Guía de configuración de la Seguridad de Cisco IOS: Sujeción de los servicios de usuario, versión 12.2SR
Seguimiento de IP de origen
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 235 KB | Inglés (26 Marzo 2008) | Comentarios

Contenidos

Seguimiento de IP de origen

Encontrar la información de la característica

Contenido

Restricciones para el Rastreador de origen de IP

Información sobre el Rastreador de origen de IP

Identificando y siguiendo los establecimientos de rechazo del servicio

Usando el Rastreador de origen de IP

Rastreador de origen de IP: Soporte de Hardware

Cómo configurar el Rastreador de origen de IP

Configurar el seguimiento del IP de origen

Pasos Siguientes

Verificar el seguimiento del IP de origen

Ejemplos

Ejemplos de configuración para el Rastreador de origen de IP

Configurar el seguimiento del IP de origen: Ejemplo:

Verificar las estadísticas de la interfaz de origen para todos los IP Addresses seguidos: Ejemplo:

Verificar un resumen de la estadística de flujo para todos los IP Addresses seguidos: Ejemplo:

Verificando las estadísticas de flujo detalladas recogidas por un linecard: Ejemplo:

Verificando las estadísticas de flujo exportadas del linecards y de los adaptadores de puerto: Ejemplo:

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para el Rastreador de origen de IP


Seguimiento de IP de origen


Primera publicación: De enero el 25 de 2002
Última actualización: De agosto el 14 de 2009

La característica del Rastreador de origen de IP sigue la información de las siguientes maneras:

Recopila la información sobre el tráfico que está fluyendo a un host que se sospeche de estar bajo ataque.

Genera toda la información necesaria en un formato fácil de usar para seguir la punta de la entrada de red de un ataque DOS.

Pistas IP múltiples al mismo tiempo.

Ataques DOS de las pistas a través del toda la red.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección del Rastreador de origen de IP”.

Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder el Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Una cuenta en Cisco.com no se requiere.

Contenido

Restricciones para el Rastreador de origen de IP

Información sobre el Rastreador de origen de IP

Cómo configurar el Rastreador de origen de IP

Ejemplos de configuración para el Rastreador de origen de IP

Referencias adicionales

Información de la característica para el Rastreador de origen de IP

Restricciones para el Rastreador de origen de IP

Los paquetes se pueden caer para el Routers

El seguimiento del IP de origen se diseña para seguir los ataques contra los hosts. Los paquetes pueden ser caídos si se abruma el linecard o el adaptador de puerto CPU. Por lo tanto, cuando está utilizado para seguir un ataque contra un router, el seguimiento del IP de origen puede caer los paquetes de control, tales como actualizaciones del Border Gateway Protocol (BGP).

Motor 0 y funcionamientos 1 afectados en las Cisco 12000 Series

No hay impacto del rendimiento para los paquetes destinados a los IP Addresses nontracked en el linecards del motor 2 y del motor 4 porque el Rastreador de origen de IP afecta solamente a los destinos seguidos. Los funcionamientos del motor 0 y del motor 1 son afectados porque en estos motores todos los paquetes son conmutados por el CPU.


Observeen los Cisco 7500 Series Router, allí no es ningún impacto del rendimiento en los destinos que no se siguen.


Información sobre el Rastreador de origen de IP

Para configurar la fuente que sigue, usted debe entender los conceptos siguientes:

Identificando y siguiendo los establecimientos de rechazo del servicio

Usando el Rastreador de origen de IP

Identificando y siguiendo los establecimientos de rechazo del servicio

Uno de los muchos desafíos hechos frente por los clientes es hoy los ataques de seguimiento y de bloqueo del servicio negado (DOS). Contrarrestar un ataque DOS implica la detección de intrusos, la fuente que sigue, y el bloqueo. Estas funciones dirigen la necesidad del seguimiento de la fuente.

Para localizar los ataques, se han utilizado el Netflow y el Listas de control de acceso (ACL). Para bloquear los ataques, se han utilizado el Committed Access Rate (CAR) y los ACL. El soporte para estas características en el Cisco 12000 Series Internet Router ha dependido del tipo de linecard usado. El soporte para estas características en los Cisco 7500 Series Router depende del tipo de adaptador de puerto usado. Hay, por lo tanto, una necesidad de desarrollar una manera de recibir la información que ambas trazas la fuente de un ataque y se soportan en todo el linecards y adaptadores de puerto.

