本文主要給大家詳細(xì)的介紹了對(duì)于CISCO路由器，如何進(jìn)行TCP攔截防止DOS的攻擊，希望此文對(duì)于讀者學(xué)習(xí)CISCO路由器有所幫助。

1）定義一個(gè)acl，目的是要保護(hù)的機(jī)器：

access-list 101 per tcp any host 202.106.0.20

由于沒(méi)必要匹配源地址，一般的dos都伴隨著地址欺騙，所以這里的source都是any.

2）全局下開(kāi)啟tcp intercept.

ip tcp intercept list 101

3）設(shè)置tcp攔截的模式 ，tcp攔截有兩種模式一種是攔截，一種是監(jiān)視。攔截模式像是一個(gè)找茬的流氓，看誰(shuí)都不爽，見(jiàn)誰(shuí)都打。監(jiān)視模式是一個(gè)稍微理性一點(diǎn)的流氓，僅僅當(dāng)別人在他家門(mén)口那片空地賭著不走的時(shí)候才大打出手（默認(rèn)是30 秒）。見(jiàn)誰(shuí)都打，肯定累啊。我們要理性一點(diǎn)。

ip tcp intercept mode watch

ip tcp intercept watch-timeout 20

4）另外tcp連接你也不能一輩子都讓他連著。設(shè)置一個(gè)tcp超時(shí)時(shí)間，默認(rèn)24小時(shí)，一般網(wǎng)中特殊服務(wù)的需要長(zhǎng)連接的應(yīng)用時(shí)候30分鐘足咦

ip tcp intercept connection-timeout 1800

5）對(duì)于最大半開(kāi)連接的門(mén)限也是可以更改的。默認(rèn)low 900，high 1100.

ip tcp intercept max-incomplete low 800

ip tcp intercept max-incomplete high 1000

6）狀態(tài)查看

show tcp intercept connecitons

show tcp intercept statistics