网络安全
2008-05-22 16:41    文章来源:网界网

SQL病毒CISCO完全解决方案

作者:飞一飞

访问列表防御 
1.创建访问列表 
access-list 101 deny udp any any eq 1434 
 
access-list 101 permit ip any any 
 
 
2.匹配访问列表和数据包长度 
class-map match-all slammer_worm 
 
match access-group 101 
 
match packet length min 404 max 404 
 
 
3.丢弃所匹配的数据包 
 
policy-map drop-slammer-worm 
 
class slammer_worm 
 
police 1000000 31250 31250 conform-action drop exceed-action drop violate-action drop 
 
NBAR 
1. Create custom protocol 
 
ip nbar port-map custom-01 udp 1434 
 
 
2. Create class-map 
 
class-map match-all slammer_worm 
 
match protocol custom-01 
 
match packet length min 404 max 404 
 
 
3. Use class-based policing to drop the matching packets at the ingress interface 
 
policy-map drop-slammer-worm 
 
class slammer_worm 
 
police 1000000 31250 31250 conform-action drop exceed-action drop violate-action drop
 
NetFlow 
 
Router# config t 
 
Router# (config) interface serial 0/1 
 
Router#(config-if) ip route-cache flow 
 
Router#(config-if) exit 
 
Router#(config) exit 
 
Router# 
 
 
 
输出统计表 
 
Router# (config) ip flow-export 192.168.155.1 700 
 
To view NetFlow statistics for port 1434: 
 
Router# show ip cache flow | include 059A 
 
CAR 
Router# (config) access-list 150 deny udp any any eq 1434 
 
Router# (config) access-list 150 permit ip any any 
 
Router# (config) interface fastEthernet 0/0 
 
Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000 conform-action drop exceed-action drop 
 
Router# (config-if) exit 
 
Router# (config) exit 
 
Router#
 
ACL补充 
access-list 115 deny udp any any eq 1434 
access-list 115 permit ip any any 
 
int 
ip access-group 115 in 
ip access-group 115 out 
 
注意,如果你想追踪来源,最好使用netflow,而不要使用log。
 
病毒发送大量随机地址,如果路由器接口使用了“ICMP unreachable”命令的话,对这些大量的无效地址响应将导致路由器性能下降。因此,推荐使用以下命令: 
 
Router(config)# interface 
Router(if-config)# no&n

1  2  
责任编辑:袁源

文章评论

发表评论
查看全部
评论加载中...请稍后

精彩专题