- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
13-攻擊檢測與防範配置
本章節下載: 13-攻擊檢測與防範配置 (477.05 KB)
目 錄
攻擊檢測及防範是一個重要的網絡安全特性,它通過分析經過設備的報文的內容和行為,判斷報文是否具有攻擊特征,並根據配置對具有攻擊特征的報文執行一定的防範措施,例如輸出告警日誌、丟棄報文、加入黑名單列表。
本特性能夠檢測單包攻擊、掃描攻擊和泛洪攻擊等多種類型的網絡攻擊,並能對各類型攻擊采取合理的防範措施。
單包攻擊也稱為畸形報文攻擊,主要包括以下三種類型:
· 攻擊者通過向目標係統發送帶有攻擊目的的IP報文,如分片重疊的IP報文、TCP標誌位非法的報文,使得目標係統在處理這樣的IP報文時出錯、崩潰;
· 攻擊者可以通過發送正常的報文,如ICMP報文、特殊類型的IP option報文,來幹擾正常網絡連接或探測網絡結構,給目標係統帶來損失;
· 攻擊者還可通過發送大量無用報文占用網絡帶寬,造成拒絕服務攻擊。
設備可以對表1-1中所列的各單包攻擊行為進行有效防範。
表1-1 單包攻擊類型及說明列表
|
單包攻擊類型 |
說明 |
|
ICMP redirect |
攻擊者向用戶發送ICMP重定向報文,更改用戶主機的路由表,幹擾用戶主機正常的IP報文轉發。 |
|
ICMP unreachable |
某些係統在收到不可達的ICMP報文後,對於後續發往此目的地的報文判斷為不可達並切斷對應的網絡連接。攻擊者通過發送ICMP不可達報文,達到切斷目標主機網絡連接的目的。 |
|
ICMP type |
ICMP報文中,不同type值表示不同的報文類型,接收者需要根據不同的類型進行響應,攻擊者通過構造特定type類型的ICMP報文來達到影響係統正常處理報文等目的。 |
|
ICMPv6 type |
ICMPv6報文中,不同type值表示不同的報文類型,接收者需要根據不同的類型進行響應,攻擊者通過構造特定type類型的ICMPv6報文來達到影響係統正常處理報文等目的。 |
|
Land |
攻擊者向目標主機發送大量源IP地址和目的IP地址都是目標主機自身的TCP SYN報文,使得目標主機的半連接資源耗盡,最終不能正常工作。 |
|
Large ICMP |
某些主機或設備收到超大的報文,會引起內存分配錯誤而導致協議棧崩潰。攻擊者通過發送超大ICMP報文,讓目標主機崩潰,達到攻擊目的。 |
|
Large ICMPv6 |
某些主機或設備收到超大的報文,會引起內存分配錯誤而導致協議棧崩潰。攻擊者通過發送超大ICMPv6報文,讓目標主機崩潰,達到攻擊目的。 |
|
IP option |
攻擊者利用IP報文中的異常選項的設置,達到探測網絡結構的目的,也可由於係統缺乏對錯誤報文的處理而造成係統崩潰。 |
|
Fragment |
攻擊者通過向目標主機發送分片偏移小於5的分片報文,導致主機對分片報文進行重組時發生錯誤而造成係統崩潰。 |
|
Impossible |
攻擊者通過向目標主機發送源IP地址和目的IP地址相同的報文,造成主機係統處理異常。 |
|
Tiny fragment |
攻擊者構造一種特殊的IP分片來進行微小分片的攻擊,這種報文首片很小,未能包含完整的傳輸層信息,因此能夠繞過某些包過濾防火牆的過濾規則,達到攻擊目標網絡的目的。 |
|
Smurf |
攻擊者向目標網絡發送ICMP應答請求,該請求包的目的地址設置為A、B、C類子網的網絡地址或廣播地址,這樣該網絡中的所有主機都會對此ICMP應答請求作出答複,導致網絡阻塞,從而達到令目標網絡中主機拒絕服務的攻擊目的。 |
|
TCP Flag |
不同操作係統對於非常規的TCP標誌位有不同的處理。攻擊者通過發送帶有非常規TCP標誌的報文探測目標主機的操作係統類型,若操作係統對這類報文處理不當,攻擊者便可達到使目標主機係統崩潰的目的。 |
|
Traceroute |
攻擊者連續發送TTL從1開始遞增的目的端口號較大的UDP報文,報文每經過一個路由器,其TTL都會減1,當報文的TTL為0時,路由器會給報文的源IP設備發送一個TTL超時的ICMP報文,攻擊者借此來探測網絡的拓撲結構。 |
|
Winnuke |
攻擊者向安裝(或使用)Windows係統的特定目標的NetBIOS端口(139)發送OOB(Out-Of-Band,帶外)數據包,這些攻擊報文的指針字段與實際的位置不符,從而引起一個NetBIOS片斷重疊,致使已與其他主機建立連接的目標主機在處理這些數據的時候係統崩潰。 |
|
UDP Bomb |
攻擊者發送畸形的UDP報文,其IP首部中的報文總長度大於IP首部長度與UDP首部中標識的UDP報文長度之和,可能造成收到此報文的係統處理數據時越界訪問非法內存,導致係統異常。 |
|
UDP Snork |
