ASA发现DDOS攻击以及应急措施

1、案例分析网络拓扑结构目的在阅读完本案例后，可以利用ASA发现并应急处理TCP泛洪类的DDOS攻击。地址规划Server C真实地址是0地址转换后的地址是0案例描述在一个周一的早上，XYZ公司的网络管理员突然接到员工报障，反映打开位于Web服务器群的Server_C 网页很慢甚至无法打开。接到报障后XYZ公司的管理员马上检查路由器的相关信息，除了入口流量大以外， 在路由器侧没有任何异常，此时该管理员将目光投向了 ASA。排错工具ASDMShow命令如何利用ASA发现并应急处理DDOS攻击1）通过ASDM发现每秒的TCP连接数突增。2）利用show perfmon命令检查连接状态，发现每秒的TCP

2、连接数高达2059个，半开连接数量则是1092 个每秒。从公司的日常记录看，此时这两个连接数量属于不正常的范围。AA-SS10H - how pr1 i i iiiiunPCRniClN STAT S iCux：Eeni tJLva.gv?Xl-dE-teao/o/CortnccTt.lona2059/*99/hTCP Cohump299/UDP Coiuiko/0/vURL Acces ho/o/LFRf. Snvfi Rntjo/-/-TCP FlXUp0/*U/0TCF Jnt-CXCE-p t UstaliJ-shieci Conn ato/0/nTCP In.t.excep t Kt

3、.1 fcnqht dio/-TCP Fml*-ynn.L CnniiB TJnioiit.，/鼻HTTB d#Q/，U/kFTB- F i 3CU1Eo/D/nAAA Aut.hono/-n/iHMOt ABtHoS!0/*IJ/liAAA Ac wuyi.t-O/0/bUWJI COM1K RAT In TCP TMTEnCEPT 心A#始尼Jt J略ASA-5 51DNH/R侦uo3）利用show conn命令察看不正常连接的具体信息，例如源/目的地址以及源/目的端口。在本案例中发现 随机的源地址和端口去访问相同的目的地址0的80端口，并且这些TCP的连接都是半开连接属 于TCP SYN

4、泛洪攻击。O L 2I fl |Hag:DO:Q?1G，Z91： m id %in i 1 d-r境仿L股建棱Ttir EIUR.H ld-1TCF aRiLii i d-rTCI* aul 1 d-nTCJ* aihl in i70,13 . IZB . 41 :33E57 iiialdc IQ .1.1. 5D= 0O . IJULe 0:00:1la nJi.in. 17? = s raJi:Ldi 勺 14). i. i. =fko4 iUfi 口 = *1“ =票 了.fl .1112G. 147 . 1B1= 3 77B41.1*. 1 . L . 50 H： D . iJlv O

5、 = 七口 . flarpa all* 口！il iLnd* 1U 1.1 . 5 fi r no , IdJLiR H = |)a： j J ra n3T. Z7. L 13i .1ZZ 44Z Lnfflde 10.1.1 n 10a CO . liLL VH 口lAM,Zjw 心TCP4）利用ASDM发现半开（TCP SYN泛洪）攻击存在，并且连接数量突增。5)利用TCP Intercept机制应急处理TCP的半开连接攻击。利用ACL及Class-Map来分类流量，在 Policy-Map下限制最大的半开连接数，在本案例中为100。aocess-llst I 11) exteiiided

6、 permit, tep any host 192 JLG& 1. 50 eq wwwClass-map pro!蚓”:Idcssc：rpt iazpn Protect wb server front at tHtMtjch- list 1 1 0po 1 归 Ca ASDM A.1 fcr A1A “ 1725411175心曰|* rjlWnrth Q* u|M|h CISCO任 E 话a EiMqfMmiiiiii】tMrMEFi *ririii If* WJkiTiL EllrflMwdd 顷申5BM#d-3 PbM iIJHM 3M： I ZJCH *SrtwfKt MbltafM P

7、wPno lui jnd M MlilEH.MI 尊 e SfcW #Rf.gs lie 1蛙 I tai- W m ll&iui 1.50 . Ni =.1W.hW n UpU*Q-SfrPi .r Mi F .-；KMMI U-llini尊土攻叫im MJKizn rwiw mSTJifl it21? ! mHrt.lid.2M2M |124lh M龄KXIg中 VPIT*Few clients represent 50*% of trafficTCP Intercept applied7）限制每个客户端所能产生的最大连接数从而实现对垃圾连接的限制。aofzfess lis t L -3 0 -xtid4=*d pexmlli tep any hos;t 132.16& 1. 50 wwwel ass-map pr ol 顼 rtdeisciript ion Protiert wb sexver from at t acksmate!li access - list 1 1 (Jpolicy-mp illterfC：yclass prot eutset conn set Ion EMhbr yoti ic- coiui 100圳 配二 m “ _ SserVit