2.12.2 Tcp intercept

Для защиты от атак SYN flood маршрутизаторы Cisco предлагают механизм TCP intercept, который служит посредником между внешним TCP-клиентом и TCP-сервером, находящимся в защищаемой сети. При получении SYN-сегмента из Интернета маршрутизатор не ретранслирует его во внутреннюю сеть, а сам отвечает на этот сегмент от имени сервера. Если соединение с клиентом устанавливается, то маршрутизатор устанавливает соединение с сервером от имени клиента и при дальнейшей передаче сегментов в этом соединении действует как прозрачный посредник, о котором ни клиент, ни сервер не подозревают. Если ответ от клиента за определенное время (по умолчанию - 30 с) так и не поступил, то оригинальный SYN-сегмент не будет передан получателю.

Если SYN-сегменты начинают поступать в большом количестве или на большой скорости, то маршрутизатор переходит в «агрессивное» состояние: время ожидания ответа от клиента сокращается вдвое, а каждый вновь прибывающий SYN-сегмент приводит к исключению из очереди одного из ранее полученных SYN-сегментов (по умолчанию - наиболее старого). При снижении интенсивности потока запросов на соединения маршрутизатор возвращается в обычное, «дежурное» состояние.

Для защиты с помощью этого механизма всех хостов сети 1.16.195.0/24 следут ввести следующие команды. Первая из них определяет (отбирает) все TCP-сегменты, следующие в указанную сеть; вторая включает механизм TCP intercept.

router(config)# access-list 101 permit tcp any 1.16.195.0 0.0.0.255

router(config)# ip tcp intercept list 101

Кроме уже описанного выше режима перехвата (intercept), который включен по умолчанию, TCP Intercept может работать в режиме наблюдения (watch). В этом случае SYN-сегменты пропускаются к серверу, но если через некоторое время соединение не было установлено, то маршрутизатор отправляет серверу сегмент RST. Переключение между режимами:

router(config)# ip tcp intercept mode watch

router(config)# ip tcp intercept mode intercept

Интервал времени, после которого срабатывает таймер ожидания установления соединения, по умолчанию равен 30 с. Его можно изменить с помощью команды

router(config)# ip tcp intercept watch-timeout число_секунд

По умолчанию в агрессивном состоянии удаляется самое раннее незавершенное соединение. В качестве альтернативы маршрутизатор можно настроить на удаление соединений, выбираемых случайным образом:

router(config)# ip tcp intercept drop-mode random

Условие перехода механизма TCP intercept в агрессивное состояние, а также его продолжительность настраивается с помощью следующих команд.

Число незавершенных соединений, при достижении которого производится переход в агрессивное состояние (по умолчанию 1100):

router(config)# ip tcp intercept max-incomplete high число

До какой величины должно упасть число незавершенных соединений, чтобы маршрутизатор вернулся из агрессивного состояния в дежурное (по умолчанию 900):

router(config)# ip tcp intercept max-incomplete low число

Число попыток открытия соединений за последнюю минуту, при достижении которого производится переход в агрессивное состояние (по умолчанию 1100):

router(config)# ip tcp intercept one-minute high число

До какой величины должно упасть число попыток открытия соединений за последнюю минуту, чтобы маршрутизатор вернулся из агрессивного состояния в дежурное (по умолчанию 900):

router(config)# ip tcp intercept one-minute low число

Переход в агрессивное состояние производится при достижении хотя бы одного из двух лимитов max-incomplete high и one-minite high, а возврат в дежурное состояние - при выполнении сразу обоих условий возврата one-minute high и one-minute low.

Просмотреть информацию о работе TCP intercept можно с помощью следующих команд. Команда

router# show tcp intercept connections

отображает список активных завершенных и незавершенных соединений. Для каждого из них выдается его состояние, а также счетчики времени с момента создания и до момента удаления по истечении тайм-аута. Команда

router# show tcp intercept statistics

выводит общее количество завершенных и незавершенных соединений, а также количество соединений, установленных за минуту.

Механизм TCP Intercept доступен только в feature set линии Enterprise.