攻擊者向Windows係統發送目的端口為135(Windows定位服務)源端口為135、7或19(UDP Chargen服務)的報文,使被攻擊係統不斷應答報文,最終耗盡CPU資源。 |
|
UDP Fraggle |
攻擊者通過向目標網絡發送源UDP端口為7且目的UDP端口為19的Chargen報文,令網絡產生大量無用的應答報文,占滿網絡帶寬,達到攻擊目的。 |
|
Teardrop |
攻擊者通過發送大量分片重疊的報文,致使服務器對這些報文進行重組時造成重疊,因而丟失有效的數據。 |
|
Ping of death |
攻擊者構造標誌位為最後一片且長度大於65535的ICMP報文發送給目標主機,可能導致係統處理數據時越界訪問非法內存,造成係統錯誤甚至係統崩潰。 |
掃描攻擊是指,攻擊者運用掃描工具對網絡進行主機地址或端口的掃描,通過準確定位潛在目標的位置,探測目標係統的網絡拓撲結構和開放的服務端口,為進一步侵入目標係統做準備。
· IP Sweep攻擊
攻擊者發送大量目的IP地址變化的探測報文,通過收到的回應報文來確定活躍的目標主機,以便針對這些主機進行下一步的攻擊。
· Port scan攻擊
攻擊者獲取了活動目標主機的IP地址後,向目標主機發送大量目的端口變化的探測報文,通過收到的回應報文來確定目標主機開放的服務端口,然後針對活動目標主機開放的服務端口選擇合適的攻擊方式或攻擊工具進行進一步的攻擊。
· 分布式Port scan攻擊
攻擊者控製多台主機,分別向特定目標主機發送探測報文,通過收集所有被控製的主機的回應報文,確定目標主機開啟的服務端口,以便進一步實施攻擊。
泛洪攻擊是指攻擊者在短時間內向目標係統發送大量的虛假請求,導致目標係統疲於應付無用信息,從而無法為合法用戶提供正常服務,即發生拒絕服務。
設備支持對以下幾種泛洪攻擊進行有效防範:
· SYN flood攻擊
根據TCP協議,服務器收到SYN報文後需要建立半連接並回應SYN ACK報文,然後等待客戶端的ACK報文來建立正式連接。由於資源的限製,操作係統的TCP/IP協議棧隻能允許有限個TCP連接。攻擊者向服務器發送大量偽造源地址的SYN報文後,由於攻擊報文是偽造的,服務器不會收到客戶端的ACK報文,從而導致服務器上遺留了大量無效的半連接,耗盡其係統資源,使正常的用戶無法訪問,直到半連接超時。
· ACK flood攻擊
ACK報文為隻有ACK標誌位置位的TCP報文,服務器收到ACK報文時,需要查找對應的連接。若攻擊者發送大量這樣的報文,服務器需要進行大量的查詢工作,消耗正常處理的係統資源,影響正常的報文處理。
· SYN-ACK flood攻擊
由於SYN ACK報文為SYN報文的後續報文,服務器收到SYN ACK報文時,需要查找對應的SYN報文。若攻擊者發送大量這樣的報文,服務器需要進行大量的查詢工作,消耗正常處理的係統資源,影響正常的報文處理。
· FIN flood攻擊
FIN報文用於關閉TCP連接。若攻擊者向服務器發送大量的偽造的FIN報文,可能會使服務器關閉掉正常的連接。同時,服務器收到FIN報文時,需要查找對應的連接,大量的無效查詢操作會消耗係統資源,影響正常的報文處理。
· RST flood攻擊
RST報文為TCP連接的複位報文,用於在異常情況下關閉TCP連接。如果攻擊者向服務器發送大量偽造的RST報文,可能會使服務器關閉正常的TCP連接。另外,服務器收到RST報文時,需要查找對應的連接,大量的無效查詢操作會消耗係統資源,影響正常的報文處理。
· DNS flood攻擊
DNS服務器收到任何DNS Query報文時都會試圖進行域名解析並且回複該DNS報文。攻擊者通過構造並向DNS服務器發送大量虛假DNS Query報文,占用DNS服務器的帶寬或計算資源,使得正常的DNS Query得不到處理。
· HTTP flood攻擊
HTTP服務器收到HTTP GET命令時可能進行一係列複雜的操作,包括字符串搜索、數據庫遍曆、數據組裝、格式化轉換等等,這些操作會消耗大量係統資源,因此當HTTP請求的速率超過了服務器的處理能力時,服務器就無法正常提供服務。攻擊者通過構造並發送大量虛假HTTP GET請求,使服務器崩潰,無法響應正常的用戶請求。
· ICMP flood攻擊
ICMP flood攻擊是指,攻擊者在短時間內向特定目標發送大量的ICMP請求報文(例如ping報文),使其忙於回複這些請求,致使目標係統負擔過重而不能處理正常的業務。
· ICMPv6 flood攻擊
ICMPv6 flood攻擊是指,攻擊者在短時間內向特定目標發送大量的ICMPv6請求報文(例如ping報文),使其忙於回複這些請求,致使目標係統負擔過重而不能處理正常的業務。
· UDP flood攻擊
UDP flood攻擊是指,攻擊者在短時間內向特定目標發送大量的UDP報文,占用目標主機的帶寬,致使目標主機不能處理正常的業務。
