IDMIPS防御攻击的配置案例Benet.PPT

* * * * * * * * * 配置IPS防御SYN Flood 什么是SYN Flood攻击？ PC1 PC2 1.发送SYN报文 伪造源IP地址 2.发送SYN＋ACK报文 3. 发送ACK报文？ 如果短时间内接收到的SYN太多，半连接队列就会溢出，则 正常的客户发送的SYN请求连接也会被服务器丢弃！ 配置IPS防御SYN Flood IPS配置为接口对模式，防御由PC机发起的SYN Flood攻击 Router F0/1 F0/11 F0/2 IPS Vlan10:F0/1,F0/11 Vlan20:F0/2,F0/12 F0/0:/24 F0/12 G0/1 G0/2 /24 /24 配置SYN Flood特征ID 3050的事件动作为Deny Attacker Inline和Log Attacker Packets 在PC机上发动SYN Flood攻击并伪造源IP地址为，在IDM的监控界面上查看到的事件 查看到拒绝攻击者的IP地址 配置IDS与网络设备联动防御SYN Flood IPS接口配置为混杂模式（使用IDS功能），配置IDS与路由器联动防御PC机发起的SYN Flood攻击 Router F0/1 F0/11 F0/2 IDS:0/24 F0/0:/24 F0/12 G0/1 M0/0 /24 /24 F1/0 IDS与路由器配置联动是通过给路由器下发ACL来拒绝流量 配置SYN Flood特征ID 3050的事件动作为Request Block Host和Log Attacker Packets 需要在交换机上配置端口镜像以使IDS监控流量 配置IDS与网络设备联动防御SYN Flood 配置拦阻（Blocking） 配置设备Login Profiles 需要配置访问路由器的方式，需要提供登录用户名、密码及enable密码 配置IDS与网络设备联动防御SYN Flood 配置拦阻（Blocking） 配置Blocking设备 配置路由器的IP地址、设备类型、引用之前定义的模板以及通信方式 配置IDS与网络设备联动防御SYN Flood 配置拦阻（Blocking） 配置路由器参数 需要配置路由器在F1/0接口、In方向上应用ACL 配置IDS与网络设备联动防御SYN Flood 测试 在PC机上发动SYN Flood攻击并伪造源IP地址为，在IDM的监控界面上查看到被Blocking的主机 在路由器上查看ACL Router#sh access-lists Extended IP access list IDS_FastEthernet1/0_in_1 10 permit ip host 0 any 20 deny ip host any (90039 matches) 30 permit ip any any * * * * * * * * * * * * * * 通过提问进行复习和小结。 * * * * * * * * * * * B e n e t BENET 4.0 B e n e t BENET 4.0 */38 BENET 4.0 B e n e t BENET 4.0 */29 B e n e t BENET 4.0 */29 入侵检测与防护（IDS/IPS） 本章结构 IDS/IPS概述 入侵检测与防护（IDS/IPS） IDS与IPS工作原理 IPS的分类 Cisco IDS/IPS系统 IPS 4200系列传感器概述 IPS 4200基本配置 IPS设备管理器（IDM） IPS防御攻击的配置案例 IDS/IPS概述 入侵检测系统（Intrusion Detection System，IDS） 对入侵行为发现（告警）但不进行相应的处理 入侵防护系统（Intrusion Prevention System，IPS） 对入侵行为发现并进行相应的防御处理 IDS工作原理 使用一个或多个监听端口“嗅探” 不转发任何流量 IDS 受保护的网络 对收集的报文，提取相应的流量统计特征值，并利用内置的特征库，与这些流量特征进行分析、比较、匹配 根据系统预设的阀值，匹配度较高的报文流量将被认为是攻击，IDS将根据相应的配置进行报警或进行有限度的反击 IDS工作流程 信息收集 信号分析 实时记录、报警 或有限度反击 包括网络流量的内容、用户连接活动的状态和行为 3?种技术手段： 模式匹配 统计分析 完整性分析 模式匹配是将收集到的信息与已知的网络入侵和 系统误用模式数据库进行比较，从而发现违背安 全策略的行为。 优点：只需收集相关的数据集合，显著减少系统 负担。 缺点：需要不断的升级，不能检测到从未出现过 的攻击手段