请问有没有熟悉cisco access list规则的人

leoruby

昨天请电信帮忙作端口过滤，只允许目标端口80 20 21的可以通过

但是发现之后并没有有效过滤掉 syn ack 数据

请问可能是什么原因呢


正确的过滤规则应当如何写呢

有熟悉cisco access list规则的达人请帮忙分析一下好么

比较急，请大家帮忙，拜谢

Hex

syn ack是正常的数据包，为什么要虑掉呢？不明白：（

gaoxintian

[quote]原帖由 "Hex"]syn ack是正常的数据包，为什么要虑掉呢？不明白：（[/quote 发表：


什么呀，这也要过滤？

leoruby

[quote]原帖由 "Hex"]syn ack是正常的数据包，为什么要虑掉呢？不明白：（[/quote 发表：


因为目前在遭受ddos攻击，对方向我目标端口发送大量虚假syn请求，还有考虑在遭受drdos攻击时候采用ack包端口过滤是比较有效的做法。

希望有熟悉规则的人告知过滤方法..

Hex

通过过滤ack包可以防止ddos攻击？
那正常的ack包怎么办？

leoruby

原帖由 "Hex" 发表：
通过过滤ack包可以防止ddos攻击？
那正常的ack包怎么办？

因为攻击时候ack包目标端口很分散，主机只提供web服务，所以只允许目标端口是80的ack包通过，就可以有效滤掉攻击数据包，请问这个可以做么。

就是针对ack包作端口过滤，只允许目标端口是80的ack包通过。

bondghost

这个acl 过滤不了 要是想过滤这些包就要用防火墙了

leoruby

原帖由 "bondghost"]这个acl 过滤不了 要是想过滤这些包就要用防火墙了[/quote 发表：


[quote]
一定注意到access-list 100 的最末尾使用了关键字"established",它被CISCO路由器访问列表用来允许TCP返回的报文。它检测TCP报文中ACK或RST标志位的存在，如果报文中的ACK或RST位被设置了，则通常表示报文是一个正在进行的会话的一部分，所以，使用关键字"established"是一种判断报文是否为一个已知会话的一部分的简单方法。但是，作为网络黑客可以非常容易地写出一段程序，用来生成这两个标志，并将带有ACK或RST标志位的报文发送出去，而这些报文却并非正在进行的合法会话的一部分。在实践中我们发现TCP返回的报文随机选择的端口号范围为1024~65536（因为Well-Know port的端口范围是1~1023），所以我们可以将含有关键字"established"的访问控制语句改为：

access-list 100 permit tcp any 192.168.18.0 0.0.0.255 gt 1023 established

引用 http://tech.ccidnet.com/pub/article/c1101_a14363_p1.html

上边这段话是不是可以说明cisco设备可以有效过滤报文含ACK或RST位的包？