- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
63-攻擊防禦典型配置舉例
本章節下載: 63-攻擊防禦典型配置舉例 (605.85 KB)
H3C S6800&S6860&S6861產品攻擊防禦配置舉例
Copyright © 2019 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
目 錄
本文檔介紹了鏈路層、ARP、IP層以及傳輸層攻擊防禦的配置舉例。
本文檔涉及的主要攻擊防禦類型見表1。
|
攻擊防禦措施 |
功能描述 |
|
|
鏈路層攻擊防禦 |
MAC地址防攻擊 |
設定端口可以學習到的最大MAC地址數目,避免被大量源MAC地址頻繁變化或者VLAN頻繁變化的報文攻擊 |
|
STP的防攻擊 |
主要的防護措施有BPDU保護、根保護、環路保護、防TC-BPDU攻擊保護 |
|
|
ARP攻擊防禦 |
ARP源抑製功能 |
用於防止設備被固定源發送的IP報文攻擊 |
|
ARP黑洞路由功能 |
用於防止設備被不固定的源發送的IP報文攻擊 |
|
|
ARP主動確認功能 |
用於防止攻擊者仿冒用戶欺騙設備 |
|
|
源MAC地址固定的ARP攻擊檢測 |
用於防止設備被同一MAC地址源發送的攻擊報文攻擊 |
|
|
ARP報文源MAC一致性檢查功能 |
用於防止設備被以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同的報文攻擊 |
|
|
IP層攻擊防禦 |
uRPF檢查 |
用於防止基於源地址欺騙的網絡攻擊行為 |
|
TTL報文防攻擊 |
通過關閉ICMP超時報文發送功能來避免被攻擊者惡意攻擊 |
|
|
傳輸層攻擊防禦 |
防止Syn-flood攻擊 |
當服務器收到TCP連接請求時,不建立TCP半連接,而直接向發起者回複SYN ACK報文,可以避免在服務器上建立大量的TCP半連接,防止服務器受到SYN Flood攻擊 |
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文假設您已了解本文檔中涉及的攻擊防禦特性。
如圖1所示,Device A、Device B、Device C均運行了MSTP協議,網絡拓撲穩定後Device B為根橋,Device C的XGE1/0/1為阻塞端口。
· 通過配置根保護、環路保護和BPDU保護功能,維持Device A、Device B和Device C的端口角色以及網絡拓撲的穩定。
· 在Device A、Device B和Device C上使能防TC-BPDU攻擊保護,避免發生短時間內大量TC(Topology Change)-BPDU衝擊設備的情況。
· 在Device A和Device C的接入側端口上配置端口最大學習MAC數目,避免設備因受到大量源MAC地址不同的報文攻擊,而導致MAC地址表過於龐大、轉發性能下降的情況。
· 在Device B的用戶網絡側端口以及Device A和Device C的所有端口上配置組播速率抑製和廣播速率抑製功能。端口上的廣播或組播流量超過6400 pps(packets per second,每秒轉發的報文數)後,係統將丟棄超出廣播和組播流量限製的報文,從而使接口廣播、組播流量所占的比例降低到限定的範圍。
根據端口角色來確定需要配置根保護、環路保護和BPDU保護的設備端口。
· 網絡中根橋Device B可能會收到偽造的優先級更高的BPDU,導致Device B失去根橋的地位。為防止這種情況發生,可在根橋與葉子節點相連的端口XGE1/0/1、XGE1/0/2上配置根保護功能,使它們隻能作為指定端口來轉發BPDU,並在收到優先級更高的BPDU時暫時停止轉發BPDU。
· Device C通過接收根橋發送的BPDU來維持XGE1/0/1的端口角色為阻塞端口,如果鏈路發生擁塞或故障,Device C會因為沒有收到根橋的BPDU而重新選擇端口角色,使其所有端口變為指定端口並遷移到轉發狀態,導致環路。因此在Device C的根端口XGE1/0/2上使能環路保護,使該端口在沒有收到BPDU時使其所有MSTI處於Discarding狀態以避免環路產生。
· Device A和Device C是接入層設備,將其連接用戶終端的端口(如XGE1/0/3)設置為邊緣端口(相關命令為stp edged-port),以便快速遷移到轉發狀態。這些連接用戶的端口正常情況下是不會收到BPDU的,要避免它們因收到偽造的BPDU而引發生成樹重新計算,在邊緣端口上配置BPDU保護功能,使它們在收到BPDU時暫時關閉。
表1 適用產品及版本
|
產品 |
軟件版本 |
|
S6800係列 S6860係列 S6861係列 |
Release 2702 |
· 在同一個端口上,不允許同時配置邊緣端口和環路保護功能,或者同時配置根保護功能和環路保護功能。
· 請不要在連接用戶終端的端口上使能環路保護功能,否則該端口會因收不到BPDU而導致其所有MSTI將一直處於Discarding狀態。
# 配置各接口的IP地址(略)。
# 在指定端口上配置根保護。
<DeviceB> system-view
[DeviceB] interface range ten-gigabitethernet 1/0/1 to ten-gigabitethernet 1/0/2
[DeviceB-if-range] stp root-protection
[DeviceB-if-range] quit
# 配置防TC-BPDU攻擊保護。
[DeviceB] stp tc-protection
[DeviceB] stp tc-protection threshold 10
