عرض للطباعة
في البداية اعتذر لوضع السؤال في هذا القسم ولكن هذه هي الطريقة التي اعتقد افضل للوصول إلى أغلب إن لم يكن كل خبراء cisco
سؤالي حول هجمات ddos ما هي الطريقة (أو الطرق) الأفضل للتغلب على هذه الهجمات خصوصاً إذا كان الهجوم من spoofed ips بالاضافة إلى ip حقيقية ولكنها مستعملة من قبل botnet. للعلم احد هذه الهجمات قد تجاوز 1Gb/s traffic. والهجمات على dns root بلغت أكثر من 10gb/s
وشكراً
السلام عليكم أخي الكريم,
يوجد في هذا الرابط معلومات عن IP TCP Intercept
https://www.cisco.com/en/US/docs/ios.../scdenial.html
يمكن أيضا إستخدام CBAC
https://www.cisco.com/en/US/docs/ios...de/sccbac.html
أوامر CBAC
ip inspect
ip inspect alert-off
ip inspect audit trail
ip inspect dns-timeout
ip inspect hashtable
ip inspect L2-transparent dhcp-passthrough
ip inspect max-incomplete high
ip inspect max-incomplete low
ip inspect name
ip inspect one-minute high
ip inspect one-minute low
ip inspect tcp finwait-time
ip inspect tcp idle-time
ip inspect tcp max-incomplete host
ip inspect tcp reassembly
ip inspect tcp synwait-time
ip inspect udp idle-time
يمكنك أيضا إستخدام emb_lim مع الأمر Static في PIX أو ASA
Specifies the maximum number of embryonic connections per host. An embryonic connection is a connection request that has not finished the necessary handshake between source and destination. Set a small value for slower systems, and a higher value for faster systems. The default is 0, which means unlimited embryonic connections.
The embryonic connection limit lets you prevent a type of attack where processes are started without being completed. When the embryonic limit is surpassed, the TCP intercept feature intercepts TCP synchronization (SYN) packets from clients to servers on a higher security level. The software establishes a connection with the client on behalf of the destination server, and if successful, establishes the connection with the server on behalf of the client and combines the two half-connections together transparently. Thus, connection attempts from unreachable hosts never reach the server. The PIX firewall accomplishes TCP intercept functionality using SYN ****ies.
Note This option does not apply to outside NAT. The TCP intercept feature applies only to hosts or servers on a higher security level. If you set the embryonic limit for outside NAT, the embryonic limit is ignored.
طريقة عمل الأمر Static مع emb_lim
For static NAT:
static (real_ifc,mapped_ifc) {mapped_ip | interface} {real_ip [netmask mask] | access-list access_list_name} [dns] [[tcp] max_conns [emb_lim]] [udp udp_max_conns] [norandomseq [nailed]]
no static (real_ifc,mapped_ifc) {mapped_ip | interface} {real_ip [netmask mask] | access-list access_list_name} [dns] [[tcp] max_conns [emb_lim]] [udp udp_max_conns] [norandomseq [nailed]]
For static PAT:
static (real_ifc,mapped_ifc) {tcp | udp} {mapped_ip | interface} mapped_port {real_ip real_port [netmask mask] | access-list access_list_name} [[tcp] max_conns [emb_lim]] [udp udp_max_conns] [norandomseq [nailed]]
no static (real_ifc,mapped_ifc) {tcp | udp} {mapped_ip | interface} mapped_port {real_ip real_port [netmask mask] | access-list access_list_name} [[tcp] max_conns [emb_lim]] [udp udp_max_conns] [norandomseq [nailed]]
جزاك الله خيراً كثيراً أخي minimax على ردودك.
الأوامر التي ذكرتها أخي الكريم مستخدمة وفعّالة لكن المشكل عندما يكون حجم الهجوم كبير أداء الشبكة سيتأثر بشكل كبير.
على العموم وجدت هذه الطرق التي تساعد في التصدي لهذه الهجمات وهي تحتوي على تعاون بين أكثر من جهة مثل ال isp وال upstream بالإضافة إلى الشخص الشركة أو المؤسسة التي تتعرض للهجوم عسى أن يكون فيه فائدة للجميع
https://isc.sans.org/diary.html?storyid=5375
أخي الكريم تفضل هذه الروابط , عسى إن شاء الله أن تكون فيها فائدة لك وللجميع
Strategies to Protect Against Distributed Denial of Service (DDoS) Attacks
https://www.cisco.com/en/US/tech/tk5...80174a5b.shtml
Closing the Floodgates: DDoS Mitigation Techniques
https://www.securityfocus.com/infocus/1655
How to stop DoS attacks?
https://www.dos-attacks.com/howtostopdosattacks.html
Controlling Directed Broadcasts (From www.cisco.com)
Help Defeat Distributed Denial of Service Attacks: Step-by-Step
روابط أخرى
Experiences with DDOS mitigation - Part I
سيسكو لديها appliances لمواجهة مثل هذه المشاكل
Cisco Guard DDoS mitigation appliances
https://www.cisco.com/en/US/products/ps5888/index.html
Traffic anomaly detection solutions
حاول أيضا منع IP Directed broadcast و تشغيل خاصية Unicast Reverse Path Forwarding
بالتوفيق
سوف أقوم إن شاء الله بالإطلاع على هذه الروابط. جزاك الله خيراً كثيراً.
شكرا جزيلا لكم
شكرا على مجهودكم