컨트롤 플레인 보호 기능이없는 Catalyst 3750/3560의 SYN FLOOD DOS를 어떻게 완화 할 수 있습니까?
컨트롤 플레인 보호 기능이없는 Catalyst 3750/3560의 SYN FLOOD DOS를 어떻게 완화 할 수 있습니까?
답변:
3750은 혼잡했을 때 펀트를 선호하는 것에 대해 내부적으로 우선 순위를 갖지만 구성 할 수는 없습니다.
따라서 일반적인 모범 사례, 즉 iACL (인프라 ACL)이 있어야하는 모든 네트워크 에지에 의존해야합니다. iACL에서는 UDP 하이 포트, ICMP가 네트워크 주소를 기반으로하며 드롭 레스트를 허용합니다. 이런 식으로 핑 및 추적 경로가 작동하지만 인프라를 공격 할 수 없습니다.
허용되는 트래픽을 허용 가능한 작은 비율로 설정하여 iACL을 보완해야합니다.
이렇게하면 외부 당사자가 3750의 주소를 공격 할 때 네트워크 경계선이 경계에서 떨어집니다.
iACL은 일반적으로 100 % 정적이므로 인프라 주소 (루프백, 코어 링크) 만 포함하므로 유지 보수가 적습니다.
LAN이 192.0.2.0/24이고 3750에 192.0.2.1이 있고 일반적으로 192.0.2.1이 iACL에 포함되지 않아 공격받을 수있는 경우와 같이 라우터가 고객 LAN을 직접 향하고있는 경우에도 여전히 개방형 상태입니다.
이러한 장치에 대한 솔루션은 적절한 CoPP 기능이있는 장치에 투자하거나 항상 라우터의 고객 주소를 추가하는 동적 iACL을 유지하는 것입니다.
링크 네트워크 (/ 30 또는 / 31) 솔루션을 통해서만 고객을 대면하는 것이 훨씬 깔끔한 경우 링크 네트워크 광고를 생략하고 CPE 측에 고정 / 32 경로를 추가하면이 라우터 외부의 외부 사용자는 그들은 경로가 없기 때문에 라우터.
동일한 문제에 대한 대안 솔루션은 iACL에서 비 연속 ACL 항목을 사용하는 것입니다 .CPE 링크 네트워크가 iACL에서 198.51.100.0/24 인 경우 '198.51.100.0 0.0.0.254를 거부하면 모든 짝수 주소가 CPE가 짝수이고 3750이 홀수이면 iACL을 업데이트하지 않고 현재 및 미래의 모든 링크가 보호됩니다.