案例分析網絡拓撲結構
目的
在閱讀完本案例後,可以利用ASA發現並應急處理TCP 泛洪類的DDOS***。
地址規劃
Server C
真實地址是10.1.1.50
地址轉換後的地址是192.168.1.50
案例描述
在一個週一的早上,XYZ公司的網絡管理員突然接到員工報障,反映打開位於Web服務器羣的Server_C網頁很慢甚至無法打開。接到報障後XYZ公司的管理員馬上檢查路由器的相關信息,除了入口流量大以外,在路由器側沒有任何異常,此時該管理員將目光投向了ASA。
排錯工具
1)ASDM
2)Show 命令
如何利用ASA發現並應急處理DDOS***
1) 通過ASDM發現每秒的TCP連接數突增。
2)利用 show perfmon 命令檢查連接狀態,發現每秒的TCP連接數高達2059個,半開連接數量則是1092個每秒。從公司的日常記錄看,此時這兩個連接數量屬於不正常的範圍。
3)利用show conn命令察看不正常連接的具體信息,例如源/目的地址以及源/目的端口。在本案例中發現隨機的源地址和端口去訪問相同的目的地址10.1.1.50的80端口,並且這些TCP的連接都是半開連接屬於TCP SYN泛洪***。
4)利用ASDM發現半開(TCP SYN 泛洪)***存在,並且連接數量突增。
5)利用TCP Intercept機制應急處理TCP的半開連接***。利用ACL及Class-Map來分類流量,在Policy-Map下限制最大的半開連接數,在本案例中爲100。
6) 利用ASDM檢查,是否TCP intercept機制起效。由此可見連接數和TCP SYN***的曲線都有所下降。所以證明TCP intercept機制生效。但是總連接數還是處於一個不正常的狀態。
7)限制每個客戶端所能產生的最大連接數從而實現對垃圾連接的限制。
8)通過ASDM檢查當前連接狀態。發現連接數開始下降並恢復正常。
9)利用ASDM跟蹤***狀態。此時***還是存在的但是ASA阻斷了它們並保護了服務器的運行。
案例結果
經過在ASA上的調試,公司內部職員可以順利的訪問位於Web服務器羣 Server_C。