返回
访问控制列表(acl)高级应用_附件

访问控制列表(acl)高级应用_附件

ID:466625

大小:197.86 KB

页数:7页

时间:2017-08-06

访问控制列表(acl)高级应用_附件_第1页
访问控制列表(acl)高级应用_附件_第2页
访问控制列表(acl)高级应用_附件_第3页
访问控制列表(acl)高级应用_附件_第4页
访问控制列表(acl)高级应用_附件_第5页
资源描述:

《访问控制列表(acl)高级应用_附件》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、首先简单介绍下ACLcisco里的ACL一共分为4种1.标准控制列表 序号范围在1---99以及1300~1999 标准的控制列表不能过滤数据包中的4层信息,并且只可以过滤三层的原地址2.扩展控制列表 需要范围在100-199以及2000~2699 扩展的控制列表可以过滤数据包的4层信息,并且可以根据三层的原目地址进行过滤3.命名控制列表 这里不再用序号表示,而是以字符为命名并且还比前两种好的地方在于,可以自由删除表的随意一个条目,而前两种都不行4.基于时间的控制列表 这里就是增加了一个时间的选项,前三种都可以引用这个定义的时间(时间可以是周期也可以是绝对时间)ACL3p原则  记住3P原则,

2、您便记住了在路由器上应用ACL的一般规则。您可以为每种协议(perprotocol)、每个方向(perdirection)、每个接口(perinterface)配置一个ACL:  每种协议一个ACL要控制接口上的流量,必须为接口上启用的每种协议定义相应的ACL。  每个方向一个ACL一个ACL只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个ACL。  每个接口一个ACL一个ACL只能控制一个接口(例如快速以太网0/0)上的流量。  ACL的编写可能相当复杂而且极具挑战性。每个接口上都可以针对多种协议和各个方向进行定义。示例中的路由器有两个接口配置了IP、AppleTal

3、k和IPX。该路由器可能需要12个不同的ACL—协议数(3)乘以方向数(2),再乘以端口数(2)。ACL的执行过程  一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。  数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。这里要注意,ACL不能对本路由器产生的数据包进行控制。  

4、1、利用ACL检测SYNFlood攻击服务器每接收到一个SYN报文就需要建立一个连接并为这个链接信息分配核心内存,并将此链接放入半连接,然后向源地址回应SYN+ACK报文。如果SYN报文的源地址是伪造的,则源端无法收到服务器发送的SYN+ACK报文,也就不会返回ACK确认报文,这时服务器上这个半连接就会一直等待直到超时。如果短时间内接收到的大量SYN报文,半连接队列就会溢出,使得有效的连接被挤出队列。这种方式的攻击就是SYNFlood攻击。SYNFlood攻击是利用TCP协议三次握手的原理,发送大量伪造源IP的SYN报文,使被攻击主机产生大量的半连接。由于SYNFlood攻击的发起报文中SYN

5、位为1,所以可以配置一个扩展ACL来匹配这样的报文,由此来观察是否出现SYN攻击。配置的ACL如下:Router(config)#access-list100permittcpanyanysyn此ACL表示TCP报文中SYN位为1的数据报文就会匹配此ACL。如果只想检测某台服务器是否被攻击,可以将目的地址改为服务器地址。由于ACL最后隐含着一条全部拒绝的条目,所以还需要进行如下配置:Router(config)#access-list100permitipanyany在配置完成后需要在连接服务器的接口应用,之后要查看SYN报文的数量可以使用showipaccess-list命令进行查看:Rou

6、ter#showipaccess-listsExtendedIPaccesslist100    10permittcpanyanysyn(1482matches)    20permitipanyany(465matches)由此可见收到的SYN报文的数量是1482个,即发起的TCP连接为1482次。然后根据服务器的平时访问了来判断是否存在攻击。如果需要将上述技术清零可以使用命令如下:Router#clearaccess-listcounters根据上述数据只能根据经验或根据之前的情况进行判断服务器是否被攻击,例如,一般每天向服务器发出的TCP连接一般为20000左右,而进两天向服务器发送的

7、TCP连接请求明显增多,并且访问服务器的网站变慢,由此可以初步判定服务器被攻击了(也有其他可能例如:访问量突然变大等;这时需要通过其他方法进行分析,例如:使用防火墙、进行抓包分析等)。 在实际应用中,需要每隔一段时间就统计一次数据,以日常的数据位参考来判断服务器十分可能被攻击。例如:如果每天统计一次数据,在下午下班时进行。将数据填写到表格,并作出曲线图形,可以很直观的发现服务器的访问量是否出现异常

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。