禁用cisco端口上的IP碎片

Question

我们收到了很多IP Fragmentation攻击。我们的服务器只处理UDP的RTP流量，所以我想知道我们能否设置don't fragment配置，以便交换机或思科路由器端口丢弃所有数据包，而不是将它们发送到服务器，服务器得到重载来重新组装它们。

我知道IP碎片是非常重要的，但在我们的情况下，我们只处理RTP UDP流量和数据包大小非常小。所以我怀疑我们是否需要IP碎片功能。

Answer 1

在路由器的外部接口上，使用此ACL：

access-list extended NO_FRAG
deny ip any any fragments
permit ip any any
end

interface <ext interface>
ip access-group NO_FRAG in

Answer 2

您可以使用入站ACL来阻止片段。下面的链接是一个很好的起点：http://www.cisco.com/c/en/us/support/docs/ip/generic-routing-encapsulation-gre/8014-acl-wp.html

Answer 3

“配置ASA以删除它收到的任何IP片段，如下所示：

ASA# conf t
ASA(config)# fragment chain 1
ASA(config)# exit

警告:请注意，这只能是全局配置的，因此它将影响所有通过ASA传递的用户流量，而不仅仅是专门指向Cisco ASA CX模块的通信量。此配置将导致ASA删除所有IP片段，即使ASA模块不会处理该通信量。“

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170125-cas?emailclick=CNSemail