Explorer Cisco
Comment acheter

Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Configuration du filtrage SYN par déni de service (DoS) sur les commutateurs gérés de la gamme 300

Options de téléchargement

  • PDF     (145.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (123.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (127.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:26 juin 2017
ID du document:SMB4168

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Configuration du filtrage SYN par déni de service (DoS) sur les commutateurs gérés de la gamme 300

Objectif

Une attaque par déni de service (DoS) inonde un réseau de trafic erroné. Les ressources du serveur réseau sont ainsi éloignées des utilisateurs légitimes. Une inondation SYN cible le protocole TCP en particulier. Le protocole TCP nécessite trois étapes pour fonctionner. Tout d'abord, un utilisateur envoie son adresse IP au serveur et demande une connexion. Ensuite, le serveur répond à la demande et attend une confirmation. Enfin, l'utilisateur reconnaît que le serveur a ouvert une connexion. Une attaque SYN TCP utilise plusieurs adresses IP pour demander une connexion, mais n'envoie jamais d'accusé de réception au serveur une fois qu'une connexion est ouverte. Un serveur ne peut ouvrir qu'un nombre limité de connexions avant de commencer à supprimer des requêtes TCP, même d'utilisateurs légitimes.

Le trafic TCP est envoyé sur plusieurs ports virtuels. Ces ports permettent de diviser le trafic réseau en groupes communs. Le filtre SYN peut être configuré pour bloquer le trafic à partir d'un port virtuel spécifique. En outre, le filtrage SYN est configuré sur un port physique réel ou un LAG sur le commutateur. Cet article explique comment configurer le filtrage SYN sur les commutateurs gérés de la gamme 300.

Note: Les filtres Syn ne peuvent être utilisés que si la prévention DoS est activée. Reportez-vous à l'article Security Suite Settings on 300 Series Managed Switches pour obtenir de l'aide.

Périphériques pertinents

Commutateurs gérés · série SF/SG 300

Version du logiciel

•v 1.2.7.76

Configuration du filtrage SYN

Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Security > Denial of Service Prevention > SYN Filtering. La page SYN Filtering s'ouvre :

Étape 2. Cliquez sur Ajouter pour ajouter un nouveau filtre SYN. La fenêtre Add Syn Filtering apparaît.

Étape 3. Sélectionnez la case d'option correspondant à l'interface souhaitée dans le champ Interface. Il s'agit de l'emplacement physique auquel le filtre sera affecté.

· Port : port physique du commutateur. Sélectionnez un port spécifique dans la liste déroulante Port.

· LAG : groupe de ports qui agissent en tant que port unique. Sélectionnez un LAG spécifique dans la liste déroulante LAG.

Étape 4. Sélectionnez la case d'option correspondant à l'adresse IPv4 souhaitée dans le champ IPv4 Address.

· User Defined : saisissez une adresse IP à filtrer pour le trafic TCP.

· Toutes les adresses : toutes les adresses IPv4 sont filtrées pour le trafic TCP. Passez à l'étape 6 si Toutes les adresses sont sélectionnées.

Étape 5. Sélectionnez la case d'option correspondant à la méthode utilisée pour définir le masque de sous-réseau de l'adresse IP dans le champ Network Mask.

· Mask : saisissez le masque de réseau dans le champ Network mask.

· Prefix Length : saisissez la longueur du préfixe (entier compris entre 0 et 32) dans le champ Prefix length.

Étape 6. Cliquez sur la case d'option correspondant au port TCP souhaité à filtrer dans le champ Port TCP. Il s'agit des ports virtuels dans lesquels le trafic réseau est divisé. 

· Ports connus : sélectionnez un port TCP à filtrer dans la liste déroulante Ports connus.

· User Defined : saisissez un port TCP à filtrer.

· Tous les ports : tous les ports TCP sont filtrés.

Étape 7. Cliquez sur Apply pour enregistrer vos modifications, puis cliquez sur Close pour quitter la fenêtre Add Syn Filtering.

Historique de révision

Révision Date de publication Commentaires
1.0
11-Dec-2018
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco