我们受到很多IP Fragmentation攻击。我们的服务器只处理 UDP RTP 流量,所以我想知道我们可以设置don't fragment配置,以便交换机或 cisco 路由器端口丢弃所有数据包而不是将它们发送到服务器,并且服务器会过载以重新组装它们。
我知道 IP 分片非常重要,但在我们的案例中,我们只处理 RTP UDP 流量并且数据包大小非常小..所以我怀疑我们是否需要 IP 分片功能。
在 cisco 端口上禁用 IP 分段
网络工程
思科
转变
路由器
mtu
2022-02-26 12:55:29
3个回答
在路由器的外部接口上,使用此 ACL:
access-list extended NO_FRAG
deny ip any any fragments
permit ip any any
end
interface <ext interface>
ip access-group NO_FRAG in
您可以使用入站 ACL 来阻止片段。以下链接是一个很好的起点: http ://www.cisco.com/c/en/us/support/docs/ip/generic-routing-encapsulation-gre/8014-acl-wp.html
“配置 ASA 以丢弃它收到的任何 IP 片段,如下所示:
ASA# conf t
ASA(config)# fragment chain 1
ASA(config)# exit
注意:请注意,这只能全局配置,因此它将影响通过 ASA 的所有用户流量,而不仅仅是专门针对 Cisco ASA CX 模块的流量。此配置将导致 ASA 丢弃所有 IP 片段,即使此流量不会由 ASA CX 模块处理。”
其它你可能感兴趣的问题