文档介绍:ASA预防DDOS攻击案例案例分析网络拓扑问题描述用户网络管理员突然接到员工报障,反映打开位于Web服务器群的Server_C网页很慢甚至无法打开。接到报障后用户管理员马上检查路由器的相关信息,除了入口流量大以外,在路由器侧没有任何异常,此时该管理员将目光投向了ASA。问题排查过程通过ASDM发现每秒TCP连接数突增利用showperfmon命令检查连接状态,发现每秒的TCP连接数高达2059个,半开连接数量则是1092个每秒。从公司的日常记录看,此时这两个连接数量属于不正常的范围。利用showconn命令察看不正常连接的具体信息,例如源/目的地址以及源/目的端口。,并且这些连接都是半开连接属于TCPSYN泛洪攻击。利用ASDM发现半开(TCPSYN泛洪)攻击存在,并且连接数量突增。利用TCPIntercept机制应急处理TCP的半开连接攻击。利用ACL及Class-Map来分类流量,在Policy-Map下限制最大的半连接数。利用ASDM检查TCPintercept是否生效。由此可见连接数和TCPSYN攻击的曲线都有所下降。所以证明TCPintercept机制生效。但总连接数还是处于一个不正常的状态。限制每个客户端所产生的最大连接数从而实现对垃圾连接的限制。通过ASDM检查发现连接数开始下降并恢复正常。最后利用ASDM跟踪攻击状态。此时攻击还是存在的但ASA阻断了它们并保护了服务器的运行。从而通过ASA配置阻止了TCPSYN的DDOS泛洪攻击。