今天ISP所面临的最大的挑战之一是跟踪和阻止denialofservice(DoSattacks）.对付DoSattack有三个步骤:intrusiondetection,sourcetracking,andblocking.本命令是针对sourcetracking。　　1、配置举例：　　本例说明怎样在路由器上所有linecards/portadapters,为了让每块linecardorportadapter收集到主机100.10.0.1（被攻击的机器）的数据流。两分钟后生成log日志.记录在log的数据包和流每60秒向GRP/RSP导出以方便察看.　　Router#configureinterface　　Router(config)#ipsource-track100.10.0.1　　Router(config)#ipsource-tracksyslog-interval2　　Router(config)#ipsource-trackexport-interval60　　显示到达源端口的攻击包的源地址及流量：　　Router#showipsource-track　　AddressSrcIFBytesPktsBytes/sPkts/s　　10.0.0.1PO2/00000　　192.168.9.9PO1/2131M511M15386　　192.168.9.9PO2/0144G3134M6619923143909　　显示所有攻击源条目：　　Router#showipsource-tracksummary　　AddressBytesPktsBytes/sPkts/s　　10.0.0.10000　　100.10.1.1131M511M15386　　192.168.9.9146G3178M6711866145908　　2、CiscoIOSfeature配置TCPIntercept(防止Denial-of-ServiceAttacks)　　配置路由器以保护服务器免收TCPSYN-floodingattacks。　　以下配置定义了一个扩展accesslist101,保护192.168.1.0/24网段的服务器:　　iptcpinterceptlist101　　access-list101permittcpany192.168.1.00.0.0.255　　showtcpinterceptconnections显示不完全和已建TCP连接
上一篇:网管常犯的十个错误_网络技术
下一篇:防护SYN洪水攻击_网络技术