設備的包過濾功能一般是通過判斷TCP首個分片中的五元組(源IP地址、源端口號、目的IP地址、目的端口號、傳輸層協議號)信息來決定後續TCP分片是否允許通過。RFC 1858對TCP分片報文進行了規定,認為TCP分片報文中,首片報文中TCP報文長度小於20字節,或後續分片報文中分片偏移量等於8字節的報文為TCP分片攻擊報文。這類報文可以成功繞過上述包過濾功能,對設備造成攻擊。
為防範這類攻擊,可以在設備上配置TCP分片攻擊防範功能,對TCP分片攻擊報文進行丟棄。
DoS(Denial of Service,拒絕服務)攻擊的目的是使被攻擊對象無法提供正常的網絡服務。Login用戶DoS攻擊是指,攻擊者通過偽造登錄賬戶在短時間內向設備連續發起大量登錄請求,占用係統認證處理資源,造成設備無法處理正常Login用戶的登錄請求。
為防範這類攻擊,可以在設備上配置Login用戶攻擊防範功能,對發起惡意認證並多次嚐試失敗的用戶報文進行丟棄。
字典序攻擊是指攻擊者通過收集用戶密碼可能包含的字符,使用各種密碼組合逐一嚐試登錄設備,以達到猜測合法用戶密碼的目的。
為防範這類攻擊,可以在設備上配置Login用戶延時認證功能,在用戶認證失敗之後,延時期間不接受此用戶的登錄請求。
IP黑名單功能是根據報文的源IP地址進行報文過濾的一種攻擊防範特性。同基於ACL(Access Control List,訪問控製列表)的包過濾功能相比,黑名單進行報文匹配的方式更為簡單,可以實現報文的高速過濾和有效屏蔽。
IP黑名單可以由設備動態或由用戶手工進行添加、刪除,具體機製如下:
· 動態添加黑名單是與掃描攻擊防範功能配合實現的,動態生成的黑名單表項會在一定的時間之後老化。當設備根據報文的行為特征檢測到某特定IP地址的掃描攻擊企圖之後,便將攻擊者的IP地址自動加入黑名單,之後該IP地址發送的報文會被設備過濾掉。
· 手動配置的黑名單表項分為永久黑名單表項和非永久黑名單表項。永久黑名單表項建立後,一直存在,除非用戶手工刪除該表項。非永久黑名單表項的老化時間由用戶指定,超出老化時間後,設備會自動將該黑名單表項刪除。
|
配置任務 |
說明 |
詳細配置 |
|
|
創建攻擊防範策略 |
必選 |
||
|
配置攻擊防範策略 |
配置單包攻擊防範策略 |
必選 各類型的攻擊防範功能之間沒有先後順序,可根據實際組網需求,配置其中的一種或多種 |
|
|
配置掃描攻擊防範策略 |
|||
|
配置泛洪攻擊防範策略 |
|||
|
配置攻擊防範例外列表 |
可選 |
||
|
在接口上應用攻擊防範策略 |
二者至少選其一 應用在接口的策略僅對接口生效 應用在本機的策略對所有目的地址為本機的報文均有效 |
||
|
在本機應用攻擊防範策略 |
|||
|
配置單包攻擊防範日誌的非聚合輸出功能 |
可選 |
||
|
配置TCP分片攻擊防範 |
可選 通常單獨使用 |
||
|
配置黑名單 |
可選 可單獨使用,也可與掃描攻擊防範策略配合使用 |
||
|
配置Login用戶攻擊防範功能 |
可選 通常單獨使用 |
||
|
配置Login用戶延時認證功能 |
可選 通常單獨使用 |
||
在配置攻擊防範之前,必須首先創建一個攻擊防範策略,並進入該攻擊防範策略視圖。在該視圖下,可以定義一個或多個用於檢測攻擊的特征項,以及對檢測到的攻擊報文所采取的防範措施。
攻擊防範的缺省觸發閾值對於現網環境而言可能過小,這會導致用戶上網慢或者網頁打不開等情況,請根據實際網絡環境配置合理的觸發閾值。
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建一個攻擊防範策略,並進入攻擊防範策略視圖 |
attack-defense policy policy-name |
缺省情況下,不存在任何攻擊防範策略 |
在一個攻擊防範策略中,可以根據實際的網絡安全需求來配置策略中的具體內容,主要包括針對攻擊類型指定檢測條件及采取的防範措施。
不同類型的攻擊防範策略在配置內容上有所不同,下麵將按照攻擊類型(單包攻擊、掃描攻擊、泛洪攻擊)分別進行介紹。
單包攻擊防範主要通過分析經過設備的報文特征來判斷報文是否具有攻擊性,一般應用在設備連接外部網絡的接口上,且僅對應用了攻擊防範策略的接口上的入方向報文有效。若設備檢測到某報文具有攻擊性,則默認會輸出告警日誌,另外還可以根據配置將檢測到的攻擊報文做丟棄處理。
表1-4 配置單包攻擊防範策略
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入攻擊防範策略視圖 |
attack-defense policy policy-name |
- |
|
開啟指定類型單包攻擊報文的特征檢測,並設置攻擊防範的處理行為 |
