на примере коммутатора DGS-1250-28X/RU В современных корпоративных и провайдерских сетях первый эшелон защиты формируется не только на уровне межсетевых экранов и систем предотвращения вторжений, но и на уровне коммутации доступа. Управляемые коммутаторы D-Link поддерживают механизм dos-prevention, позволяющий аппаратно отсеивать аномальные, сканирующие пакеты ещё до их попадания в ядро сети. Эта защита коммутатора не заменяет специализированные системы противодействия DDoS. Её задача иная: Для настройки используется команда dos-prevention Настроить на коммутаторе защиту от всех поддерживаемых атак можно так: включаем все или выбранный типы защиты глобально на коммутаторе и на выбранных портах DGS-1250-28X(config)# dos-prevention all DGS-1250-28X(config)# int ethernet 1/0/1 DGS-1250-28X(config-if)# dos-prevention Посмотреть все настроенные защиты так: DGS-1250-28X# show dos-prevention type all И на портах:
на примере коммутатора DGS-1250-28X/RU
В современных корпоративных и провайдерских сетях первый эшелон защиты формируется не только на уровне межсетевых экранов и систем предотвращения вторжений, но и на уровне коммутации доступа. Управляемые коммутаторы D-Link поддерживают механизм dos-prevention, позволяющий аппаратно отсеивать аномальные, сканирующие пакеты ещё до их попадания в ядро сети.
Эта защита коммутатора не заменяет специализированные системы противодействия DDoS. Её задача иная:
- Отсеивать трафик с некорректными заголовками, нарушающими RFC, на уровне L2/L3.
- Блокировать примитивные сканеры и инструменты разведки, генерирующие аномальные TCP-флаги.
- Снижать нагрузку на маршрутизаторы, файрволлы и серверы за счёт фильтрации «мусорного» трафика на границе доступа.
- Защищать устаревшее или IoT-оборудование, не имеющее собственных механизмов фильтрации.
Для настройки используется команда dos-prevention
Поддерживаемые директивы dos-prevention:
- land - блокирует TCP-пакеты, в которых IP-адрес источника совпадает
- blat - блокирует TCP- или UDP-пакеты, в которых порт источника совпадает с портом назначения
- DestAddr-eq-SrcAddr - блокирует пакеты, в которых MAC-адрес источника совпадает с MAC-адресом назначения
- TCP-Null-scan - блокирует TCP-пакеты, в которых порядковый номер пакета равен нулю и флаги не установлены
- TCP-Xmas-scan - блокирует TCP-пакеты, в которых порядковый номер пакета равен нулю и установлены флаги FIN, URG и PSH.
- TCP-SYN-FIN - блокирует TCP-пакеты, в которых одновременно установлены флаги SYN и FIN.
- TCP-SYN-RST - блокирует TCP-пакеты, в которых одновременно установлены флаги SYN и RST.
- TCP-SYN-SrcPort-Less-1024 - блокирует TCP-пакеты, в которых установлен флаг SYN, не установлен флаг ACK и указан порт источника меньше 1024.
- TCP-Tiny-Frag - блокирует TCP-пакеты c фрагментами небольшого размера со смещением данных, равным 8 байт.
- ICMP-Frag-Packets - блокирует фрагментированные ICMP-пакеты,
- Ping-of-Death - блокирует пакеты, в которых объем полезных данных превышает 65535 байт.
Пример конфигурации коммутатора DGS-1250-28/RU
Настроить на коммутаторе защиту от всех поддерживаемых атак можно так: включаем все или выбранный типы защиты глобально на коммутаторе и на выбранных портах
DGS-1250-28X(config)# dos-prevention all
DGS-1250-28X(config)# int ethernet 1/0/1
DGS-1250-28X(config-if)# dos-prevention
Посмотреть все настроенные защиты так:
DGS-1250-28X# show dos-prevention type all
И на портах: