Руководство Пользователя для Cisco Cisco SG200-26P 26-port Gigabit PoE Smart Switch
Sicherheit
Denial of Service-Sicherung
Administratorhandbuch für Smart Switches der Serie 200 von Cisco Small Business
276
19
Denial of Service-Sicherung
Ein DoS-Angriff (Denial of Service) ist der Versuch eines Hackers, ein Gerät für dessen Benutzer nicht mehr
verfügbar zu machen.
verfügbar zu machen.
Bei DoS-Angriffen wird ein Gerät mit externen Kommunikationsanforderungen ausgelastet, sodass es nicht
auf legitimen Datenverkehr antworten kann. Solche Angriffe führen in der Regel zu einer CPU-Überlastung
des Geräts.
auf legitimen Datenverkehr antworten kann. Solche Angriffe führen in der Regel zu einer CPU-Überlastung
des Geräts.
Secure Core Technology (SCT)
Eine vom Gerät eingesetzte Methode zur Abwehr von DoS-Angriffen ist SCT. SCT ist im Gerät
standardmäßig aktiviert und kann nicht deaktiviert werden.
standardmäßig aktiviert und kann nicht deaktiviert werden.
Das Cisco-Gerät kann neben Endbenutzer-Datenverkehr (TCP) auch Verwaltungs-, Protokoll- und
Snooping-Verkehr verarbeiten.
Snooping-Verkehr verarbeiten.
Mit SCT wird sichergestellt, dass das Gerät unabhängig vom empfangenen Gesamtdatenverkehr auch
Verwaltungs- und Protokollverkehr empfängt und verarbeitet. Dies geschieht durch Ratenbegrenzung des
TCP-Verkehrs an die CPU.
Verwaltungs- und Protokollverkehr empfängt und verarbeitet. Dies geschieht durch Ratenbegrenzung des
TCP-Verkehrs an die CPU.
Es gibt keine Interaktionen mit anderen Funktionen.
SCT kann auf der Seite „Denial of Service > Denial of Service-Sicherung > Security Suite-Einstellungen“
(Schaltfläche Details) überwacht werden.
(Schaltfläche Details) überwacht werden.
Arten von DoS-Angriffen
Ein Denial of Service-Angriff kann u. a. wie folgt verursacht werden:
•
TCP-SYN-Pakete: Eine Flut von TCP-SYN-Paketen, oft mit einer falschen Absenderadresse, kann
einen Angriff bedeuten. Jedes dieser Pakete veranlasst das Gerät, durch Zurücksenden eines TCP/
SYN-ACK-Pakets (Bestätigung) eine halb offene Verbindung herzustellen und auf ein Antwortpaket
auf das ACK-Paket von der Absenderadresse zu warten. Da die Absenderadresse jedoch falsch ist,
trifft eine Antwort nie ein. Durch diese halb offenen Verbindungen wird die Anzahl der möglichen
Verbindungen durch das Gerät ausgeschöpft, sodass es nicht mehr auf legitime Anforderungen
antworten kann. Auch die Anzahl möglicher Pakete an die CPU ist begrenzt. Dieser Grenzwert kann
bereits durch den Datenverkehr des Angriffs erreicht werden.
einen Angriff bedeuten. Jedes dieser Pakete veranlasst das Gerät, durch Zurücksenden eines TCP/
SYN-ACK-Pakets (Bestätigung) eine halb offene Verbindung herzustellen und auf ein Antwortpaket
auf das ACK-Paket von der Absenderadresse zu warten. Da die Absenderadresse jedoch falsch ist,
trifft eine Antwort nie ein. Durch diese halb offenen Verbindungen wird die Anzahl der möglichen
Verbindungen durch das Gerät ausgeschöpft, sodass es nicht mehr auf legitime Anforderungen
antworten kann. Auch die Anzahl möglicher Pakete an die CPU ist begrenzt. Dieser Grenzwert kann
bereits durch den Datenverkehr des Angriffs erreicht werden.
Diese Pakete können auf der Seite „SYN-Schutz“ blockiert werden.
•
TCP-SYN-FIN-Pakete: SYN-Pakete werden zum Herstellen einer neuen TCP-Verbindung gesendet.
TCP-FIN-Pakete werden zum Trennen einer Verbindung gesendet. In einem Paket sollte nie sowohl
das SYN- als auch das FIN-Flag gesetzt sein. Solche Pakete können einen Angriff auf das Gerät
bedeuten und sollten daher blockiert werden.
TCP-FIN-Pakete werden zum Trennen einer Verbindung gesendet. In einem Paket sollte nie sowohl
das SYN- als auch das FIN-Flag gesetzt sein. Solche Pakete können einen Angriff auf das Gerät
bedeuten und sollten daher blockiert werden.