# 在端口上設置廣播速率抑製和組播速率抑製。
[DeviceB] interface range ten-gigabitethernet 1/0/1 to ten-gigabitethernet 1/0/2
[DeviceB-if-range] broadcast-suppression pps 6400
[DeviceB-if-range] multicast-suppression pps 6400
[DeviceB-if-range] quit
# 配置各接口的IP地址(略)。
# 配置STP BPDU保護,並將接入側端口(以XGE1/0/3為例)設置為邊緣端口。
<DeviceA> system-view
[DeviceA] stp bpdu-protection
[DeviceA] interface ten-gigabitethernet 1/0/3
[DeviceA-Ten-GigabitEthernet1/0/3] stp edged-port
[DeviceA-Ten-GigabitEthernet1/0/3] quit
# 配置防TC-BPDU攻擊保護。
[DeviceA] stp tc-protection
[DeviceA] stp tc-protection threshold 10
# 配置接入側端口最大學習MAC數目,以XGE1/0/3為例。
[DeviceA] interface ten-gigabitethernet 1/0/3
[DeviceA-Ten-GigabitEthernet1/0/3] mac-address max-mac-count 1024
[DeviceA-Ten-GigabitEthernet1/0/3] quit
# 在所有端口上設置廣播速率抑製和組播速率抑製(其中連接用戶終端的端口以XGE1/0/3為例)。
[DeviceA] interface range ten-gigabitethernet 1/0/1 to ten-gigabitethernet 1/0/3
[DeviceA-if-range] broadcast-suppression pps 6400
[DeviceA-if-range] multicast-suppression pps 6400
[DeviceA-if-range] quit
# 配置各接口的IP地址(略)。
# 配置STP BPDU保護,並將接入側端口(以XGE1/0/3為例)設置為邊緣端口。。
<DeviceC> system-view
[DeviceC] stp bpdu-protection
[DeviceC] interface ten-gigabitethernet 1/0/3
[DeviceC-Ten-GigabitEthernet1/0/3] stp edged-port
[DeviceC-Ten-GigabitEthernet1/0/3] quit
# 在指定端口上進行配置根保護。
[DeviceC] interface ten-gigabitethernet 1/0/1
[DeviceC-Ten-GigabitEthernet1/0/1] stp root-protection
[DeviceC-Ten-GigabitEthernet1/0/1] quit
# 在根端口上配置環路保護。
[DeviceC] interface ten-gigabitethernet 1/0/2
[DeviceC-Ten-GigabitEthernet1/0/2] stp loop-protection
[DeviceC-Ten-GigabitEthernet1/0/2] quit
# 配置防TC-BPDU攻擊保護。
[DeviceC] stp tc-protection
[DeviceC] stp tc-protection threshold 10
# 配置端口最大學習MAC數目,以XG1/0/3為例。
[DeviceC] interface ten-gigabitethernet 1/0/3
[DeviceC-Ten-GigabitEthernet1/0/3] mac-address max-mac-count 1024
[DeviceC-Ten-GigabitEthernet1/0/3] quit
# 在所有端口上設置廣播速率抑製和組播速率抑製(其中連接用戶終端的端口以XGE1/0/3為例)。
[DeviceC] interface range ten-gigabitethernet 1/0/1 to ten-gigabitethernet 1/0/3
[DeviceC-if-range] broadcast-suppression pps 6400
[DeviceC-if-range] multicast-suppression pps 6400
[DeviceC-if-range] quit
· 向Device A或Device C的邊緣端口XGE1/0/3發送STP BPDU報文,會導致收到報文的端口被shutdown,在shutdown之後可以通過手動的undo shutdown恢複端口的UP狀態;
· 向指定端口發送優先級更高的STP報文,根端口不會發生變化,STP拓撲狀態保持穩定;
· 向Device A、Device B、Device C頻繁發送大量變化的TC報文,設備不會頻繁重複刷新FIB(Forwarding Information Base),不會導致嚴重的轉發丟包;
· 向Device A或Device C的邊緣端口XGE1/0/3發送大量廣播報文,設備的上行端口上廣播報文不會泛濫。
· DeviceA
