如何利用ASA发现DDOS***以及应急预案

案例分析网络拓扑结构

目的

在阅读完本案例后，能够利用ASA发现并应急处理TCP 泛洪类的DDOS***。

地址规划

Server C
真实地址是10.1.1.50 
地址转换后的地址是192.168.1.50

案例描述

在一个周一的早上，XYZ公司的网络管理员忽然接到员工报障，反映打开位于Web服务器群的Server_C网页很慢甚至没法打开。接到报障后XYZ公司的管理员立刻检查路由器的相关信息，除了入口流量大之外，在路由器侧没有任何异常，此时该管理员将目光投向了ASA。

排错工具

1）ASDM
2）Show 命令

如何利用ASA发现并应急处理DDOS***

1) 经过ASDM发现每秒的TCP链接数突增。

2）利用 show perfmon 命令检查链接状态，发现每秒的TCP链接数高达2059个，半开链接数量则是1092个每秒。从公司的平常记录看，此时这两个链接数量属于不正常的范围。

3）利用show conn命令察看不正常链接的具体信息，例如源/目的地址以及源/目的端口。在本案例中发现随机的源地址和端口去访问相同的目的地址10.1.1.50的80端口，而且这些TCP的链接都是半开链接属于TCP SYN泛洪***。

4）利用ASDM发现半开（TCP SYN 泛洪）***存在，而且链接数量突增。

5）利用TCP Intercept机制应急处理TCP的半开链接***。利用ACL及Class-Map来分类流量，在Policy-Map下限制最大的半开链接数，在本案例中为100。

6) 利用ASDM检查，是否TCP intercept机制起效。因而可知链接数和TCP SYN***的曲线都有所降低。因此证实TCP intercept机制生效。可是总链接数仍是处于一个不正常的状态。

7）限制每一个客户端所能产生的最大链接数从而实现对垃圾链接的限制。

8）经过ASDM检查当前链接状态。发现链接数开始降低并恢复正常。

9）利用ASDM跟踪***状态。此时***仍是存在的可是ASA阻断了它们并保护了服务器的运行。

案例结果

通过在ASA上的调试，公司内部职员能够顺利的访问位于Web服务器群 Server_C。