Configuração de proteção de taxa SYN de negação de serviço (DoS) em switches empilháveis Sx500 Series

Objetivo

Um ataque de negação de serviço (DoS) é uma tentativa de um invasor impedir um usuário legítimo de usar os recursos ou serviços na rede. Os ataques de DoS podem resultar em uma perda significativa de tempo e dinheiro. A prevenção de ataque do DoS é configurada para aumentar a segurança na rede e impede que pacotes com um determinado intervalo de endereços IP entrem na rede.  

A inundação TCP SYN faz com que os servidores interrompam a resposta às solicitações para abrir uma nova conexão com os clientes devido à sobrecarga do invasor. A página Proteção de Taxa de SYN limita o número de pacotes SYN recebidos pelo switch na porta de entrada. Isso pode interromper o ataque de inundação de SYN em servidores conectados ao switch.

Note: A proteção de taxa SYN só está disponível se o dispositivo estiver no modo de Camada 2.

Este artigo explica como configurar a proteção de taxa SYN nos Switches empilháveis Sx500 Series.

Dispositivos aplicáveis

Switches Empilháveis Sx500 Series

Versão de software

•v1.2.7.76

Proteção de taxa SYN

Etapa 1. Faça login no utilitário de configuração da Web e escolha Security > Denial of Service Prevention > SYN Rate Protection. A página Proteção de taxa SYN é aberta:

Etapa 2. Clique em Adicionar para adicionar um novo limite de taxa SYN. A janela Add SYN Rate Protection é exibida.

Etapa 3. Clique no botão de opção que corresponde ao tipo de interface desejado no campo Interface.

Unidade/Slot — Nas listas suspensas Unidade/Slot, escolha a Unidade/Slot apropriada. A unidade identifica se o switch está ativo ou um membro na pilha. O slot identifica qual switch está conectado a qual slot (o slot 1 é SF500 e o slot 2 é SG500). Se você não está familiarizado com os termos usados, confira o Cisco Business: Glossário de Novos Termos.

- Porta — na lista suspensa Porta, escolha a porta apropriada para configurar. 

LAG — Escolha em qual LAG o STP será anunciado na lista suspensa LAG. Um LAG (Link Aggregate Group) é usado para vincular várias portas. Os LAGs multiplicam a largura de banda, aumentam a flexibilidade da porta e fornecem redundância de link entre dois dispositivos para otimizar o uso da porta.

Etapa 4. Clique no botão de opção que corresponde ao endereço IP desejado no campo Endereço IP.

Definido pelo usuário — O limite de taxa SYN é definido para um endereço IP definido pelo usuário.

Todos os endereços — o limite de taxa SYN é definido para todos os endereços IP.

Etapa 5. Clique no botão de opção que corresponde à máscara de rede desejada no campo Máscara de rede.

Mask — (Máscara) Insira a máscara de rede no formato de endereço IP. Isso define a máscara de sub-rede para o endereço IP.

Comprimento do prefixo — Insira o comprimento do prefixo (inteiro no intervalo de 0 a 32). Isso define a máscara de sub-rede pelo comprimento do prefixo do endereço IP.

Etapa 6. Insira um valor para o limite de taxa SYN no campo SYN Rate Limit. Esse valor é o valor máximo de pacotes SYN que a interface pode receber por segundo, em que PPS representa pacotes por segundo.

Passo 7. Clique em Apply.