#
stp bpdu-protection
stp tc-protection threshold 10
#
interface Ten-GigabitEthernet 1/0/1
port link-mode bridge
broadcast-suppression pps 6400
multicast-suppression pps 6400
#
interface Ten-GigabitEthernet 1/0/2
port link-mode bridge
broadcast-suppression pps 6400
multicast-suppression pps 6400
#
interface Ten-GigabitEthernet 1/0/3
port link-mode bridge
mac-address max-mac-count 1024
stp edged-port
broadcast-suppression pps 6400
multicast-suppression pps 6400
#
· DeviceB
#
stp tc-protection threshold 10
#
interface Ten-GigabitEthernet 1/0/1
port link-mode bridge
stp root-protection
broadcast-suppression pps 6400
multicast-suppression pps 6400
#
interface Ten-GigabitEthernet 1/0/2
port link-mode bridge
stp root-protection
broadcast-suppression pps 6400
multicast-suppression pps 6400
#
· DeviceC
#
stp bpdu-protection
stp tc-protection threshold 10
#
interface Ten-GigabitEthernet 1/0/1
port link-mode bridge
stp root-protection
broadcast-suppression pps 6400
multicast-suppression pps 6400
#
interface Ten-GigabitEthernet 1/0/2
port link-mode bridge
stp loop-protection
broadcast-suppression pps 6400
multicast-suppression pps 6400
#
interface Ten-GigabitEthernet 1/0/3
port link-mode bridge
stp edged-port
mac-address max-mac-count 1024
broadcast-suppression pps 6400
multicast-suppression pps 6400
#
如圖2所示,要求在網關Device上配置防禦功能來抵禦各種常見ARP攻擊。
圖2 ARP攻擊防禦組網圖
表2 適用產品及版本
|
產品 |
軟件版本 |
|
S6800係列 S6860係列 S6861係列 |
Release 2702 |
# 配置各接口的IP地址(略)。
# 配置ARP源抑製功能,並配置ARP源抑製的閾值為8,以避免設備被固定源發送的IP報文攻擊。
<Device> system-view
[Device] arp source-suppression enable
[Device] arp source-suppression limit 8
# 配置ARP黑洞路由功能,以避免設備被不固定的源發送的IP報文攻擊。
[Device] arp resolving-route enable
# 配置ARP主動確認功能,以避免攻擊者仿冒用戶欺騙設備。
[Device] arp active-ack enable
# 配置源MAC地址固定的ARP攻擊檢測功能,過濾非法報文,以避免設備被同一MAC地址源發送的攻擊報文攻擊。
[Device] arp source-mac filter
[Device] arp source-mac threshold 25
# 配置ARP報文源MAC一致性檢查功能,以避免設備被以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同的報文攻擊。
[Device] arp valid-check enable
用PC向設備發送各種ARP攻擊報文,設備不會出現CPU利用率偏高的情況,不影響其他業務模塊運行。
以ARP源抑製功能為例,偽造20個源IP地址固定,目標IP地址不能解析的IP報文,同時發送給設備,由這些IP報文觸發的ARP請求報文超過8個後,對於由此IP地址發出的IP報文,設備不允許其觸發ARP請求。
# 顯示當前ARP源抑製的配置信息。
[Device] display arp source-suppression
ARP source suppression is enabled
Current suppression limit: 8
#
arp valid-check enable
arp source-mac filter
arp source-mac threshold 25
arp active-ack enable
arp source-suppression enable
arp source-suppression limit 8
