На коммутаторах
...
реализован функционал security-suite. Используя security-suite можно настроить
...
значение порога syn-запросов на определенный ip-адрес/подсеть с целью защиты от syn-атак.
Пример настройки:
Глобально включить security-suite:
...
console(config)
...
# security-suite enable
Настроить на порту порог:
...
console(config)
...
# interface gig0/1
...
console(config-if)
...
# security-suite dos syn-attack 200 192.168.11.0 /24
200 - максимальное число подключений в секунду
Посмотреть security-suite можно командой show security-suite configuration
...
:
...
console# show security-suite configuration
Security suite is enabled (Per interface rules are enabled).
Denial Of Service Protect:
Denial Of Service SYN-FIN Attack is enabled
Denial Of Service SYN Attack
...
Interface IP
...
Address SYN Rate (pps)
-------------- -------------------- -----------------------
gi1/0/
...
1 192.168.11.0/
...
24 200
Martian addresses filtering
Reserved addresses: disabled
Configured addresses:
SYN filtering
Interface IP Address TCP port
-------------- ---------------------- --------------------
ICMP filtering
Interface IP Address
-------------- ----------------------
Fragmented packets filtering
Interface IP Address
-------------- ----------------------