signature detect { fraggle | fragment | impossible | land | large-icmp | large-icmpv6 | smurf | snork | tcp-all-flags | tcp-fin-only | tcp-invalid-flags | tcp-null-flag | tcp-syn-fin | tiny-fragment | traceroute | udp-bomb | winnuke } [ action { { drop | logging } * | none } ] signature detect { ip-option-abnormal | ping-of-death | teardrop } action { drop | logging } * signature detect icmp-type { icmp-type-value | address-mask-reply | address-mask-request | destination-unreachable | echo-reply | echo-request | information-reply | information-request | parameter-problem | redirect | source-quench | time-exceeded | timestamp-reply | timestamp-request } [ action { { drop | logging } * | none } ] signature detect icmpv6-type { icmpv6-type-value | destination-unreachable | echo-reply | echo-request | group-query | group-reduction | group-report | packet-too-big | parameter-problem | time-exceeded } [ action { { drop | logging } * | none } ] signature detect ip-option { option-code | internet-timestamp | loose-source-routing | record-route | route-alert | security | stream-id | strict-source-routing } [ action { { drop | logging } * | none } ] signature detect ipv6-ext-header ext-header-value [ action { { drop | logging } * | none } ] |
至少選其一 缺省情況下,所有類型的單包攻擊的特征檢測均處於關閉狀態 |
|
(可選)配置啟動Large ICMP攻擊防範的ICMP報文長度的最大值 |
signature { large-icmp | large-icmpv6 } max-length length |
缺省情況下,ICMP報文和ICMPv6報文長度的最大值均為4000字節 |
|
(可選)配置對不同級別的單包攻擊報文的處理方式 |
signature level { high | info | low | medium } action { { drop | logging } * | none } |
缺省情況下,對info和low級別的單包攻擊的處理行為是發送日誌;對medium和high級別的單包攻擊的處理行為是發送日誌並丟包 |
|
(可選)開啟指定級別單包攻擊報文的特征檢測 |
signature level { high | info | low | medium } detect |
缺省情況下,未開啟任何級別的單包攻擊報文的特征檢測 |
掃描攻擊防範主要通過監測網絡使用者向目標係統發起連接的速率來檢測其探測行為,一般應用在設備連接外部網絡的接口上,且僅對應用了攻擊防範策略的接口上的入方向報文有效。若設備監測到某IP地址主動發起的連接速率達到或超過了一定閾值,則可以根據配置輸出告警日誌、丟棄來自該IP地址的後續報文,或者將檢測到的攻擊者的源IP地址加入IP黑名單。
若指定的掃描攻擊的處理行為為加入IP黑名單,則需要開啟全局或接口上的黑名單過濾功能來配合。
表1-5 配置掃描攻擊防範策略
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入攻擊防範策略視圖 |
attack-defense policy policy-name |
- |
|
開啟指定級別的掃描攻擊防範 |
