扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
1)定义一个acl,目的是要保护的机器:
access-list 101 per tcp any host 202.106.0.20
由于没必要匹配源地址,一般的dos都伴随着地址欺骗,所以这里的source都是any.
2)全局下开启tcp intercept.
ip tcp intercept list 101
3)设置tcp拦截的模式,tcp拦截有两种模式一种是拦截,一种是监视。拦截模式像是一个找茬的流氓,看谁都不爽,见谁都打。监视模式是一个稍微理性一点的流氓,仅仅当别人在他家门口那片空地赌着不走的时候才大打出手(默认是30 秒)。见谁都打,肯定累啊。我们要理性一点。
ip tcp intercept mode watch
ip tcp intercept watch-timeout 20
4)另外tcp连接你也不能一辈子都让他连着。设置一个tcp超时时间,默认24小时,一般网中特殊服务的需要长连接的应用时候30分钟足咦
ip tcp intercept connection-timeout 1800
5)对于最大半开连接的门限也是可以更改的。默认low 900,high 1100.
ip tcp intercept max-incomplete low 800
ip tcp intercept max-incomplete high 1000
6)状态查看
show tcp intercept connecitons
show tcp intercept statistics
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者