#
如圖3所示,Device A作為用戶網絡連接外網的網關,可能會遭受來自用戶側或者是網絡側的IP報文攻擊,要求在Device A上配置防禦功能以避免設備被IP報文攻擊。
· 為防止基於源地址的欺騙,要求在Device A上對接收到的報文進行嚴格型uRPF檢查。
· 為防止被大量TTL等於1的報文攻擊,要求確保設備關閉ICMP超時報文發送功能。
圖3 IP層攻擊防禦基礎配置組網圖
表2 適用產品及版本
|
產品 |
軟件版本 |
|
S6800係列 S6860係列 S6861係列 |
Release 2702 |
· 在關閉ICMP超時報文發送功能後,Tracert功能將不可用。
· 當交換機開啟uRPF功能時,會出現路由規格減半情況(路由規格減半情況為:交換機支持的最大可容納的路由數,在開啟uRPF功能後變為開啟前的一半)。
· 當交換機的路由數超過該交換機可最大容納的路由數一半時,uRPF功能將不能開啟,避免了路由表項丟失以及由其引起的數據包丟失。
# 配置各接口的IP地址(略)。
# 在Device A上配置嚴格型uRPF檢查。
# 關閉ICMP超時報文發送功能(缺省為關閉),以避免設備被大量TTL等於1的報文攻擊。
[DeviceA] undo ip ttl-expires enable
# 用PC對設備發送一係列帶有偽造源地址的報文,這些報文被過濾,設備沒有遭到源地址欺騙攻擊。
# 顯示Device A上uRPF的應用情況。
[DeviceA] display ip urpf
Global uRPF configuration information:
Check type: strict
Allow default route
(1) 打開設備上的ICMP調試信息開關(配置debugging ip icmp命令)。
(2) 用PC對設備發送TTL為1的報文。
(3) 查看設備上是否顯示調試信息:
· ICMP超時報文發送功能關閉時,可以看到設備上沒有顯示調試信息,即設備沒有響應接收到的攻擊報文,PC端不會收到TTL超時的ICMP報文。
· ICMP超時報文發送功能開啟時,可以看到設備顯示調試信息,即設備響應了接收到的攻擊報文。調試信息如下:
<DeviceA> *Aug 14 16:43:31:068 2016 NM-3 SOCKET/7/ICMP: Slot=2;
Time(s):1371221011 ICMP Output:
ICMP Packet: src = 6.0.0.1, dst = 202.101.0.2
type = 11, code = 0 (ttl-exceeded)
Original IP: src = 202.101.0.2, dst = 192.168.0.2
proto = 253, first 8 bytes = 00000000 00000000
#
ip urpf strict
#
如圖4所示,Device作為用戶網絡的網關,可能會遭受來自傳輸層的Syn-flood攻擊,使設備無法處理正常業務。要求在Device上配置SYN Cookie功能,使設備可以抵禦此類攻擊。
表3 適用產品及版本
|
產品 |
軟件版本 |
|
S6800係列 S6860係列 S6861係列 |
Release 2702 |
# 配置各接口的IP地址(略)。
# 使能SYN Cookie功能。當服務器收到TCP連接請求時,不建立TCP半連接,而直接向發起者回複SYN ACK報文。服務器接收到發起者回應的ACK報文後,才建立連接。
<Device> system-view
[Device] tcp syn-cookie enable
設備在建立TCP連接時,不再建立處於SYN_RECEIVED狀態的TCP半連接,而是在建立連接後直接進入ESTABLISHED狀態。
[Device] display tcp
*: TCP connection with authentication
Local Addr:port Foreign Addr:port State Slot PCB
0.0.0.0:21 0.0.0.0:0 LISTEN 1 0xffffffffffffff9
d
0.0.0.0:23 0.0.0.0:0 LISTEN 1 0xffffffffffffff9
f
192.168.2.88:23 192.168.2.79:2197 ESTABLISHED 1 0xffffffffffffffa
3
192.168.2.88:23 192.168.2.89:2710 ESTABLISHED 1 0xffffffffffffffa
2
192.168.2.88:23 192.168.2.110:50199 ESTABLISHED 1 0xffffffffffffffa
5
#
tcp syn-cookie enable
#
· H3C S6800[60][61](R27xx) & S6820(R630x)係列以太網交換機 二層技術-以太網交換配置指導
· H3C S6800[60][61](R27xx) & S6820(R630x)係列以太網交換機 二層技術-以太網交換命令參考
· H3C S6800[60][61](R27xx) & S6820(R630x)係列以太網交換機 安全配置指導
· H3C S6800[60][61](R27xx) & S6820(R630x)係列以太網交換機 安全命令參考
· H3C S6800[60][61](R27xx) & S6820(R630x)係列以太網交換機 IP業務配置指導
· H3C S6800[60][61](R27xx) & S6820(R630x)係列以太網交換機 IP業務命令參考
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
