ASA发现DDOS攻击以及应急措施.docx

案例分析网络拓扑结构
目的
在阅读完本案例后，可以利用ASA发现并应急处理TCP泛洪类的DDOS攻击。
地址规划
Server C


案例描述
利用show conn命令察看不正常连接的具体信息，例如源/目的地址以及源/目的端口。在本案例中发现 ，并且这些TCP的连接都是半开连接属 于TCP SYN泛洪攻击。
□O L 2
I ■ fl ||«
Hag
:DO:Q?
1G，
Z91
： m id %
in i 1 d-r
境仿L股
建棱
Ttir ld-1"
TCF aRiLii i d-r
TCI* aul ■ 1 d-n
TCJ* aihl in i
70,13] . IZB . 41 :33E57 iiialdc IQ .. 5"D= «0O .» IJULe 0:00:1^^ £la<r> nJi
.in. 17? = s ra'Ji ■:Ldi 勺 14). i. i. =fko4 i«Ufi 口 = *1“ =票 了. fl .111
2G. 147 . . 1B1= 3 77B4 *. 1 . L . 50 H： D . iJlv O = <lU = tt7 1>^七口・ □ . flarpa all
* 口！i"l iLn・・d* 1U . 5 fi r no , IdJLiR H = |)a： j J r a „ «n
3T. Z7. L 13i .1ZZ [£4^4Z Lnfflde n 10a CO .. liLL" VH 口"lAM, £Z«<jw 心
TCP
4）利用ASDM发现半开（TCP SYN泛洪）攻击存在，并且连接数量突增。
5)利用TCP Intercept机制应急处理TCP的半开连接攻击。利用ACL及Class-Map来分类流量，在 Policy-Map下限制最大的半开连接数，在本案例中为100。
aocess-llst I 11) exteiiided permit, tep any host 192 JLG& 1. 50 eq www
Class-map pro!蚓”:I
dcssc：r±pt iazpn Protect w^b server front at t
HtMtjch - list 1 1 0
po 1 £<■ y- £iltr f ^fcO^_pol. ic^ y
class prot
s et conned t lom ^Mtbieyi»MA*^"«™iTrr—
sV±c,^-po 1 icrv in t f policv Inter fac?e- out sid*?
6）利用ASDM检查，是否TCP intercept机制起效。由此可见连接数和TCP SYN攻击的曲线都有所下降。 所以证明TCP intercept机制生效。但是总连接数还是处于一个不正常的状态。
LStikFfif
■■■J ■ i>
归 C«a ASDM fcr A1A “ 1725411^175
■心曰|**™