На коммутаторах mes реализован функционал security-suite. Используя security-suite можно настроить порог syn-запросов на определенный ip-адрес/подсеть с целью защиты от syn-атак.
Пример настройки:
Глобально включить security-suite:
console(config)# security-suite enable
Настроить на порту порог:
console(config)# interface te 1/0/1console(config-if)# security-suite dos syn-attack 200 192.168.11.0 /24
Число подключений в секунду от 199 до 1000. В примере рассматривается 200
Посмотреть security-suite можно командой show security-suite configuration.
console# show security-suite configuration
Security suite is enabled (Per interface rules are enabled).Denial Of Service Protect:Denial Of Service SYN-FIN Attack is enabledDenial Of Service SYN Attack
Interface IP Address SYN Rate (pps)-------------- -------------------- -----------------------te1/0/1 192.168.11.0/24 200
Martian addresses filteringReserved addresses: disabledConfigured addresses:
SYN filtering
Interface IP Address TCP port-------------- ---------------------- --------------------
ICMP filtering
Interface IP Address-------------- ----------------------
Fragmented packets filtering
Interface IP Address-------------- ----------------------
Включить ведение статистики SYN-атак:
console(config)# security-suite syn protection statistics
Просмотр статистики SYN-атак:
console# show security-suite syn protection statistics
Security suite is enabledTCP Syn Protection Statistics is enabled
Port Current Maximum Total Source IP/Port Destination IP/Port Interface VLAN status PPS PPS Packets ------------------------ --------------------------- --------------- ----------- ------------ ------- --------------- --------- 0.24.161.246:19500 192.168.1.24:80 te1/0/1 1 Blocked 0 1 1