TCP Intercept (Preventing Denial-of-Service Attacks)

TCP Intercept

TCP SYN FloodingといったDoS Attackへの対策として使用される機能

Intercept Mode  => ルータがクライアントからのTCP SYNをインターセプト
Watch Mode      => ルータはクライアントからのTCP SYNを監視

sample

ip tcp intercept list 110　・・・　(1)
ip tcp intercept connection-timeout 300　・・・　(2)
ip tcp intercept watch-timeout 120　・・・　(3)
ip tcp intercept one-minute low 600　・・・　(4)
ip tcp intercept one-minute high 800　・・・　(5)
ip tcp intercept mode watch　・・・　(6)
ip tcp intercept drop-mode random　・・・　(7)
!
access-list 110 permit tcp any host 192.168.1.1 eq 80　・・・　(1)
access-list 110 permit tcp any host 192.168.1.2 eq 25　・・・　(1)

(1) Intercept する対象のサーバを指定

(2) TCP通信が5分アイドル状態になったら、コネクション情報を破棄

(3) クライアントからの応答が2分間なければサーバにRSTを送る

(4) TCP通信が5分アイドル状態になったら、そのコネクションの情報を破棄する

(5) 1分間のTCP SYNアクセスが800を超えたらAggressive Modeにする

(6) ルータはTCPコネクションに対して仲介しない

(7) Aggressive ModeではTCPのコネクションをランダムに破棄

Links

• CCO
• [1]
• [2]
• [3]