TCP是一种传输层协议,它提供可靠、有序的数据包传输,还允许检测错误和触发重新传输的丢失数据,直到正确且完整地接收数据。在客户端发送数据之前,它会请求与同步(SYN)数据包连接到服务器以开始连接。然后,服务器向客户端发送SYN和确认(ACK)数据包,客户端发送ACK数据包以确认服务器响应。在客户端与服务器之间进行三次握手连接后,可以发送数据。
当此TCP三次握手中断时,会发生SYN泛洪攻击。恶意客户端使用SYN数据包泛洪服务器,服务器对所有恶意客户端请求使用SYN和ACK数据包进行响应,但恶意客户端不会发回ACK数据包。服务器等待ACK数据包,而ACK数据包不会到达,这会消耗合法用户的服务器资源,并最终导致网络瘫痪。SYN过滤可防止这些攻击。本文介绍如何在300系列托管交换机上配置SYN过滤。
· SF/SG 300系列托管交换机
•v1.2.7.76
要应用SYN过滤,首先需要确保交换机处于正确的拒绝服务级别防御。本节介绍如何在300系列托管交换机上启用正确的防御级别。
步骤1.登录Web配置实用程序,然后选择Security > Denial of Service Prevention > Security Suite Settings。“安全套件设置”页面打开:
步骤2.在DoS防御领域,有三个预防级别。单击System-Level and Interface-Level Prevention。此级别允许您配置SYN过滤。
步骤3.单击“应用”保存配置。
本节介绍如何在300系列托管交换机上配置SYN过滤。
步骤1.登录Web配置实用程序并选择Security > Denial of Service Prevention > SYN Filtering。“SYN过滤”(SYN Filtering)页面打开:
步骤2.单击“添加”。系统将显示Add SYN Filtering(添加SYN过滤)窗口:
步骤3.在Interface字段中,单击其中一个可用接口选项的单选按钮:
·端口 — 允许您从Port下拉列表中选择要从中过滤SYN数据包的端口。
· LAG — 允许您从链路聚合组(LAG)下拉列表中选择要从中过滤SYN数据包的LAG。LAG将多个端口组成一个逻辑端口。
步骤4.在IPv4 Address字段中,点击其中一个可用选项的单选按钮,以定义要从以下地址过滤SYN数据包的IPv4地址/地址:
·用户定义 — 允许您输入定义SYN数据包过滤器的IPv4地址。
·所有地址 — 此选项过滤SYN数据包的所有IPv4地址。
第5步在Network Mask字段中,点击其中一个可用选项的单选按钮,以输入步骤4中配置的IP地址的网络掩码:
·掩码 — 此选项允许您输入IP地址的子网掩码。
·前缀长度(Prefix Length) — 此选项允许您以前缀格式输入子网掩码IP地址。
步骤5.在TCP Port字段中,单击其中一个可用选项以确定要过滤的TCP端口:
· Known Ports — 此选项允许您从Known Ports下拉列表中选择端口。例如,HTTP为80,TELNET为23。
·用户定义 — 此选项允许您输入要过滤的TCP端口号。
·所有端口 — 此选项过滤所有TCP端口。
步骤6.单击“应用”保存配置。对SYN过滤表进行了更改:
步骤7.(可选)要删除SYN过滤器,请在SYN过滤表中,选中要删除的SYN过滤器的复选框。然后单击删除。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
13-Dec-2018 |
初始版本 |