Топовые новости
Случайное

Ограничение трафика

Ограничение трафикаОграничение трафика (так же как функция перехвата TCP-пакетов) должно быть настроено в соответствии со стратегией предупреждения атак SYN — переполнением. Также следует отметить, что Cisco IOS версий 12.0 и выше по умолчанию отключает трансляцию направленных широковещательных сообщений. Это сделано (согласно рекомендации RFC2644) для того, чтобы предохранить сеть от ее участия в качестве усилителя амплификационной атаки. Использование большого количества маршрутизирующих фильтров может заметным образом отразиться на производительности устройства. Компания Cisco рекомендует использовать технологию TurboACL и подчеркивает, что списки доступа, состоящие более чем из 50 правил, могут понизить производительность маршрутизатора. Большинство современных операционных систем защищают себя от SYN — переполнения, увеличивая размер очереди входящих соединений и уменьшая время ожидания для этих соединений. Кроме того, некоторые ОС используют алгоритм случайного предварительного разрыва (random early drop). Этот алгоритм заключается в периодическом мониторинге очереди соединений и в исключении выбранных случайным образом SYN-запросов, не имеющих подтверждения со стороны клиента. В ОС Linux используется своеобразный подход к решению проблемы SYN — переполнения. При этом используется технология закладок SYN Cookies. Для того чтобы объяснить преимущества этой технологии, придется еще раз вернуться к рассмотрению трехступенчатого процесса установки ТСР — соединения. Клиентский узел присылает серверу SYN-запрос на соединение, содержащий ISN-число. После этого сервер оправляет клиенту соответствующий SYN/ACK-пакет, но, в случае с Linux, вместо того, чтобы включить в этот пакет обычное серверное ISN, сервер подставляет результат MD5 хэш — функции от адреса и порта отправителя, ISN клиента, приславшего запрос, адреса и порта назначения и секретного зерна (phew). После этого сервер достаточно эффективным образом освобождает ресурсы, которые могут быть поглощены в результате SYN-атаки. Если клиент вернет АСК-пакет (чего не происходит в случае нападения), то сервер высчитывает число ISN -1 и сравнивает его с тем, которое было вставлено в SYN/ACK-пакет. И только в случае, если числа совпадают, соединение устанавливается. Включить механизм SYN Cookies можно с помощью следующей команды:

Популярные записи

Copyright © 2015. All Rights Reserved.