Como proteger o roteador contra ataques DoS usando CoPP

Silesio de Carvalho · ‎06-20-2025

Os roteadores normalmente são instalados entre a rede privada e a internet, tornando-os susceptíveis a vários ataques provenientes da internet.

O Control Plane Policing (CoPP) é uma funcionalidade dos roteadores, que permite proteger o processador de controlo (control plane) contra tráfego excessivo ou malicioso — como ataques DoS. O CoPP funciona como um filtro, definindo limites de taxa (rate limits) para diferentes tipos de tráfego que tentam atingir o plano de controlo.

Vamos usar o cenário abaixo, para simular o ataque DoS ICMP e Telnet flood, a partir do Kali Linux.

No Kali Linux, vamos usar o hping3 para gerar um ataque de ICMP flood mais agressivo:

sudo hping3 -1 192.168.1.1 --flood

-1: Usa o protocolo ICMP (equivalente ao ping).
--flood: Envia pacotes o mais rápido possível (sem esperar por resposta).

Vamos simular outro ataque SYN flood contra a porta 23 (telnet precisa já estar configurado no router).

sudo hping3 -S 192.168.1.1 -p 23 --flood

Estes comandos podem sobrecarregar rapidamente o control plane do roteador. Em alguns casos podemos notar o CPU elevado (acima de 80%), lentidão ou falha na resposta de comandos CLI, falha ao tentar aceder o roteador por SSH/telnet, procolos de routeamento a reiniciar, podendo causar loops na rede.

Para proteger o roteador contra estes ataques, usaremos CoPP.

ip access-list extended ACL-ICMP
permit icmp any any

ip access-list extended ACL-TELNET
permit tcp any any eq 23

class-map CLASS-ICMP
match access-group name ACL-ICMP

class-map CLASS-TELNET
match access-group name ACL-TELNET

policy-map CoPP
class CLASS-ICMP
police 8000 conform-action transmit exceed-action transmit violate-action drop
class CLASS-TELNET
police 8000 conform-action transmit exceed-action transmit violate-action drop
exit

control-plane
service-policy input CoPP
exit

Após aplicar a policy no control-plane, veremos que os ataques são limitados pelo CoPP. Podemos validar usando comando show policy-map control-plane. Veremos os contadores a aumentar na secção violated.

RT#show policy-map control-plane
Control Plane

Service-policy input: CoPP

Class-map: CLASS-ICMP (match-all)
13924084 packets, 584811528 bytes
5 minute offered rate 0000 bps, drop rate 0000 bps
Match: access-group name ACL-ICMP
police:
cir 8000 bps, bc 1500 bytes, be 1500 bytes
conformed 8084 packets, 339528 bytes; actions:
transmit
exceeded 700 packets, 29400 bytes; actions:
transmit
violated 13915300 packets, 584442600 bytes; actions:
drop
conformed 0000 bps, exceeded 0000 bps, violated 0000 bps

Class-map: CLASS-TELNET (match-all)
1107560 packets, 59808240 bytes
5 minute offered rate 0000 bps, drop rate 0000 bps
Match: access-group name ACL-TELNET
police:
cir 8000 bps, bc 1500 bytes, be 1500 bytes
conformed 608 packets, 32832 bytes; actions:
transmit
exceeded 162 packets, 8748 bytes; actions:
transmit
violated 1106790 packets, 59766660 bytes; actions:
drop
conformed 0000 bps, exceeded 0000 bps, violated 0000 bps

Class-map: class-default (match-any)
625830 packets, 33794717 bytes
5 minute offered rate 0000 bps, drop rate 0000 bps
Match: any

Com o CoPP configurado corretamente, podes garantir que o teu roteador continua funcional mesmo durante ataques DoS. É uma ferramenta essencial para proteger infraestruturas críticas em ambientes empresariais.

Como proteger o roteador contra ataques DoS usando CoPP

Quick links