資源描述:
《訪問控制列表(acl)高級應(yīng)用_附件》由會員上傳分享�����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�����。
1��、首先簡單介紹下ACLcisco里的ACL一共分為4種1.標(biāo)準(zhǔn)控制列表?序號范圍在1---99以及1300~1999?標(biāo)準(zhǔn)的控制列表不能過濾數(shù)據(jù)包中的4層信息�����,并且只可以過濾三層的原地址2.擴(kuò)展控制列表?需要范圍在100-199以及2000~2699?擴(kuò)展的控制列表可以過濾數(shù)據(jù)包的4層信息�,并且可以根據(jù)三層的原目地址進(jìn)行過濾3.命名控制列表?這里不再用序號表示,而是以字符為命名并且還比前兩種好的地方在于���,可以自由刪除表的隨意一個條目���,而前兩種都不行4.基于時間的控制列表?這里就是增加了一個時間的選項,前三種都可以引用這個定義的時間(時間可以是周期也可以是絕對時間)ACL3p原則 記住3P原則����,
2、您便記住了在路由器上應(yīng)用ACL的一般規(guī)則�。您可以為每種協(xié)議(perprotocol)����、每個方向(perdirection)�、每個接口(perinterface)配置一個ACL: 每種協(xié)議一個ACL要控制接口上的流量����,必須為接口上啟用的每種協(xié)議定義相應(yīng)的ACL?! ∶總€方向一個ACL一個ACL只能控制接口上一個方向的流量。要控制入站流量和出站流量����,必須分別定義兩個ACL?��! ∶總€接口一個ACL一個ACL只能控制一個接口(例如快速以太網(wǎng)0/0)上的流量��?���! CL的編寫可能相當(dāng)復(fù)雜而且極具挑戰(zhàn)性�����。每個接口上都可以針對多種協(xié)議和各個方向進(jìn)行定義。示例中的路由器有兩個接口配置了IP�、AppleTal
3、k和IPX����。該路由器可能需要12個不同的ACL—協(xié)議數(shù)(3)乘以方向數(shù)(2),再乘以端口數(shù)(2)�����。ACL的執(zhí)行過程 一個端口執(zhí)行哪條ACL���,這需要按照列表中的條件語句執(zhí)行順序來判斷����。如果一個數(shù)據(jù)包的報頭跟表中某個條件判斷語句相匹配����,那么后面的語句就將被忽略,不再進(jìn)行檢查����。 數(shù)據(jù)包只有在跟第一個判斷條件不匹配時�����,它才被交給ACL中的下一個條件判斷語句進(jìn)行比較。如果匹配(假設(shè)為允許發(fā)送)�,則不管是第一條還是最后一條語句,數(shù)據(jù)都會立即發(fā)送到目的接口����。如果所有的ACL判斷語句都檢測完畢�,仍沒有匹配的語句出口,則該數(shù)據(jù)包將視為被拒絕而被丟棄��。這里要注意��,ACL不能對本路由器產(chǎn)生的數(shù)據(jù)包進(jìn)行控制�。??
4、1����、利用ACL檢測SYNFlood攻擊服務(wù)器每接收到一個SYN報文就需要建立一個連接并為這個鏈接信息分配核心內(nèi)存,并將此鏈接放入半連接�,然后向源地址回應(yīng)SYN+ACK報文。如果SYN報文的源地址是偽造的��,則源端無法收到服務(wù)器發(fā)送的SYN+ACK報文���,也就不會返回ACK確認(rèn)報文��,這時服務(wù)器上這個半連接就會一直等待直到超時�。如果短時間內(nèi)接收到的大量SYN報文,半連接隊列就會溢出���,使得有效的連接被擠出隊列��。這種方式的攻擊就是SYNFlood攻擊�����。SYNFlood攻擊是利用TCP協(xié)議三次握手的原理����,發(fā)送大量偽造源IP的SYN報文��,使被攻擊主機(jī)產(chǎn)生大量的半連接���。由于SYNFlood攻擊的發(fā)起報文中SYN
5��、位為1��,所以可以配置一個擴(kuò)展ACL來匹配這樣的報文�,由此來觀察是否出現(xiàn)SYN攻擊。配置的ACL如下:Router(config)#access-list100permittcpanyanysyn此ACL表示TCP報文中SYN位為1的數(shù)據(jù)報文就會匹配此ACL�����。如果只想檢測某臺服務(wù)器是否被攻擊����,可以將目的地址改為服務(wù)器地址。由于ACL最后隱含著一條全部拒絕的條目�����,所以還需要進(jìn)行如下配置:Router(config)#access-list100permitipanyany在配置完成后需要在連接服務(wù)器的接口應(yīng)用��,之后要查看SYN報文的數(shù)量可以使用showipaccess-list命令進(jìn)行查看:Rou
6��、ter#showipaccess-listsExtendedIPaccesslist100????10permittcpanyanysyn(1482matches)????20permitipanyany(465matches)由此可見收到的SYN報文的數(shù)量是1482個����,即發(fā)起的TCP連接為1482次��。然后根據(jù)服務(wù)器的平時訪問了來判斷是否存在攻擊�����。如果需要將上述技術(shù)清零可以使用命令如下:Router#clearaccess-listcounters根據(jù)上述數(shù)據(jù)只能根據(jù)經(jīng)驗(yàn)或根據(jù)之前的情況進(jìn)行判斷服務(wù)器是否被攻擊,例如��,一般每天向服務(wù)器發(fā)出的TCP連接一般為20000左右��,而進(jìn)兩天向服務(wù)器發(fā)送的
7����、TCP連接請求明顯增多,并且訪問服務(wù)器的網(wǎng)站變慢�����,由此可以初步判定服務(wù)器被攻擊了(也有其他可能例如:訪問量突然變大等��;這時需要通過其他方法進(jìn)行分析��,例如:使用防火墻�、進(jìn)行抓包分析等)。?在實(shí)際應(yīng)用中�,需要每隔一段時間就統(tǒng)計一次數(shù)據(jù),以日常的數(shù)據(jù)位參考來判斷服務(wù)器十分可能被攻擊���。例如:如果每天統(tǒng)計一次數(shù)據(jù)����,在下午下班時進(jìn)行。將數(shù)據(jù)填寫到表格�����,并作出曲線圖形�,可以很直觀的發(fā)現(xiàn)服務(wù)器的訪問量是否出現(xiàn)異常
