1、案例分析網絡拓撲結構目的在閱讀完本案例后，可以利用ASA發現并應急處理TCP泛洪類的DDOS攻擊。地址規劃Server C真實地址是0地址轉換后的地址是0案例描述在一個周一的早上，XYZ公司的網絡管理員突然接到員工報障，反映打開位于Web服務器群的Server_C 網頁很慢甚至無法打開。接到報障后XYZ公司的管理員馬上檢查路由器的相關信息，除了入口流量大以外， 在路由器側沒有任何異常，此時該管理員將目光投向了 ASA。排錯工具ASDMShow命令如何利用ASA發現并應急處理DDOS攻擊1）通過ASDM發現每秒的TCP連接數突增。2）利用show perfmon命令檢查連接狀態，發現每秒的TCP

2、連接數高達2059個，半開連接數量則是1092 個每秒。從公司的日常記錄看，此時這兩個連接數量屬于不正常的范圍。AA-SS10H - how pr1 i i iiiiunPCRniClN STAT S iCux：Eeni tJLva.gv?Xl-dE-teao/o/CortnccTt.lona2059/*99/hTCP Cohump299/UDP Coiuiko/0/vURL Acces ho/o/LFRf. Snvfi Rntjo/-/-TCP FlXUp0/*U/0TCF Jnt-CXCE-p t UstaliJ-shieci Conn ato/0/nTCP In.t.excep t Kt

3、.1 fcnqht dio/-TCP Fml*-ynn.L CnniiB TJnioiit.，/鼻HTTB d#Q/，U/kFTB- F i 3CU1Eo/D/nAAA Aut.hono/-n/iHMOt ABtHoS!0/*IJ/liAAA Ac wuyi.t-O/0/bUWJI COM1K RAT In TCP TMTEnCEPT 心A#始尼Jt J略ASA-5 51DNH/R偵uo3）利用show conn命令察看不正常連接的具體信息，例如源/目的地址以及源/目的端口。在本案例中發現 隨機的源地址和端口去訪問相同的目的地址0的80端口，并且這些TCP的連接都是半開連接屬 于TCP SYN

4、泛洪攻擊。O L 2I fl |Hag:DO:Q?1G，Z91： m id %in i 1 d-r境仿L股建棱Ttir EIUR.H ld-1TCF aRiLii i d-rTCI* aul 1 d-nTCJ* aihl in i70,13 . IZB . 41 :33E57 iiialdc IQ .1.1. 5D= 0O . IJULe 0:00:1la nJi.in. 17? = s raJi:Ldi 勺 14). i. i. =fko4 iUfi 口 = *1“ =票 了.fl .1112G. 147 . 1B1= 3 77B41.1*. 1 . L . 50 H： D . iJlv O

5、 = 七口 . flarpa all* 口！il iLnd* 1U 1.1 . 5 fi r no , IdJLiR H = |)a： j J ra n3T. Z7. L 13i .1ZZ 44Z Lnfflde 10.1.1 n 10a CO . liLL VH 口lAM,Zjw 心TCP4）利用ASDM發現半開（TCP SYN泛洪）攻擊存在，并且連接數量突增。5)利用TCP Intercept機制應急處理TCP的半開連接攻擊。利用ACL及Class-Map來分類流量，在 Policy-Map下限制最大的半開連接數，在本案例中為100。aocess-llst I 11) exteiiided

6、 permit, tep any host 192 JLG& 1. 50 eq wwwClass-map pro!蚓”:Idcssc：rpt iazpn Protect wb server front at tHtMtjch- list 1 1 0po 1 歸 Ca ASDM A.1 fcr A1A “ 1725411175心曰|* rjlWnrth Q* u|M|h CISCO任 E 話a EiMqfMmiiiiii】tMrMEFi *ririii If* WJkiTiL EllrflMwdd 頃申5BM#d-3 PbM iIJHM 3M： I ZJCH *SrtwfKt MbltafM P

7、wPno lui jnd M MlilEH.MI 尊 e SfcW #Rf.gs lie 1蛙 I tai- W m ll&iui 1.50 . Ni =.1W.hW n UpU*Q-SfrPi .r Mi F .-；KMMI U-llini尊土攻叫im MJKizn rwiw mSTJifl it21? ! mHrt.lid.2M2M |124lh M齡KXIg中 VPIT*Few clients represent 50*% of trafficTCP Intercept applied7）限制每個客戶端所能產生的最大連接數從而實現對垃圾連接的限制。aofzfess lis t L -3 0 -xtid4=*d pexmlli tep any hos;t 132.16& 1. 50 wwwel ass-map pr ol 頊 rtdeisciript ion Protiert wb sexver from at t acksmate!li access - list 1 1 (Jpolicy-mp illterfC：yclass prot eutset conn set Ion EMhbr yoti ic- coiui 100圳 配二 m “ _ SserVit