99自拍视频,欧美性爱 悠悠网,五十路中出久久,大香蕉管网在线

　　 今天我們北大青鳥鄭州校區(qū)給大家分享的網(wǎng)絡(luò)技術(shù)知識是：在cisco路由器上配置TCP攔截。

 之前講過的是，TCP建立連接的三次握手過程中，一方向另一方發(fā)送的第一個報文設(shè)置了SYN位，當(dāng)某臺設(shè)備接收到一個請求服務(wù)的初始報文時，該設(shè)備響應(yīng)這個報文，發(fā)回一個設(shè)置了SYN和ACK位的報文，并等待源端來的ACK應(yīng)答。那么，如果發(fā)送方并不回復(fù)ACK，主機(jī)就會因?yàn)槌瑫r而結(jié)束連接。當(dāng)主機(jī)在等待這個連接超時的過程中，連接處于半開（Half-open）狀態(tài)，半開連接消耗了主機(jī)的資源。在等待三次握手過程中耗盡主機(jī)資源就形成了SYN攻擊，尤其是將成千上萬的SYN發(fā)往某臺主機(jī)，則該主機(jī)將很快崩潰掉。這時我就需要在路由器上配置TCP攔截（TCP intercept）來防止這種攻擊了。
　　在TCP連接請求到達(dá)目標(biāo)主機(jī)之前，TCP攔截通過對其進(jìn)行攔截和驗(yàn)證來阻止這種攻擊，也就是說，路由器會代替主機(jī)進(jìn)行連接。TCP攔截（TCP intercept）可以在兩種模式上工作：攔截和監(jiān)視。在攔截模式下（intercept mode），路由器攔截所有到達(dá)的T C P同步請求，并代表服務(wù)器建立與客戶機(jī)的連接，并代表客戶機(jī)建立與服務(wù)器的連接。如果兩個連接都成功地實(shí)現(xiàn)，路由器就會將兩個連接進(jìn)行透明的合并。路由器有更為嚴(yán)格的超時限制，以防止其自身的資源被S Y N攻擊耗盡。在監(jiān)視模式下（watch mode），路由器被動地觀察half-open連接的數(shù)目。如果超過了所配置的時間，路由器也會關(guān)閉連接。ACL則用來定義要進(jìn)行TCP攔截的源和目的地址。
基本配置命令：
　　ip tcp intercept mode {intercept/watch}'設(shè)置TCP攔截的工作模式，默認(rèn)是intercept。
　　ip tcp intercept list ACL編號         '調(diào)用ACL（擴(kuò)展的）用來定義要進(jìn)行TCP攔截的源和目的地址
其他命令：
　　當(dāng)一個路由器因?yàn)槠渌�定義的門限值被超出而確認(rèn)服務(wù)器正遭受攻擊時，路由器就主動刪除連接，直到half-open的連接值降到小于門限值。默認(rèn)關(guān)閉的是最早的連接，除非使用了“ip tcp intercept drop-mode random”命令（隨機(jī)關(guān)閉半開連接）。當(dāng)所設(shè)置的門限值被超時時，路由器進(jìn)行下面的動作：
　　1) 每一個新的連接導(dǎo)致一個最早的（或隨機(jī)的）連接被刪除。
　　2) 初始的重傳超時時間被減少一半，直到0.5秒。
　　3) 如果處于監(jiān)視模式，則超時時間減半，直到15秒。
　　有兩個因素用來判斷路由器是否正在遭受攻擊。如果超過了兩個高門限值中的一個，則表明路由器正遭受攻擊，直到門限值已經(jīng)降至兩個低門限值以下。下面顯示了有關(guān)的參數(shù)及其默認(rèn)值，并對其加以簡單描述。
　　1) ip tcp intercept max-incomplete high number 1100
　　在路由器開始刪除連接之前，能夠存在的half-open連接的最大數(shù)目。
　　2) ip tcp inercept max-incomplete low number 900
　　在路由器停止刪除half-open連接之前，能夠存在的最大half-open連接數(shù)目。
　　3) ip tcp intercept one-minute high number 1100
　　在路由器開始刪除連接之前，每分鐘內(nèi)能存在的最大half-open連接數(shù)目。
　　4) ip tcp intercept one-minute low number 900
　　在路由器停止刪除連接之前，每分鐘內(nèi)能存在的最小half-open連接數(shù)目。
　　half-open連接總數(shù)與每分鐘half-open連接的數(shù)量比率是相聯(lián)系的。任何一個最大值到達(dá)，T C P攔截就被激活并且開始刪除half-open連接。一旦TCP攔截被激活，這兩個值都必須下降到TCP攔截的低設(shè)置值，以便停止刪除連接。
　　注意事項(xiàng)：
　　攔截模式下，路由器響應(yīng)到達(dá)的SYN請求，并代替服務(wù)器發(fā)送一個響應(yīng)初始源IP地址的SYN、ACK報文，然后等待客戶機(jī)的ACK。如果收到ACK，再將原來的SYN報文發(fā)往服務(wù)器，路由器代替原來的客戶機(jī)與服務(wù)器一起完成三次握手過程。這種模式會增加路由器的內(nèi)存和CPU的額外開銷，并且增加了一些初始會話的延時。在監(jiān)視模式下，路由器允許SYN請求直接到達(dá)服務(wù)器。如果這個會話在30秒鐘內(nèi)（默認(rèn)值）沒有建立起來，路由器就給服務(wù)器發(fā)送一個RST，以清除這個連接。

      以上詳細(xì)的講述了在cisco路由器上配置TCP攔截的具體操作過程，大家在認(rèn)真學(xué)習(xí)之后加以實(shí)踐驗(yàn)證，才能加深理解記憶。想要了解更多的網(wǎng)絡(luò)技術(shù)知識請鏈接：http://www.18797.cn/

本文源自：http://www.18797.cn/jsjl/ 轉(zhuǎn)載請注明出處！