скрытая мощь

АЛЕКСЕЙ ЛУКАЦКИЙ

Спецвыпуск: Хакер, номер #068, стр. 068-062-6

1.Глобальная и автоматическая проверка целостности имиджа (после любой попытки копирования или перезагрузки).

Router(config)# file verify auto

2 Проверка целостности имиджа после копирования из какого-либо источника.

Router(config)# copy /verify tftp://10.1.1.1/jdoe/c7200-js-mz disk0:

3 Проверка целостности имиджа после перезагрузки устройства.

Router# reload /verify

[Flexible Packet Matching.]

Многие слышали о том, что в маршрутизаторы Cisco встроена система предотвращения атак Cisco IOS IPS. Но очень мало кто слышал о Flexible Packet Matching, которая позволяет описывать и обнаруживать любые интересующие события, например, атаки, для которых еще никто не написал сигнатуры. Делается это с помощью XML, который позволяет описать любые поля заголовка пакета и тела данных любого протокола. Для наиболее распространенных из них существуют специальные файлы описания заголовка протокола – Protocol Header Definition File, PHDF.

фрагмент PHDF файла для протокола IP

<?xml version="1.0" encoding="UTF-8"?>

<phdf>

<version>1</version>

<protocol name="ip" description="Definition-for-the-IP-protocol">

<field name="version" description="IP-version">

<offset type="fixed-offset" units="bits">0</offset>

<length type="fixed" units="bits">4</length>

</field>

<field name="ihl" description="IP-Header-Length">

<offset type="fixed-offset" units="bits">4</offset>

<length type="fixed" units="bits">4</length>

</field>

<field name="tos" description="IP-Type-of-Service">

<offset type="fixed-offset" units="bits">8</offset>

<length units="bits" type="fixed">8</length>

</field>

…

<headerlength type="fixed" value="20"></headerlength>

<constraint field="version" value="4" operator="eq"></constraint>

<constraint field="ihl" value="5" operator="eq"></constraint>

</protocol>

</phdf>

Описать же любую атаку с помощью FPM становится совсем нетрудно (если понимать критерии для этой атаки).

классический SYN Flood

! Загружаем файлы описания заголовков IP и TCP

Router(config)# load protocol flash:ip.phdf

Router(config)# load protocol flash:tcp.phdf

! В классе stack определяем последовательность заголовков

Router(config)# class-map type stack match-all ip_tcp

Router(config-cmap)# description "match TCP over IP packets"

Router(config-cmap)# match field ip protocol eq 0x6 next tcp

! Определяем критерии для атаки SYN Flood

Router(config)# class-map type access-control match-all tcpsynflood

Router(config-cmap) # description "match on tcp syn packets from source address 10.10.10.3"

Router(config-cmap)# match field ip source-addr eq 10.10.10.3

Router(config-cmap)# match field tcp control bits eq 2 mask 0x3D

! Определяем действие для данного трафика (блокирование), а потом применяем данную политику (!) к нужному интерфейсу