如何利用ASA發現DDOS***以及應急預案

案例分析網絡拓撲結構

目的

在閱讀完本案例後，能夠利用ASA發現並應急處理TCP 泛洪類的DDOS***。

地址規劃

Server C
真實地址是10.1.1.50 
地址轉換後的地址是192.168.1.50

案例描述

在一個週一的早上，XYZ公司的網絡管理員忽然接到員工報障，反映打開位於Web服務器羣的Server_C網頁很慢甚至沒法打開。接到報障後XYZ公司的管理員立刻檢查路由器的相關信息，除了入口流量大之外，在路由器側沒有任何異常，此時該管理員將目光投向了ASA。

排錯工具

1）ASDM
2）Show 命令

如何利用ASA發現並應急處理DDOS***

1) 經過ASDM發現每秒的TCP鏈接數突增。

2）利用 show perfmon 命令檢查鏈接狀態，發現每秒的TCP鏈接數高達2059個，半開鏈接數量則是1092個每秒。從公司的平常記錄看，此時這兩個鏈接數量屬於不正常的範圍。

3）利用show conn命令察看不正常鏈接的具體信息，例如源/目的地址以及源/目的端口。在本案例中發現隨機的源地址和端口去訪問相同的目的地址10.1.1.50的80端口，而且這些TCP的鏈接都是半開鏈接屬於TCP SYN泛洪***。

4）利用ASDM發現半開（TCP SYN 泛洪）***存在，而且鏈接數量突增。

5）利用TCP Intercept機制應急處理TCP的半開鏈接***。利用ACL及Class-Map來分類流量，在Policy-Map下限制最大的半開鏈接數，在本案例中爲100。

6) 利用ASDM檢查，是否TCP intercept機制起效。因而可知鏈接數和TCP SYN***的曲線都有所降低。因此證實TCP intercept機制生效。可是總鏈接數仍是處於一個不正常的狀態。

7）限制每一個客戶端所能產生的最大鏈接數從而實現對垃圾鏈接的限制。

8）經過ASDM檢查當前鏈接狀態。發現鏈接數開始降低並恢復正常。

9）利用ASDM跟蹤***狀態。此時***仍是存在的可是ASA阻斷了它們並保護了服務器的運行。

案例結果

通過在ASA上的調試，公司內部職員能夠順利的訪問位於Web服務器羣 Server_C。