scan detect level { high | low | medium } action { { block-source [ timeout minutes ] | drop } | logging } * |
缺省情況下,掃描攻擊防範處於關閉狀態 |
泛洪攻擊防範主要用於保護服務器,通過監測向服務器發起連接請求的速率來檢測各類泛洪攻擊,一般應用在設備連接外部網絡的接口上,且僅對應用了攻擊防範策略的接口上的入方向報文有效。在接口上應用了泛洪攻擊防範策略後,接口處於攻擊檢測狀態,當它監測到向某服務器發送報文的速率持續達到或超過了指定的觸發閾值時,即認為該服務器受到了攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施(輸出告警日誌、對後續新建連接的報文進行丟棄處理)。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
需要注意的是,當設備上安裝了多塊業務板時,每種泛洪攻擊防範策略中配置的全局觸發閾值為每塊業務板上的全局觸發閾值,因而整機的該類泛洪攻擊的全局觸發閾值即為每塊業務板上的全局觸發閾值與業務板數目的乘積。
為保護指定IP地址,攻擊防範策略中支持基於IP地址的攻擊防範配置。對於所有非受保護IP地址,可以統一開啟攻擊防範檢測,並采用全局的參數設置來進行保護。
(1) 配置SYN flood攻擊防範策略
表1-6 配置SYN flood攻擊防範策略
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入攻擊防範策略視圖 |
attack-defense policy policy-name |
- |
|
對所有非受保護IP地址開啟SYN flood攻擊防範檢測 |
syn-flood detect non-specific |
缺省情況下,未對任何非受保護IP地址開啟SYN flood攻擊防範檢測 |
|
配置SYN flood攻擊防範的全局觸發閾值 |
syn-flood threshold threshold-value |
缺省情況下,SYN flood攻擊防範的全局觸發閾值為1000 |
|
配置SYN flood攻擊防範的全局處理行為 |
syn-flood action { drop | logging } * |
缺省情況下,不對檢測到的SYN flood攻擊采取任何措施 |
|
開啟對IP地址的SYN flood攻擊防範檢測,並配置觸發閾值和處理行為 |
syn-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ] |
缺省情況下,未對任何指定IP地址配置SYN flood攻擊防範檢測 |
(2) 配置ACK flood攻擊防範策略
表1-7 配置ACK flood攻擊防範策略
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入攻擊防範策略視圖 |
attack-defense policy policy-name |
- |
|
對所有非受保護IP地址開啟ACK flood攻擊防範檢測 |
ack-flood detect non-specific |
缺省情況下,未對任何非受保護IP地址開啟ACK flood攻擊防範檢測 |
|
配置ACK flood攻擊防範全局觸發閾值 |
ack-flood threshold threshold-value |
缺省情況下,ACK flood攻擊防範的全局觸發閾值為1000 |
|
配置ACK flood攻擊防範的全局處理行為 |
ack-flood action { drop | logging } * |
缺省情況下,不對檢測到的ACK flood攻擊采取任何措施 |
|
開啟對IP地址的ACK flood攻擊防範檢測,並配置觸發閾值和處理行為 |
ack-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ] |
缺省情況下,未對任何指定IP地址配置ACK flood攻擊防範檢測 |
(3) 配置SYN-ACK flood攻擊防範策略
表1-8 配置SYN-ACK flood攻擊防範策略
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入攻擊防範策略視圖 |
attack-defense policy policy-name |
- |
|
對所有非受保護IP地址開啟SYN-ACK flood攻擊防範檢測 |
syn-ack-flood detect non-specific |
缺省情況下,未對任何非受保護IP地址開啟SYN-ACK flood攻擊防範檢測 |
|
