关于syn泛洪攻击的交换机端口安全
2017-04-20 21:30
267 查看
-前言:写这篇文章,是老师课上的讲解和加上自己的百度学习,有可能有不正确的地方,希望大家能提出。O(∩_∩)O谢谢!
简单通俗的讲,就是你们班有个人想要你晚点吃饭,又怕你不同意。然后他就说班上很多人都想在你那里要纸巾,你忙着给他纸巾,然后你吃饭的时间就延迟了。
S1#conf t
S1(config)#interface range fastEthernet 0/1-2 //同时进入很多命令接口
S1(config-if-range)#shutdown //关闭0/1-2的接口
S1(config-if-range)#switchport mode access//启用access模式
S1(config-if-range)#switchport port-security //启用安全端口
S1(config-if-range)#switchport port-security maximum 1 //设置端口可连接PC的数目为1
S1(config-if-range)#switchport port-security violation restrict //如果违规了,就丢弃数据包
S1(config-if-range)#switchport port-security mac-address sticky //动态绑定mac地址
S1(config-if-range)#no shutdown //开启1-2的端口
S1(config-if-range)#exit
S1(config)#interface range fastEthernet 0/3-24 //关于其他的端口
S1(config-if-range)#shutdown //关闭其他的端口
S1(config-if-range)#exit
S1(config)#exit
--这段代码的配置,是限制了交换机的端口数量,来限制连入交换机的设备数量。在这里只开启了两个交换机端口(0/1与0/2)。如果多出来一个端口就会被关掉连不进网。多出连接如图:
--这里也设置了端口可连接pc的数量,这里设置的是一个端口只能连接一个pc,超过一个就会出现连接不通的状况。switchport
port-security maximum 1 这个设置就是端口连接的PC最多为1,很多情况下一般都大于1,但肯定值都是比较小的。
OK 但是这里的MAC地址是动态的。
1.关于SYN泛洪攻击的一些基本概念。
SYN攻击利用的是TCP的三次握手机制,攻击端利用伪造的IP地址向被攻击端发出请求,而被攻击端发出的响应报文将永远发送不到目的地,那么被攻击端在等待关闭这个连接的过程中消耗了资源,如果有成千上万的这种连接,主机资源将被耗尽,从而达到攻击的目的。(网上很多人都在说路由器的TCP拦截,然而在此时写这篇文章的我并不清楚怎么做,所以后面应该会更新吧)简单通俗的讲,就是你们班有个人想要你晚点吃饭,又怕你不同意。然后他就说班上很多人都想在你那里要纸巾,你忙着给他纸巾,然后你吃饭的时间就延迟了。
2.关于交换机最常用端口安全的理解(在交换机里面的配置):
S1>enS1#conf t
S1(config)#interface range fastEthernet 0/1-2 //同时进入很多命令接口
S1(config-if-range)#shutdown //关闭0/1-2的接口
S1(config-if-range)#switchport mode access//启用access模式
S1(config-if-range)#switchport port-security //启用安全端口
S1(config-if-range)#switchport port-security maximum 1 //设置端口可连接PC的数目为1
S1(config-if-range)#switchport port-security violation restrict //如果违规了,就丢弃数据包
S1(config-if-range)#switchport port-security mac-address sticky //动态绑定mac地址
S1(config-if-range)#no shutdown //开启1-2的端口
S1(config-if-range)#exit
S1(config)#interface range fastEthernet 0/3-24 //关于其他的端口
S1(config-if-range)#shutdown //关闭其他的端口
S1(config-if-range)#exit
S1(config)#exit
--这段代码的配置,是限制了交换机的端口数量,来限制连入交换机的设备数量。在这里只开启了两个交换机端口(0/1与0/2)。如果多出来一个端口就会被关掉连不进网。多出连接如图:
--这里也设置了端口可连接pc的数量,这里设置的是一个端口只能连接一个pc,超过一个就会出现连接不通的状况。switchport
port-security maximum 1 这个设置就是端口连接的PC最多为1,很多情况下一般都大于1,但肯定值都是比较小的。
OK 但是这里的MAC地址是动态的。
相关文章推荐