- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
14-攻擊檢測與防範配置
本章節下載: 14-攻擊檢測與防範配置 (104.92 KB)
攻擊檢測及防範是一個重要的網絡安全特性,它通過分析經過設備的報文的內容和行為,判斷報文是否具有攻擊特征,並根據配置對具有攻擊特征的報文執行一定的防範措施,例如丟棄報文。
設備僅支持TCP分片攻擊防範和Login用戶字典序攻擊防範功能。
設備的包過濾功能一般是通過判斷TCP首個分片中的五元組(源IP地址、源端口號、目的IP地址、目的端口號、傳輸層協議號)信息來決定後續TCP分片是否允許通過。RFC 1858對TCP分片報文進行了規定,認為TCP分片報文中,首片報文中TCP報文長度小於20字節,或後續分片報文中分片偏移量等於8字節的報文為TCP分片攻擊報文。這類報文可以成功繞過上述包過濾功能,對設備造成攻擊。
為防範這類攻擊,可以在設備上配置TCP分片攻擊防範功能,對TCP分片攻擊報文進行丟棄。
字典序攻擊是指攻擊者通過收集用戶密碼可能包含的字符,使用各種密碼組合逐一嚐試登錄設備,以達到猜測合法用戶密碼的目的。
為防範這類攻擊,可以在設備上配置Login用戶延時認證功能,在用戶認證失敗之後,延時期間不接受此用戶的登錄請求。
設備上開啟TCP分片攻擊防範功能後,能夠對收到的TCP分片報文的長度以及分片偏移量進行合法性檢測,並丟棄非法的TCP分片報文。設備僅支持對軟件轉發的TCP分片報文進行合法性檢查。
表1-1 配置TCP分片攻擊防範
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟TCP分片攻擊防範功能 |
attack-defense tcp fragment enable |
缺省情況下,TCP分片攻擊防範功能處於開啟狀態 |
Login用戶登錄失敗後,若設備上配置了重新進行認證的等待時長,則係統將會延遲一定的時長之後再允許用戶進行認證,可以有效地避免設備受到Login用戶字典序攻擊。
表1-2 配置Login用戶失敗延時認證功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置Login用戶登錄失敗後重新進行認證的等待時長 |
attack-defense login reauthentication-delay seconds |
缺省情況下,Login用戶登錄失敗後重新進行認證不需要等待 |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