配置SYN-ACK flood攻擊防範的全局觸發閾值 |
syn-ack-flood threshold threshold-value |
缺省情況下,SYN-ACK flood攻擊防範的全局觸發閾值為1000 |
|
配置SYN-ACK flood攻擊防範的全局處理行為 |
syn-ack-flood action { drop | logging } * |
缺省情況下,不對檢測到的SYN-ACK flood攻擊采取任何措施 |
|
開啟對IP地址的SYN-ACK flood攻擊防範檢測,並配置觸發閾值和處理行為 |
syn-ack-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ] |
缺省情況下,未對任何指定IP地址配置SYN-ACK flood攻擊防範檢測 |
(4) 配置FIN flood攻擊防範策略
表1-9 配置FIN flood攻擊防範策略
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入攻擊防範策略視圖 |
attack-defense policy policy-name |
- |
|
對所有非受保護IP地址開啟FIN flood攻擊防範檢測 |
fin-flood detect non-specific |
缺省情況下,未對任何非受保護IP地址開啟FIN flood攻擊防範檢測 |
|
配置FIN flood攻擊防範的全局觸發閾值 |
fin-flood threshold threshold-value |
缺省情況下,FIN flood攻擊防範的全局觸發閾值為1000 |
|
配置FIN flood攻擊防範的全局處理行為 |
fin-flood action { drop | logging } * |
缺省情況下,不對檢測到的FIN flood攻擊采取任何措施 |
|
開啟對IP地址的FIN flood攻擊防範檢測,並配置觸發閾值和處理行為 |
fin-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ] |
缺省情況下,未對任何指定IP地址配置FIN flood攻擊防範檢測 |
(5) 配置RST flood攻擊防範策略
表1-10 配置RST flood攻擊防範策略
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入攻擊防範策略視圖 |
attack-defense policy policy-name |
- |
|
對所有非受保護IP地址開啟RST flood攻擊防範檢測 |
rst-flood detect non-specific |
缺省情況下,未對任何非受保護IP地址開啟RST flood攻擊防範檢測 |
|
配置RST flood攻擊防範的全局觸發閾值 |
rst-flood threshold threshold-value |
缺省情況下,RST flood攻擊防範的全局觸發閾值為1000 |
|
配置全局的RST flood攻擊防範的全局處理行為 |
rst-flood action { drop | logging } * |
缺省情況下,不對檢測到的RST flood攻擊采取任何措施 |
|
開啟對IP地址的RST flood攻擊防範檢測,並配置觸發閾值和處理行為 |
rst-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ] |
缺省情況下,未對任何指定IP地址配置RST flood攻擊防範檢測 |
(6) 配置ICMP flood攻擊防範策略
表1-11 配置ICMP flood攻擊防範策略
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入攻擊防範策略視圖 |
attack-defense policy policy-name |
- |
|
對所有非受保護IPv4地址開啟ICMP flood攻擊防範檢測 |
icmp-flood detect non-specific |
缺省情況下,未對任何非受保護IPv4地址開啟ICMP flood攻擊防範檢測 |
|
配置ICMP flood攻擊防範的全局觸發閾值 |
icmp-flood threshold threshold-value |
缺省情況下,ICMP flood攻擊防範的全局觸發閾值為1000 |
|
配置ICMP flood攻擊防範的全局處理動作 |
icmp-flood action { drop | logging } * |
缺省情況下,不對檢測到的ICMP flood攻擊采取任何措施 |
|
開啟對IPv4地址的ICMP flood攻擊防範檢測,並配置觸發閾值和處理行為 |
