本帖最后由 微微一笑 于 2015-12-15 16:02 编辑
H3C-TCP攻击防御配置 攻击者可以利用TCP连接的建立过程对设备进行攻击。为了避免上述攻击带来的危害,设备提供了SYN Cookie功能。下面将详细介绍该功能的工作原理,以及配置过程。 一般情况下,TCP连接的建立需要经过三次握手,即: (1) TCP连接请求的发起者向目标服务器发送SYN报文; (2) 目标服务器收到SYN报文后,建立处于SYN_RECEIVED状态的TCP半连接,并向发起者回复SYN ACK报文,等待发起者的回应; (1) 发起者收到SYN ACK报文后,回应ACK报文,这样TCP连接就建立起来了。 利用TCP连接的建立过程,一些恶意的攻击者可以进行SYN Flood攻击。攻击者向服务器发送大量请求建立TCP连接的SYN报文,而不回应服务器的SYN ACK报文,导致服务器上建立了大量的TCP半连接。从而,达到耗费服务器资源,使服务器无法处理正常业务的目的。 SYN Cookie功能用来防止SYN Flood攻击。当服务器收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文。服务器接收到发起者回应的ACK报文后,才建立连接,并进入ESTABLISHED状态。通过这种方式,可以避免在服务器上建立大量的TCP半连接,防止服务器受到SYN Flood攻击。 表1 配置SYN Cookie功能 [td] | | | | | | | | 必选 缺省情况下,SYN Cookie功能处于使能状态 |
说明
· 如果启用了在建立TCP连接时进行MD5认证的功能,则SYN Cookie功能不会生效。取消在建立TCP连接时进行MD5认证功能后,之前配置的SYN Cookie功能会自动生效。关于在建立TCP连接时进行MD5认证功能的介绍,请参见“三层技术-IP路由配置指导”中“BGP”手册中“配置BGP建立TCP连接时进行MD5认证”章节的内容。 · 使能SYN Cookie功能后,建立TCP连接时只协商最大报文段长度选项,而不协商窗口缩放因子和时间戳选项。
咨询qq:1875816702 张老师
关注上方二维码
免费送华为技术视频、文章,考试试题,免费推荐高薪职位
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2015-12-15 15:57:55
置顶卡
喧嚣卡
变色卡
千斤顶
楼主
