- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
14-ND攻擊防禦配置
本章節下載: 14-ND攻擊防禦配置 (202.23 KB)
ND協議功能強大,但是卻沒有任何安全機製,容易被攻擊者利用。如圖1-1所示,當Device作為接入設備時,攻擊者Host B可以仿冒其他用戶、仿冒網關發送偽造的ND報文,對網絡進行攻擊:
· 如果攻擊者仿冒其他用戶的IPv6地址發送NS/NA/RS報文,將會改寫網關或者其他用戶的ND表項,導致被仿冒用戶的報文錯誤的發送到攻擊者的終端上。
· 如果攻擊者仿冒網關發送RA報文,會導致其他用戶的IPv6配置參數錯誤和ND表項被改寫。
圖1-1 ND攻擊示意圖
偽造的ND報文具有如下特點:
· 偽造的ND報文中源MAC地址和源鏈路層選項地址中的MAC地址不一致。
· 偽造的ND報文中源IPv6地址和源MAC地址的映射關係不是合法用戶真實的映射關係。
根據上述攻擊報文的特點,設備開發了多種功能對ND攻擊進行檢測,可以有效地防範ND攻擊帶來的危害。
如下所有配置均為可選,請根據實際情況選擇配置。
ND報文限速功能是指對上送CPU的ND報文進行限速,可以防止大量ND報文對CPU進行衝擊。例如,配置ND Detection功能後,設備會將收到的ND報文重定向到CPU進行檢查,這樣如果攻擊者惡意構造大量ND報文發往設備,會導致設備的CPU負擔過重,從而造成其他功能無法正常運行甚至設備癱瘓。此時可以配置ND報文限速功能來控製接口收到ND報文的速率。
設備上配置ND報文限速功能後,當接口上單位時間收到的ND報文數量超過設定的限速值,超過限速部分的報文會被丟棄。如果同時開啟了ND報文限速日誌功能,設備記錄該時間間隔內的超速峰值速率,並生成日誌信息發送給信息中心。通過設置信息中心的參數,最終決定日誌報文的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心參數的配置請參見“網絡管理和監控配置指導”中的“信息中心”。
建議在配置了ND Detection、ND Snooping或者發現有ND泛洪攻擊的情況下,配置ND報文限速功能。
為防止過多的日誌信息幹擾工作,可以設定較大的信息發送時間間隔。
如果開啟了ND報文限速的日誌功能,並在二層聚合接口上開啟了ND報文限速功能,則隻要聚合成員接口上的ND報文速率超過設定的限速值,設備就會發送日誌信息。
(1) 進入係統視圖。
system-view
(2) (可選)開啟ND報文限速日誌功能。
ipv6 nd rate-limit log enable
缺省情況下,設備的ND報文限速日誌功能處於關閉狀態。
(3) (可選)配置當設備收到的ND報文速率超過用戶設定的限速值時,發送日誌的時間間隔。
ipv6 nd rate-limit log interval interval
缺省情況下,當設備收到的ND報文速率超過用戶設定的限速值時,發送日誌的時間間隔為60秒。
(4) 進入接口視圖。
interface interface-type interface-number
支持的接口類型包括二層以太網接口、二層聚合接口視圖、三層以太網接口和三層聚合接口視圖。
(5) 開啟ND報文限速功能,並指定ND報文限速速率。
ipv6 nd rate-limit [ pps ]
缺省情況下,ND報文限速功能處於開啟狀態。
ND協議報文源MAC地址一致性檢查功能主要應用於網關設備上,防禦ND報文中的源MAC地址和以太網數據幀首部中的源MAC地址不同的ND攻擊。
開啟本特性後,網關設備會對接收的ND協議報文進行檢查。如果ND報文中的源MAC地址和以太網數據幀首部中的源MAC地址不一致,則認為是攻擊報文,將其丟棄;否則,繼續進行ND學習。
若開啟ND日誌信息功能,當用戶ND報文中的源MAC地址和以太網數據幀首部中的源MAC地址不同時,會有相關的日誌信息輸出。設備生成的ND日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“設備管理配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 開啟ND協議報文源MAC地址一致性檢查功能。
ipv6 nd mac-check enable
缺省情況下,ND協議報文源MAC地址一致性檢查功能處於關閉狀態。
(3) (可選)開啟ND日誌信息功能。
ipv6 nd check log enable
缺省情況下,ND日誌信息功能處於關閉狀態。
為了防止設備輸出過多的ND日誌信息,一般情況下建議不要開啟此功能。
設備上的ND表項可以通過鄰居請求消息NS及鄰居通告消息NA來動態創建,但是這個動態創建過程需要流量來觸發。接口上開啟了ND周期自動掃描功能後,會周期性的向指定範圍內的所有ND表項中不存在的IPv6地址發送NS請求報文,從而解決了NS消息的發送依賴流量以及接口ND表項無法及時更新的問題。
接口發送NS請求報文時使用的源地址可選擇指定,缺省為配置的接口IPv6地址:
· 如果開啟本功能時未指定NS請求報文使用的源地址,則接口將對ND自動掃描區間和接口所在網段的交集進行掃描。如果接口上配置了多個網段的IPv6地址,且這些網段與ND自動掃描區間都有交集,則設備發送的請求消息NS的源IPv6地址為前綴較長的地址;如果前綴長度相同,則選擇接口主IPv6地址。
· 如果開啟本功能時指定了NS請求報文使用的源地址,則接口將對ND自動掃描區間進行掃描,不判斷與接口網段的交集。
為避免影響設備轉發性能,建議僅在網絡中用戶頻繁上下線的環境下開啟本功能。
(1) 進入係統視圖。
system-view
(2) (可選)設置ND表項周期性自動掃描的速率。
ipv6 nd scan auto send-rate { ppm ppm | pps }
缺省情況下,ND表項周期性自動掃描速率為每秒發送48個包。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟ND周期自動掃描功能。
ipv6 nd scan auto enable start-ipv6-address to end-ipv6-address [ source-addr source-ipv6-address ]
缺省情況下,接口上的ND周期性掃描功能處於關閉狀態。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
