Home
Главная
Eltex
Коммутаторы Агрегации
MES5312
Руководство по эксплуатации Страница: 178

Eltex MES5312 [178/212] Конфигурация защиты от dos атак

Ethernet-коммутаторы MES5312, MES5316A, MES5324A, MES5332A

178

deny {any | source source-wildcard} {any | destination

destination_wildcard} [vlan vlan_id] [cos cos cos_wildcard]

[eth_type] [time-range time_name] [disable-port |

log-input] [ace-priorityindex] [offset-list offset_list_name]

Добавляет запрещающую запись фильтрации. Пакеты,

отвечающие условиям записи, будут блокироваться ком-

мутатором. При использовании ключевого слова disable-

port, физический интерфейс, принявший такой пакет, будет

выключен.

При использовании ключевого слова log-input будет от-

правлено сообщение в системный журнал.

no deny {any | source source-wildcard} {any | destination

destination_wildcard} [vlan vlan_id] [cos cos cos_wildcard]

[eth_type] [time-range time_name] [disable-port |

log-input] [offset-list offset_list_name]

Удаляет созданную ранее запись.

offset-list offset_list_name {offset_base offset mask value}

…

Создаёт список шаблонов пользователя с именем name.

Имя может включать от 1 до 32 символов. В одной коман-

де может содержаться до тринадцати шаблонов в зависи-

мости от выбранного режима настройки списков доступа

(команда set system mode), включающих следующие па-

раметры:

- offset_base – базовое смещение. Возможные значения:

l2 – начало смещения от EtherType;

outer-tag – начало смещения от STAG;

inner-tag – начало смещения от CTAG;

src-mac – начало смещения с MAC-адреса источника;

dst-mac – начало смещения с MAC-адреса назначения.

- offset – смещение байта данных в пределах пакета. Базо-

вое смещение принимается за начало отсчета;

- mask – маска. В анализе пакета принимают участие толь-

ко те разряды байта, для которых в соответствующих раз-

рядах маски задана ‘1’;

- value – искомое значение.

no offset-list offset_list_name

Удаляет созданный ранее список.

6.6 Конфигурация защиты от DoS-атак

Данный класс команд позволяет блокировать некоторые распространенные классы DoS-атак.

Команды режима глобальной конфигурации

Командная строка в режиме глобальной конфигурации имеет вид:

console (config)#

Таблица 214 – Команды для настройки защиты от DoS-атак

Команда

Значение/Значение

по умолчанию

Действие

security-suite deny martian-

addresses [reserved] {add |

remove} ip_address

ip_address: ip-адрес

Запрещает прохождение фреймов с недопустимыми («марси-

анскими») IP-адресами источника (loopback, broadcast,

multicast).

security-suite deny syn-fin

Отбрасывает пакеты tcp с одновременно установленными

SYN- и FIN- флагами.

security-suite dos protect

{add | remove} {stacheldraht |

invasor-trojan |

back-orifice-trojan}

Запрещает/разрешает прохождение определенных типов

трафика, характерных для вредоносных программ:

- stacheldraht – отбрасывает TCP-пакеты с портом источника

равным 16660;

- invasor-trojan – отбрасывает TCP-пакеты с портом назначе-

ния равным 2140 и портом источника 1024;

- back-orifice-trojan – отбрасывает UDP-пакеты с портом на-

значения 31337 и портом источника равным 1024.

security-suite enable

-/выключено

Включает класс команд security-suite.

no security-suite enable

Отключает класс команд security-suite.

Eltex MES5312 [178/212] Конфигурация защиты от dos атак

Содержание

Похожие устройства