视频1 视频21 视频41 视频61 视频文章1 视频文章21 视频文章41 视频文章61 推荐1 推荐3 推荐5 推荐7 推荐9 推荐11 推荐13 推荐15 推荐17 推荐19 推荐21 推荐23 推荐25 推荐27 推荐29 推荐31 推荐33 推荐35 推荐37 推荐39 推荐41 推荐43 推荐45 推荐47 推荐49 关键词1 关键词101 关键词201 关键词301 关键词401 关键词501 关键词601 关键词701 关键词801 关键词901 关键词1001 关键词1101 关键词1201 关键词1301 关键词1401 关键词1501 关键词1601 关键词1701 关键词1801 关键词1901 视频扩展1 视频扩展6 视频扩展11 视频扩展16 文章1 文章201 文章401 文章601 文章801 文章1001 资讯1 资讯501 资讯1001 资讯1501 标签1 标签501 标签1001 关键词1 关键词501 关键词1001 关键词1501 专题2001
SQL病毒CISCO完全解决方案
2020-11-09 08:11:58 责编:小采
文档
点击下载本文 文档为doc格式

访问列表防御 1.创建访问列表 access-list 101 deny udp any any eq 1434 access-list 101 permit ip any any 2.匹配访问列表和数据包长度 class-map match-all slammer_worm match access-group 101 match packet length min 404 max 404 3.丢弃所匹配的数据

访问列表防御

1.创建访问列表

access-list 101 deny udp any any eq 1434

access-list 101 permit ip any any

2.匹配访问列表和数据包长度

class-map match-all slammer_worm

match access-group 101

match packet length min 404 max 404

3.丢弃所匹配的数据包

policy-map drop-slammer-worm

class slammer_worm

police 1000000 31250 31250 conform-action drop exceed-action drop violate-action drop

NBAR

1. Create custom protocol

ip nbar port-map custom-01 udp 1434

2. Create class-map

class-map match-all slammer_worm

match protocol custom-01

match packet length min 404 max 404

3. Use class-based policing to drop the matching packets at the ingress interface

policy-map drop-slammer-worm

class slammer_worm

police 1000000 31250 31250 conform-action drop exceed-action drop violate-action drop

NetFlow

Router# config t

Router# (config) interface serial 0/1

Router#(config-if) ip route-cache flow

Router#(config-if) exit

Router#(config) exit

Router#

输出统计表

Router# (config) ip flow-export 192.168.155.1 700

To view NetFlow statistics for port 1434:

Router# show ip cache flow | include 059A

CAR

Router# (config) access-list 150 deny udp any any eq 1434

Router# (config) access-list 150 permit ip any any

Router# (config) interface fastEthernet 0/0

Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000 conform-action drop exceed-action drop

Router# (config-if) exit

Router# (config) exit

Router#

ACL补充

access-list 115 deny udp any any eq 1434

access-list 115 permit ip any any

int

ip access-group 115 in

ip access-group 115 out

注意,如果你想追踪来源,最好使用netflow,而不要使用log。

病毒发送大量随机地址,如果路由器接口使用了“ICMP unreachable”命令的话,对这些大量的无效地址响应将导致路由器性能下降。因此,推荐使用以下命令:

Router(config)# interface

Router(if-config)# no ip unreachables

ICMP unreachable 的补充

如果某些情况,如IP 隧道(tunnel)必须使用ICMP unreachable 命令,则推荐使用

Router(config)# ip icmp rate-limit unreachable

6500 上防御

set security acl ip WORM deny udp any eq 1434 any

set security acl ip WORM deny udp any any eq 1434

set security acl ip WORM permit any

commit security acl WORM

set security acl map WORM

查看

show security acl info all

CatOS SUPII 和 MLS

CatOS SUPII 和 MLS

源码:

switch> (enable) sh mls statistics entry ip

Last Used

Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes

10.81.176.91 172.16.34.35 UDP 1434 2776 0 0 172.31.171.82 172.16.34.35 UDP 1434 2776 0 0 168.192.57.204 172.16.188.61 UDP 1434 3460 1 404

172.17.136.55 172.16.34.135 UDP 1434 2917 0 0

从上面的显示我们可以发现,MLS可以帮助我们找到内部受感染主机

PIX

access-list acl_out permit udp any host eq 1434

或者

conduit permit udp any any eq 1434

下载本文
显示全文
专题
懂视 51dongshi.net 版权所有
Copyright © 2019-2025