На коммутаторах mes реализован функционал security-suite. Используя security-suite можно настроить порог syn-запросов на определенный ip-адрес/подсеть с целью защиты от syn-атак.
Пример настройки:
Глобально включить security-suite:
console(config)# security-suite enable
Настроить на порту порог:
console(config)# interface gig0/1
console(config-if)# security-suite dos syn-attack 200 192.168.11.0 /24
Число подключений в секунду от 127 до 1000. В примере рассматривается 200
Посмотреть security-suite можно командой show security-suite configuration.
console# show security-suite configuration
Security suite is enabled (Per interface rules are enabled).
Denial Of Service Protect:
Denial Of Service SYN-FIN Attack is enabled
Denial Of Service SYN Attack
Interface IP Address SYN Rate (pps)
-------------- -------------------- -----------------------
gi1/0/1 192.168.11.0/24 200
Martian addresses filtering
Reserved addresses: disabled
Configured addresses:
SYN filtering
Interface IP Address TCP port
-------------- ---------------------- --------------------
ICMP filtering
Interface IP Address
-------------- ----------------------
Fragmented packets filtering
Interface IP Address
-------------- ----------------------
Включить ведение статистики SYN-атак:
console(config)# security-suite syn protection statistics
Просмотр статистики SYN-атак:
console# show security-suite syn protection statistics
Security suite is enabled
TCP Syn Protection Statistics is enabled
Port Current Maximum Total
Source IP/Port Destination IP/Port Interface VLAN status PPS PPS Packets
------------------------ --------------------------- --------------- ----------- ------------ ------- --------------- ---------
0.24.161.246:19500 192.168.1.24:80 te1/0/1 1 Blocked 0 1 1