Déni de service la configuration de filtrage de SYN (DOS) sur des commutateurs gérés de gamme 300

Objectif

Une attaque du Déni de service (DOS) inonde un réseau avec le trafic faux. Ceci dessine des ressources en serveur de réseau à partir des utilisateurs légitimes. Une inondation de synchronisation vise le protocole TCP en particulier. Le protocole TCP exige de trois étapes de fonctionner. D'abord, un utilisateur envoie leur adresse IP au serveur et demande une connexion. Ensuite, le serveur répond à la demande et attend une confirmation. En conclusion, l'utilisateur reconnaît que le serveur a ouvert une connexion. Une attaque de synchronisation de TCP emploie de plusieurs adresses IP pour demander une connexion, mais n'envoie jamais un accusé de réception de nouveau au serveur une fois qu'une connexion est ouverte. Un serveur peut seulement ouvrir une quantité limitée de connexions avant qu'il commence à relâcher des demandes de TCP, même des utilisateurs légitimes.

Le trafic TCP est envoyé sur plusieurs ports virtuels. Ces ports sont une manière pour que le trafic réseau soit coupé en groupes communs. Le filtre de synchronisation peut être configuré pour bloquer le trafic d'un port virtuel spécifique. En outre, le filtrage de synchronisation est configuré sur un effectif, un port physique ou un LAG sur le commutateur. Cet article explique comment configurer le SYN filtrant sur les commutateurs gérés de gamme 300.

Remarque: Des filtres de Syn peuvent seulement être utilisés si la prévention DOS est activée. Référez-vous aux configurations de suite de Sécurité d'article sur des commutateurs gérés de gamme 300 pour l'aide.

Périphériques applicables

• Commutateurs gérés de gamme 300 SF/SG

Version de logiciel

• v1.2.7.76

Configuration de filtrage de synchronisation

Étape 1. Ouvrez une session à l'utilitaire de configuration Web et choisissez la prévention de Sécurité > de Déni de service > le filtrage de synchronisation. La page de filtrage de synchronisation s'ouvre :

Étape 2. Cliquez sur Add pour ajouter un nouveau filtre de synchronisation. La fenêtre de filtrage de Syn d'ajouter apparaît.

Étape 3. Cliquez sur la case d'option qui correspond à l'interface désirée dans le domaine d'interface. C'est l'emplacement physique que le filtre sera assigné à.

• Port — Le port physique sur le commutateur. Choisissez un port spécifique de la liste déroulante de port.

• LAG — Un groupe de ports qui agissent en tant que port unique. Choisissez un LAG spécifique de la liste déroulante de LAG.

Étape 4. Cliquez sur la case d'option qui correspond à l'ipv4 addres désiré dans le domaine d'ipv4 addres.

• Défini par l'utilisateur — Écrivez une adresse IP à filtrer pour le trafic TCP.

• Tous adresses — Toutes les adresses d'ipv4 sont filtrées pour le trafic TCP. Ignorez à l'étape 6 si toutes les adresses est choisies.

Étape 5. Cliquez sur la case d'option qui correspond à la méthode utilisée pour définir le masque de sous-réseau de l'adresse IP dans le domaine de masque de réseau.

• Masque — Écrivez le masque de réseau dans le domaine de masque de réseau.

• Longueur de préfixe — Écrivez la longueur de préfixe (entier de l'ordre de 0 à 32) dans le domaine de longueur de préfixe.

Étape 6. Cliquez sur la case d'option qui correspond au port TCP désiré à filtrer dans le domaine de port TCP. Ce sont les ports virtuels que le trafic réseau est divisé en. 

• Ports connus — Choisissez un port TCP à filtrer de la liste déroulante connue de ports.

• Défini par l'utilisateur — Entrez dans un port TCP à filtrer.

• Tous les ports — Tous les ports TCP sont filtrés.

Étape 7. Cliquez sur Apply pour sauvegarder vos modifications et puis pour cliquer sur près de la sortie la fenêtre de filtrage de Syn d'ajouter.