icmp-flood detect ip ip-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ] |
缺省情況下,未對任何指定IPv4地址配置ICMP flood 攻擊防範觸發閾值 |
(7) 配置ICMPv6 flood攻擊防範策略
表1-12 配置ICMPv6 flood攻擊防範策略
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入攻擊防範策略視圖 |
attack-defense policy policy-name |
- |
|
對所有非受保護IPv6地址開啟ICMPv6 flood攻擊防範檢測 |
icmpv6-flood detect non-specific |
缺省情況下,未對任何非受保護IPv6地址開啟ICMPv6 flood攻擊防範檢測 |
|
配置ICMPv6 flood攻擊防範的全局觸發閾值 |
icmpv6-flood threshold threshold-value |
缺省情況下,ICMPv6 flood攻擊防範的全局觸發閾值為1000 |
|
配置ICMPv6 flood攻擊防範的全局處理行為 |
icmpv6-flood action { drop | logging } * |
缺省情況下,不對檢測到的ICMPv6 flood攻擊采取任何防範措施 |
|
開啟對IPv6地址的ICMPv6 flood攻擊防範檢測,並配置觸發閾值和處理行為 |
icmpv6-flood detect ipv6 ipv6-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ] |
缺省情況下,未對任何指定IPv6地址配置ICMPv6 flood攻擊防範檢測 |
(8) 配置UDP flood攻擊防範策略
表1-13 配置UDP flood攻擊防範策略
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入攻擊防範策略視圖 |
attack-defense policy policy-name |
- |
|
對所有非受保護IP地址開啟UDP flood攻擊防範檢測 |
udp-flood detect non-specific |
缺省情況下,未對任何非受保護IP地址開啟UDP flood攻擊防範檢測 |
|
配置UDP flood攻擊防範的全局觸發閾值 |
udp-flood threshold threshold-value |
缺省情況下,UDP flood攻擊防範的全局觸發閾值為1000 |
|
配置UDP flood攻擊防範檢測的全局處理行為 |
udp-flood action { drop | logging } * |
缺省情況下,不對檢測到的UDP flood攻擊進行任何處理 |
|
開啟對IP地址的UDP flood攻擊防範檢測,並配置觸發閾值和處理行為 |
udp-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ] |
缺省情況下,未對任何指定IP地址配置UDP flood攻擊防範檢測 |
(9) 配置DNS flood攻擊防範策略
表1-14 配置DNS flood攻擊防範策略
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入攻擊防範策略視圖 |
attack-defense policy policy-name |
- |
|
對所有非受保護IP地址開啟DNS flood攻擊防範檢測 |
dns-flood detect non-specific |
缺省情況下,未對任何非受保護IP地址開啟DNS flood攻擊防範檢測 |
|
配置DNS flood攻擊防範的全局觸發閾值 |
dns-flood threshold threshold-value |
缺省情況下,DNS flood攻擊防範的全局觸發閾值為1000 |
|
(可選)配置DNS flood攻擊防範的全局檢測端口號 |
dns-flood port port-list |
缺省情況下,DNS flood攻擊防範的全局檢測端口號為53 |
|
配置對DNS flood攻擊防範的全局處理行為 |
dns-flood action { drop | logging } * |
缺省情況下,不對檢測到的DNS flood攻擊采取任何措施 |
|
開啟對IP地址的DNS flood攻擊防範檢測,並配置觸發閾值和處理行為 |
dns-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ] |
缺省情況下,未對任何指定IP地址配置DNS flood攻擊防範檢測 |
