2020-04-12
228
Предотвращение распределенных атак блокирования сервиса
Первую линию защиты против атак блокирования сервиса можно установить на маршрутизаторах периметра. При этом снижается вероятность использования вашей сети для распределенных атак блокирования сервиса против других сетей.
Рассмотрим рекомендации по отражению таких атак.
· Необходимо запретить все сервисы IP, которые не используются в Вашей сети. Для предотвращения использования маршрутизатора периметра в качестве широковещательного усилителя при распределенных атаках необходимо выполнить на его интерфейсах команду no ip directed-broadcast.
· Установите фильтрацию всего входящего трафика с частными и зарезервированными адресами.
· Установите фильтр, который пропускал бы во внешнюю сеть только пакеты с разрешенными IP -адресами источника и IP -адресами источника из ДМЗ. Для этого можно использовать команду ip verify unicast reverse-path на интерфейсе.
· Ограничьте поток пакетов ICMP с помощью значение CAR (Committed Access Rate — согласованная скорость доступа). Ограничение можно установить на входной и выходной интерфейсы. С помощью списка доступа выделяется трафик ICMP, а затем на этот трафик накладывается ограничение пропускной способности. При этом должен быть активизирован режим CEF (Cisco Express Forwarding — скоростная передача Cisco).
· Можно установить ограничения скорости пакетов SYN. Для этого определяется обычный трафик SYN с помощью команды show interfaces rate-limit, показывающей согласованную и избыточную скорость интерфейса.
Включите регистрацию событий, для своевременного обнаружения распределенных атак, связанных с блокированием сервиса.
Пример ограничения потоков пакетов ICMP.
access-list 110 permit icmp any any echo-reply – выделяем трафик ICMP.
interface serial 0/0/0 – входим в подрежим настройки выходного интерфейса.
rate-limit output access-group 110 1540000 512000 786000 conform-action transmit exceed-action drop
– определяем параметры скорости передачи
1540000 - средняя скорость передачи данных равна 1544 Кбит/с.
512000 – нормальная скорость— 512 Кбит/с
786000 - пиковая скорость— 786 Кбит/с
conform-action transmit exceed-action drop – пакеты отбрасываются при превышении скорости
Ограничение скорости трафика SYN
access-list 110 permit tcp any host eq www established
interface serial 0/0/0
rate-limit output access-group 150 1540000 512008 786000 conform-action transmit exceed-action drop