Normalmente, cuando usted identifica el host que está conforme a un ataque DOS, usted debe determinar el punto de ingreso a la red para bloquear con eficacia el ataque. Este proceso comienza en el router más cercano al host.

Por ejemplo, en el cuadro 1, usted comenzaría en el router A e intentaría determinar el router ascendente siguiente para examinar. Tradicionalmente, usted aplicaría un ACL de salida a la interfaz que conecta con el host para registrar los paquetes que hacen juego el ACL. La información de ingreso al sistema se vacia a la consola del router o al registro del sistema. Usted entonces tiene que analizar esta información, y pasa posiblemente con varios ACL sucesivamente identificar la interfaz de entrada para el ataque. En este caso las puntas de la información de nuevo al router B.

Usted entonces relanza este proceso en el router B, que lleva de nuevo al C del router, un punto de ingreso en la red. En este momento usted puede utilizar los ACL o el CAR para bloquear el ataque. Este procedimiento puede requerir la aplicación de varios ACL que generen una cantidad excesiva de salida para analizar, haciendo este procedimiento incómodo y falible.

Cuadro 1 fuente que sigue en un ataque DOS

Usando el Rastreador de origen de IP

El Rastreador de origen de IP proporciona una alternativa más fácil, más scalable a los ACL de salidas para los ataques de seguimiento DOS, y trabaja como sigue:

Después de que usted identifique el destino que es atacado, habilite el seguimiento para el router de la dirección destino en general ingresando ip source-track el comando.

Cada linecard crea una entrada especial del Cisco Express Forwarding (CEF) para la dirección destino que es seguida. Para el linecards o los adaptadores de puerto que utilizan el circuito específico de la aplicación especializado (Asics) para el packet switching, la entrada CEF se utiliza para llevar en batea los paquetes al CPU del linecard o del adaptador de puerto.

Cada linecard CPU recoge la información sobre el flujo de tráfico al destino seguido.

Los datos generados se exportan periódicamente al router. Para visualizar un resumen de la información de flujo, ingrese show ip source-track summary el comando. Para visualizar más información detallada para cada interfaz de entrada, ingrese show ip source-track el comando.

Las estadísticas proporcionan una ruptura del tráfico a cada dirección IP seguida. Esta ruptura permite que usted determine que router ascendente a analizar después. Usted puede apagar el Rastreador de origen de IP en el router actual ingresando no ip source-track el comando, y lo abre de nuevo en el router ascendente.

Relance el paso 1 al paso 5 hasta que usted identifique la fuente del ataque.

Aplique el CAR o los ACL para limitar o para parar el ataque.

Rastreador de origen de IP: Soporte de Hardware

El seguimiento del IP de origen se soporta en todo el 2, y 4 linecards del motor 0, 1, en el Cisco 12000 Series Internet Router. También se soporta en todos los adaptadores de puerto y RSP que tengan CEF Switching habilitado en los Cisco 7500 Series Router.

Cómo configurar el Rastreador de origen de IP

Esta sección contiene los siguientes procedimientos:

Configurando el seguimiento del IP de origen (requerido)

Verificando el seguimiento del IP de origen (opcional)

Configurar el seguimiento del IP de origen

Para configurar el IP de origen que sigue para un host bajo ataque, realice los pasos siguientes.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip source-track ip-address

4. ip source-track address-limit number

5. ip source-track syslog-interval number

6. ip source-track export-interval number

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip source-track ip-address

Example:

Router(config)# ip source-track 100.10.0.1

IP de origen de los permisos que sigue para un host especificado.

Paso 4 

ip source-track address-limit number

Example:

Router(config)# ip source-track address-limit 10

(Opcional) limita el número de hosts que se puedan seguir simultáneamente en cualquier momento.

Observesi este comando no se habilita, no hay límite al número de hosts que sean puedan seguido.

Paso 5 

ip source-track syslog-interval number

Example:

Router(config)# ip source-track syslog-interval 2

(Opcional) fija el intervalo de tiempo, en los minutos, usados para generar los mensajes de Syslog que indican que seguimiento del IP de origen está habilitado.

Observesi este comando no se habilita, los mensajes del registro del sistema no se generan.

Paso 6 

ip source-track export-interval number

Example:

Router(config)# ip source-track export-interval 30

(Opcional) fija el intervalo de tiempo, en los segundos, usados para exportar las estadísticas de seguimiento IP que se recogen en el linecards al Gigabit Route Processor (GRP) y a los adaptadores de puerto al Route Switch Processor (RSP).

