1   DoS防攻击配置   

1.1   DoS攻击概述   

1.1.1  DoS攻击概念  

DoS攻击也即拒绝服务攻击。最常见的DoS攻击有计算机网络带宽攻击和联通性攻击。DoS攻击是一种最常见的攻击计算机网络的黑客方式。它的最终目的就是让计算机网络陷入瘫痪而无法为合法客户提供正常的网络请求服务。

DoS防攻击需要交换机提供包括Pingflood、SYNflood、Landattack、Teardrop、带非法Flags的TCP攻击在内的诸多攻击的防御手段。交换机在收到攻击时，需要判断这些攻击属于何种攻击类型，并对攻击报文进行特定的处理，如发往CPU并丢弃。

1.1.2DoS攻击类型

黑客会通过构造各种不同的DoS攻击报文来攻击服务器。最常见的DoS攻击报文有：

1.1.2.1Ping of Death

Ping of Death造畸形的Ping包，声称自己的大小已经超过ICMP大小上限，导致TCP/IP协议栈崩溃，最终导致接收方宕机。

1.1.2.2TearDrop

TearDrop用在TCP/IP协议栈中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，即offset位，某些TCP/IP协议栈在收到含有重叠偏移的伪造分段时将崩溃。

1.1.2.3SYN Flood

对于标准的TCP连接，需要进行三次握手过程，首先请求方向服务器发送一个SYN信息，然后服务方回复一个SYN-ACK，请求方收到后再向服务方发送一个ACK信息，这样一个TCP连接就建立了。SYN泛洪攻击是专门针对TCP协议栈在两台主机间初始化连接握手的过程进行DoS攻击，它在请求方收到SYN-ACK信息后，请求方通过源地址欺骗等手段，使得服务方收不到ACK回应，于是服务方就会在一定时间内处于等待ACK信息阶段。如果攻击者连续发送此类连接请求，这样该服务器的TCP连接队列就会很快被阻塞，网络带宽迅速减小，系统将无法提供正常的服务。

1.1.2.4Land  Attack

攻击者通过构造一个特殊的SYN包（源地址和目的地址同为一个服务地址），这样将会导致服务器向自己发送SYN-ACK信息，结果这个地址又 发送ACK信息并创建一个空链接，每个这样的连接都会保持到超时，这样服务器会崩溃。Landattack又可以分为IPland和MACland。

1.2   DoS防攻击配置任务列表   

基于全局的dos防攻击配置，用户配置相应的子功能后，交换机能丢弃相应的dos攻击报文，从而保证交换机的网络带宽不被消耗殆尽。

DoS防攻击配置任务有：

• 配置全局DoS防攻击功能

• 显示配置的DoS防攻击功能

1.3 DoS防攻击配置任务 

1.3.1   配置全局   DoS防攻击功能

配置全局DoS防攻击功能是指在全局状态下配置DoS防攻击子功能，每一项子功能能抵御不同类型的DoS攻击报文。dos的IP子功能可以抵御Land攻击，dos的icmp子功能能抵御死亡之Ping的攻击等。用户可以视情况配置对应的子功能。

进入特权模式下按下列步骤配置dos防攻击功能。

1.3.2显示配置的DoS防攻击功能

可以通过show命令来显示用户配置的DoS防攻击功能。

进入特权模式下使用下列命令显示用户配置的DoS防攻击功能。

1.4   DoS防攻击配置示例   

在全局状态下配置抵御带非法flag的TCP报文攻击，并显示用户配置。

config

dos enable tcpflags

show dos

在全局状态下配置抵御源、目的IP地址相等的IP报文攻击。

config

dos enable ip

在全局状态下配置抵御最大长度超过255的ICMP报文攻击。

config

dos enable icmp 255