- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
19-攻擊檢測及防範配置
本章節下載: 19-攻擊檢測及防範配置 (102.32 KB)
本文中提到的EC1類和EF類單板指的是絲印後綴分別為EC1、EF的單板。
攻擊檢測及防範是一個重要的網絡安全特性,它通過分析經過設備的報文的內容和行為,判斷報文是否具有攻擊特征,並根據配置對具有攻擊特征的報文執行一定的防範措施,例如輸出告警日誌、丟棄報文或加入黑名單。
設備僅支持TCP分片攻擊防範。
設備的包過濾功能一般是通過判斷TCP首個分片中的五元組(源IP地址、源端口號、目的IP地址、目的端口號、傳輸層協議號)信息來決定後續TCP分片是否允許通過。RFC1858對TCP分片報文進行了規定,認為TCP分片報文中,首片報文中TCP報文長度小於20字節,或後續分片報文中分片偏移量等於8字節的報文為TCP分片攻擊報文。這類報文可以成功繞過上述包過濾功能,對設備造成攻擊。
例如攻擊者可構造極小的TCP首個分片報文,將TCP報文頭(通常為20字節)分布在2個分片中,這樣一來,構造報文中的非法TCP標記位將包含在第二個分片中,從而逃過包過濾係統的檢查,對設備造成攻擊。同樣,攻擊者通過構造片偏移量等於8字節的TCP分片報文,也可以繞過包過濾係統,而當這些TCP分片在目的主機上進行報文重組時,攜帶非法TCP標記位的報文將替換TCP首片中的合法標記位,對設備造成攻擊。
為防止這類攻擊,可以在設備上配置TCP分片攻擊防範功能,對TCP分片攻擊報文進行丟棄。
僅EC1/EF類單板支持TCP分片攻擊防範功能,且必須先配置acl ipv6 enable命令,本功能才生效。有關acl ipv6 enable命令的介紹,請參見“ACL和QoS命令參考”中的“ACL”。
表1-1 配置TCP分片攻擊防範
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置TCP分片攻擊防範功能 |
attack-defense tcp fragment enable |
缺省情況下,TCP分片攻擊防範功能處於開啟狀態 |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