Observesi este comando no se habilita, la información del flujo de tráfico se exporta al GRP y al RSP cada 30 segundos.

Pasos Siguientes

Después de que usted haya configurado la fuente que seguía en su dispositivo de red, usted puede verificar sus estadísticas de seguimiento de la configuración y de la fuente, tales como flujo de tráfico. Para completar esta tarea, vea la sección siguiente el “verificar del seguimiento del IP de origen.”

Verificar el seguimiento del IP de origen

Para verificar el estatus de la fuente que sigue, por ejemplo el proceso del paquete y la información del flujo de tráfico, realiza los pasos siguientes.

PASOS SUMARIOS

1. enable

2.show ip source-track []ip-address[summary | cache]

3. show ip source-track export flows

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show ip source-track [ip-address] [summary | cache]

Example:

Router# show ip source-track summary

Estadísticas de flujo de tráfico de las visualizaciones para los direccionamientos seguidos del host IP

Paso 3 

show ip source-track export flows

Example:

Router# show ip source-track export flows

Visualiza los flujos de paquetes del último 10 que fueron exportados del linecard al Route Processor.

Observeeste comando puede ser publicado solamente en las plataformas distribuidas, tales como el GRP y el RSP.

Ejemplos

El siguiente ejemplo, que es salida de muestra show ip source-track summary del comando, muestra cómo verificar que el seguimiento del IP de origen está habilitado para uno o más hosts:

Router# show ip source-track summary

Address          Bytes    Pkts    Bytes/s   Pkts/s
10.0.0.1          119G   1194M    443535      4432
192.168.1.1       119G   1194M    443535      4432
192.168.42.42     119G   1194M    443535      4432

El siguiente ejemplo, que es salida de muestra show ip source-track summary del comando, muestra cómo verificar que ningún tráfico tiene todavía ser recibido para las computadoras principales de destino se están siguiendo que:

Router# show ip source-track summary

Address        Bytes   Pkts   Bytes/s   Pkts/s
10.0.0.1           0      0         0        0 
192.168.1.1        0      0         0        0 
192.168.42.42      0      0         0        0 

El siguiente ejemplo, que es salida de muestra show ip source-track del comando, muestra cómo verificar que el seguimiento del IP de origen está procesando los paquetes a los hosts y a las estadísticas de exportación del linecard o el adaptador de puerto al GRP y al RSP:

Router# show ip source-track

Address         SrcIF    Bytes   Pkts   Bytes/s   Pkts/s
10.0.0.1        PO0/0    119G   1194M    513009     5127
192.168.1.1     PO0/0    119G   1194M    513009     5127

192.168.42.42 PO0/0 119G el 1194M 513009 5127

Ejemplos de configuración para el Rastreador de origen de IP

Esta sección incluye los siguientes ejemplos:

Configurar el seguimiento del IP de origen: Ejemplo:

Verificar las estadísticas de la interfaz de origen para todos los IP Addresses seguidos: Ejemplo:

Verificar un resumen de la estadística de flujo para todos los IP Addresses seguidos: Ejemplo:

Verificando las estadísticas de flujo detalladas recogidas por un linecard: Ejemplo:

Verificando las estadísticas de flujo exportadas del linecards y de los adaptadores de puerto: Ejemplo:

Configurar el seguimiento del IP de origen: Ejemplo:

Las demostraciones del siguiente ejemplo cómo configurar el IP de origen que sigue en todo el linecards y adaptadores de puerto en el router. En este ejemplo, cada linecard o adaptador de puerto recoge los datos de flujo de tráfico a la dirección de host 100.10.0.1 por 2 minutos antes de crear una entrada de registro del sistema interno; el paquete y la información de flujo registrados en el registro del sistema se exporta para ver al Route Processor o al Procesador del switch cada 60 segundos.

Router# configure interface
Router(config)# ip source-track 100.10.0.1
Router(config)# ip source-track syslog-interval 2
Router(config)# ip source-track export-interval 60

Verificar las estadísticas de la interfaz de origen para todos los IP Addresses seguidos: Ejemplo:

El siguiente ejemplo visualiza un resumen de las estadísticas de flujo de tráfico que se recogen en cada interfaz de origen para las direcciones de host seguidas.

