تكوين تصفية Deny of service (DoS) SYN على المحولات المدارة من السلسلة 300

الهدف

يفيض هجوم رفض الخدمة (DoS) الشبكة بحركة مرور خاطئة. يقوم هذا بسحب موارد خادم الشبكة بعيدا عن المستخدمين الشرعيين. تستهدف فيضانات نظام SYN بروتوكول TCP بشكل خاص. يتطلب بروتوكول TCP ثلاث خطوات للعمل. أولا، يرسل المستخدم عنوان IP الخاص به إلى الخادم ويطلب اتصالا. بعد ذلك، يستجيب الخادم للطلب وينتظر تأكيدا. وأخيرا، يقر المستخدم بأن الخادم قد فتح اتصالا. يستخدم هجوم TCP SYN عناوين IP متعددة لطلب اتصال، ولكن لا تقم أبدا بإرسال إقرار مرة أخرى إلى الخادم بمجرد فتح اتصال. يمكن للخادم فتح مقدار محدود فقط من الاتصالات قبل أن يبدأ في إسقاط طلبات TCP، حتى من المستخدمين الشرعيين.

يتم إرسال حركة مرور TCP على العديد من المنافذ الظاهرية. هذه المنافذ هي طريقة لانقسام حركة مرور الشبكة إلى مجموعات مشتركة. يمكن تكوين عامل تصفية SYN لحظر حركة المرور من منفذ ظاهري محدد. وبالإضافة إلى ذلك، تم تكوين تصفية SYN على منفذ فعلي أو فعلي أو مجموعة تجميع إرتباطات (LAG) على المحول. يشرح هذا المقال كيفية تكوين تصفية SYN على المحولات المدارة من السلسلة 300.

ملاحظة: يمكن إستخدام عوامل تصفية Syn فقط في حالة تمكين منع DoS. راجع إعدادات مجموعة أمان المقالة على محولات 300 Series المدارة للحصول على تعليمات.

الأجهزة القابلة للتطبيق

· المحولات المدارة SF/SG 300 Series

إصدار البرامج

· الإصدار 1.2.7.76

تكوين تصفية SYN

الخطوة 1. قم بتسجيل الدخول إلى الأداة المساعدة لتكوين الويب واختر الأمان > منع الخدمة > تصفية SYN. يتم فتح صفحة تصفية SYN:

الخطوة 2. انقر فوق إضافة لإضافة عامل تصفية SYN جديد. يظهر نافذة إضافة تصفية النظام.

الخطوة 3. انقر زر الانتقاء الذي يماثل الواجهة المطلوبة في حقل الواجهة. هذا هو الموقع الفعلي الذي سيتم تعيين عامل التصفية إليه.

· المنفذ — المنفذ الفعلي على المحول. أختر منفذا خاصا من القائمة المنسدلة "المنفذ".

· LAG — مجموعة من المنافذ التي تعمل كمنفذ واحد. أختر أحد التأخيرات المحددة من القائمة المنسدلة للتأخير.

الخطوة 4. انقر فوق زر الاختيار الذي يتوافق مع عنوان IPv4 المطلوب في حقل عنوان IPv4.

· معرف من قبل المستخدم — أدخل عنوان IP المراد تصفيته لحركة مرور TCP.

· تتم تصفية جميع العناوين — جميع عناوين IPv4 لحركة مرور TCP. تخطي الخطوة 6 إذا تم إختيار جميع العناوين.

الخطوة 5. انقر فوق زر الاختيار المطابق للطريقة المستخدمة لتعريف قناع الشبكة الفرعية لعنوان IP في حقل قناع الشبكة.

· القناع — أدخل قناع الشبكة في حقل قناع الشبكة.

· طول البادئة — أدخل طول البادئة (عدد صحيح في النطاق من 0 إلى 32) في حقل طول البادئة.

الخطوة 6. انقر فوق زر الراديو الذي يتوافق مع منفذ TCP المرغوب الذي سيتم تصفيته في حقل منفذ TCP. هذه هي المنافذ الظاهرية التي يتم تقسيم حركة مرور الشبكة إليها. 

· المنافذ المعروفة — أختر منفذ TCP المراد تصفيتها من القائمة المنسدلة المنافذ المعروفة.

· معرف من قبل المستخدم — أدخل منفذ TCP المراد تصفيته.

· جميع المنافذ — تتم تصفية جميع منافذ TCP.

الخطوة 7. انقر فوق تطبيق لحفظ التغييرات التي أجريتها ثم انقر فوق إغلاق للخروج من الإطار إضافة تصفية النظام.