Bảo vệ Cisco Catalyst 3750/3560 SYN

Làm thế nào người ta có thể giảm thiểu SYN FLOOD DOS trên Catalyst 3750/3560 vì nó không có bảo vệ mặt phẳng điều khiển?

3750 có một số ưu tiên nội bộ về những gì nó thích để punt khi tắc nghẽn, nhưng nó không thể cấu hình.

Vì vậy, bạn nên dựa vào các thực tiễn tốt nhất phổ biến, đó là trên tất cả các cạnh mạng của bạn, bạn nên có iACL (cơ sở hạ tầng ACL). Trong iACL, bạn cho phép các môn thể thao cao cấp UDP, ICMP đến các địa chỉ mạng cơ sở hạ tầng và nghỉ ngơi. Cách này ping và traceroute hoạt động, nhưng cơ sở hạ tầng không thể bị tấn công.
iACL nên được bổ sung bằng cách kiểm soát lưu lượng cho phép ở mức nhỏ có thể chấp nhận được.

Bằng cách này khi bên ngoài đang tấn công các địa chỉ trên 3750 của bạn, nó sẽ bị loại bỏ bởi đường viền mạng ở rìa.

iACL thường tĩnh 100% nên bảo trì thấp, vì nó sẽ chỉ bao gồm các địa chỉ cơ sở hạ tầng (loopback, liên kết cốt lõi).

Điều này sẽ vẫn để các trường hợp mở rộng mà bộ định tuyến của bạn phải đối mặt trực tiếp với mạng LAN của khách hàng, như khi LAN là 192.0.2.0/24 và 3750 có 192.0.2.1 thì thường 192.0.2.1 sẽ không bị iACL bao phủ và có thể bị tấn công.
Giải pháp cho các thiết bị đó là đầu tư vào thiết bị có khả năng CoPP phù hợp hoặc duy trì iACL động luôn luôn thêm địa chỉ khách hàng của bộ định tuyến ở đó.

Nếu bạn chỉ đối mặt với khách hàng thông qua giải pháp mạng liên kết (/ 30 hoặc / 31) sạch hơn nhiều, bạn chỉ cần bỏ qua quảng cáo mạng liên kết và thêm tuyến tĩnh / 32 cho phía CPE, theo cách này bên ngoài các bên bộ định tuyến này không thể tấn công bộ định tuyến, vì họ sẽ không có tuyến đường.
Giải pháp thay thế cho cùng một vấn đề là sử dụng mục nhập ACL không liên tục trong iACL, nếu mạng liên kết CPE của bạn là 198.51.100.0/24 trong iACL, bạn có thể 'từ chối ip bất kỳ 198.51.100.0 0.0.0.254' thì tất cả các địa chỉ chẵn được phép và các địa chỉ lẻ bị từ chối, vì vậy nếu CPE chẵn và 3750 là số lẻ, tất cả các liên kết hiện tại và tương lai đều được bảo vệ mà không cập nhật iACL.