Router# show ip source-track

Address         SrcIF     Bytes    Pkts     Bytes/s     Pkts/s
10.0.0.1        PO2/0         0       0           0          0
192.168.9.9     PO1/2      131M    511M        1538          6
192.168.9.9     PO2/0      144G   3134M     6619923     143909

Verificar un resumen de la estadística de flujo para todos los IP Addresses seguidos: Ejemplo:

El siguiente ejemplo visualiza un resumen de las estadísticas de flujo de tráfico para todos los hosts se estén siguiendo que; muestra que no se ha recibido ningún tráfico todavía.

Router# show ip source-track summary

Address              Bytes    Pkts     Bytes/s     Pkts/s
10.0.0.1                 0       0           0          0
100.10.1.1            131M    511M        1538          6
192.168.9.9           146G   3178M     6711866     145908

Verificando las estadísticas de flujo detalladas recogidas por un linecard: Ejemplo:

El siguiente ejemplo visualiza la información del flujo de tráfico que se recoge en el linecard 0 para todos los hosts seguidos.

Router# exec slot 0 show ip source-track cache

========= Line Card (Slot 0) =======

IP packet size distribution (7169M total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .000 .000 0.00 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 278544 bytes
  1 active, 4095 inactive, 13291 added
  198735 ager polls, 0 flow alloc failures
  Active flows timeout in 0 minutes
  Inactive flows timeout in 15 seconds
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow

SrcIf          SrcIPaddress    DstIf          DstIPaddress    Pr TOS Flgs  Pkts
Port Msk AS                    Port Msk AS    NextHop              B/Pk  Active
PO0/0          101.1.1.0       Null           100.1.1.1       06 00  00      55K
0000 /0  0                     0000 /0  0     0.0.0.0               100    10.1

Verificando las estadísticas de flujo exportadas del linecards y de los adaptadores de puerto: Ejemplo:

El siguiente ejemplo visualiza la información del flujo de paquetes que se exporta del linecards y de los adaptadores de puerto al GRP y al RSP:

Router# show ip source-track export flows

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
PO0/0         101.1.1.0       Null          100.1.1.1       06 0000 0000    88K
PO0/0         101.1.1.0       Null          100.1.1.3       06 0000 0000    88K
PO0/0         101.1.1.0       Null          100.1.1.2       06 0000 0000    88K

Referencias adicionales

Las secciones siguientes proporcionan las referencias relacionadas con el Rastreador de origen de IP.

Documentos Relacionados


Estándares

Estándares
Título

Ninguno


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Ninguno


Asistencia Técnica

Descripción
Link

El sitio Web de soporte técnico de Cisco proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías.

Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS).

El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para el Rastreador de origen de IP

La Tabla 1 muestra el historial de versiones de esta función.

Puede que no estén disponibles todos los comandos en su versión de software de Cisco IOS. Para la información de versión sobre un comando específico, vea la documentación de referencia de comandos.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. Cisco Feature Navigator le permite determinar qué imágenes de Cisco IOS y Catalyst OS Software soportan una versión de software, un conjunto de funciones o una plataforma específica. Para acceder el Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de Cisco IOS Software que introdujo el soporte para una característica dada en un tren de versión del Cisco IOS Software dado. A menos que se indique lo contrario, las versiones posteriores de dicha serie de versiones de software de Cisco IOS también soportan esa función.


Información de la característica del cuadro 1 para el Rastreador de origen de IP 

Nombre de la función
Versiones
Información sobre la Función

Seguimiento de IP de origen

12.0(21)S
12.0(22)S
12.0(26)S
12.3(7)T
12.2(25)S

La característica del Rastreador de origen de IP permite que la información sea recopilada sobre el tráfico que está fluyendo a un host que se sospeche de estar bajo ataque.

Esta característica fue introducida en la versión 12.0(21)S en las Cisco 12000 Series.

Esta característica fue implementada en la versión 12.0(22)S en las Cisco 7500 Series.

Esta característica fue implementada en la versión 12.0(26)S en el linecards del motor del servicio del IP de las Cisco 12000 Series (ISE).

Esta característica era integrada en el Cisco IOS Release 12.3(7)T.

Esta función se integró en Cisco IOS Release 12.2(25)S.

Se han insertado o modificado los siguientes comandos: ip source-trackip source-track address-limitip source-track export-intervalip source-track syslog-intervalshow ip source-trackshow ip source-track export flows.