1%8C%20%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B5%D0%BD%D0%BE%20%D0%B2%20%D1%81%D0%BE%D0%BE%D1%82%D0%B2%D0%B5%D1%82%D1%81%D1%82%D0%B2%D0%B8%D0%B8%20%D1%81%D0%BE%20%D1%81%D1%82%D1%80%D0%B0%D1%82%D0%B5%D0%B3%D0%B8%D0%B5%D0%B9%20%D0%BF%D1%80%D0%B5%D0%B4%D1%83%D0%BF%D1%80%D0%B5%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F%20%D0%B0%D1%82%D0%B0%D0%BA%20SYN%20-%20%D0%BF%EF%BF%BD){kind=small}
Похожие записи:
Давайте рассмотрим какой-нибудь специальный раздел политики безопасности, например тот, что определяет параметры трафика, разрешенного к трансляции во внутреннюю сеть. Эта политика указывает, Что определенные виды трафика запрещены, Какие именно соединения дол...
Прежде мы говорили о том, что Internet-соединение является одним из тех мест, где реально может быть затруднен свободный проход трафика. Пропускной способностью соединения можно назвать величину объема трафика в единицу времени. Инженеры в области сетевых техн...
Администратор может создать список авторизированных пользователей, способных осуществлять соединение с LocalDirector по Telnet-протоколу. Список всех авторизированных в системе узлов и сетей можно получить, введя следующую инструкцию: В целях усиления защиты с...