User Guide

安全

DoS 防护

思科 200 系列智能型交换机管理指南 230

SCT 确保设备可以接收和处理管理和协议流量，无论收到的总流量为多少。这可通过限制流向 CPU 的 TCP 流

量速率来实现。

该功能与其他功能间没有交互。

SCT 可在“DoS > DoS 防护 > 安全套件设置”页面中进行监控（详情按钮）。

DoS 攻击类型

DoS 攻击可通过以下方式发起（仅列举部分）：

• TCP SYN 数据包 - TCP SYN 数据包洪流（通常带有错误的发送者地址）可引发攻击。每个数据包通过发

回 TCP/SYN-ACK 数据包（确认）并等待来自发送者地址的数据包（响应 ACK 数据包）导致设备生成

半开放式连接。但是，由于发送者地址是错误的，所以永远不会收到响应。这种半开放式连接导致设备原

先可提供的可用连接数减少，因此无法响应合法请求。此外， CPU 可接收的潜在数据包数量有限，而攻

击流量可能会占用此数据包数量。

可在“SYN 保护”页面阻塞这些数据包。

• TCP SYN-FIN 数据包 - 发送 SYN 数据包可创建新的 TCP 连接。发送 TCP FIN 数据包可关闭连接。不能

存在同时带有 SYN 和 FIN 标签的数据包。因此，这些数据包可能会攻击设备，应将其阻塞。

可在“SYN 保护”页面设置构成 SYN 攻击的定义。当设备在接口上发现此类攻击时，将在此页面进行

报告。

针对 DoS 攻击的防御措施

拒绝服务 (Do

S) 防护功能通过以下方式帮助系统管理员抵御 DoS 攻击：

• 启用 TCP SYN 保护。如果启用了此功能，系统将在发现 SYN 数据包攻击时发送报告。如果每秒 SYN 数

据包数超出用户配置的阈值，将判断为 SYN 攻击。

• 可阻塞 SYN-FIN 数据包。

功能之间的依赖性

此功能与其他功能不相互依赖。

默认配置

DoS 防护功能有以下默认设置：

• 默认情况下， DoS 防护功能为禁用状态。