为防止黑客使用tcp syn类DDOS攻击服务器，思科在12.4IOS中加入了TCP Intercept特性

HACKER --- R2 --- server(1.1.1.1)

假如有黑客向R2后的server发起tcp syn flood 类DDOS攻击，发起大量半开TCP会话，试图耗尽server端资源时，R2上我们可以开启tcp intercept feature

例1：

// r2

access-list 144 permit tcp any host 1.1.1.1

ip tcp intercept list 144

ip tcp intercept mode intercept

ip tcp intercept connection-timeout 60

这只是一种例子，上述配置将使R2截获所有发往1.1.1.1的TCP syn请求，并向client发出回复，如client端有应答，并且完成了TCP三次握手，此时R2才会将这条会话移交给1.1.1.1。如在此期间（60秒内）未收到client端再次应答或没有完成三次握手，则清空此会话。

例2：

access-list 144 permit tcp any host 1.1.1.1

ip tcp intercept list 144

ip tcp intercept mode watch

ip tcp intercept watch-timeout 15

第二种情况，R2并不参与client端与1.1.1.1之间的会话，仅仅是掌控时间，如15秒内,client未与server成功建立三次握手，则清空此会话。

以上两种模式intercept又被称为active mode，watch又被称为passive mode

查看文档的话你会发现还有一种aggressive mode，注意不要与上述两种模式混淆，aggressive是指超过预设门限值后（默认门限值是1分钟内1100条会话，包含未完成的连接--针对intercept mode，与连接请求--针对watch mode）,默认的时间对折，比如watch-timeout默认为30秒，减为15秒。

注意本例仅针对TCP SYN FLOOD类DDOS攻击，DDOS的攻击种类很多，不会有所谓的一招鲜，有时间再补充其它方法。