(10) 配置HTTP flood攻擊防範策略
表1-15 配置HTTP flood攻擊防範策略
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入攻擊防範策略視圖 |
attack-defense policy policy-name |
- |
|
對所有非受保護IP地址開啟HTTP flood攻擊防範檢測 |
http-flood detect non-specific |
缺省情況下,未對任何非受保護IP地址開啟HTTP flood攻擊防範檢測 |
|
配置HTTP flood攻擊防範的全局觸發閾值 |
http-flood threshold threshold-value |
缺省情況下,HTTP flood攻擊防範的全局觸發閾值為1000 |
|
(可選)配置HTTP flood攻擊防範的全局檢測端口號 |
http-flood port port-list |
缺省情況下,HTTP flood攻擊防範的全局檢測端口號為80 |
|
配置對HTTP flood攻擊防範的全局處理行為 |
http-flood action { drop | logging } * |
缺省情況下,不對檢測到的HTTP flood攻擊采取任何措施 |
|
開啟對IP地址的HTTP flood攻擊防範檢測,並配置觸發閾值和處理行為 |
http-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ] |
缺省情況下,未對任何指定IP地址配置HTTP flood攻擊防範檢測 |
攻擊防範例外列表用於過濾不需要進行攻擊防範檢測的主機報文,與指定的ACL permit規則匹配的報文將不會受到任何類型的攻擊防範檢測。該配置用於過濾某些被信任的安全主機發送的報文,可以有效的減小誤報率,並提高服務器處理效率。例如:攻擊防範功能可能將源IP地址相同,目的地址不同的組播報文(如OSPF、PIM等協議報文)檢測為掃描攻擊,此時可以通過配置例外列表放行組播報文來消除誤報。
需要注意的是,例外列表引用的ACL的permit規則中僅源地址、目的地址、源端口、目的端口、協議號、L3VPN和非首片分片標記參數用於匹配報文。
表1-16 配置攻擊防範例外列表
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入攻擊防範策略視圖 |
attack-defense policy policy-name |
- |
|
配置攻擊防範例外列表 |
exempt acl [ ipv6 ] { acl-number | name acl-name } |
缺省情況下,未配置攻擊防範例外列表 |
通過在接口上應用攻擊防範策略,使已配置的攻擊防範策略在具體的接口上生效。
表1-17 配置在接口上應用攻擊防範策略
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置在接口上應用攻擊防範策略 |
attack-defense apply policy policy-name |
缺省情況下,接口上未應用任何攻擊防範策略 |
通過在本機應用攻擊防範策略,使已配置的攻擊防範策略對目的地址為本機的報文生效。
默認情況下設備對轉發的報文下發給硬件轉發,隻有目的地址是本機的報文才會由軟件處理,但軟件處理沒有攻擊防範功能。因此在設備上,為處理針對本機的攻擊,需要通過在本機上應用攻擊防範策略來實現。
當接口和本機均應用了攻擊防範策略時,先進行接口上攻擊防範策略的檢測,若報文未被丟棄,則還會進行本機上攻擊防範策略的檢測。
表1-18 配置在本機應用攻擊防範策略
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置在本機應用攻擊防範策略 |
attack-defense local apply policy policy-name |
缺省情況下,本機未應用任何攻擊防範策略 |
對日誌進行聚合輸出是指,在一定時間內,對在本機或同一個接口上檢測到的相同攻擊類型、相同攻擊防範動作、相同的源/目的地址以及屬於相同VPN的單包攻擊的所有日誌聚合成一條日誌輸出。
通常不建議開啟單包攻擊防範的日誌非聚合輸出功能,因為在單包攻擊較為頻繁的情況下,它會導致大量日誌信息輸出,占用控製台的顯示資源。
表1-19 配置單包攻擊防範日誌的非聚合輸出功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟對單包攻擊防範日誌的非聚合輸出功能 |
attack-defense signature log non-aggregate |
缺省情況下,單包攻擊防範的日誌信息經係統聚合後再輸出 |
設備上開啟TCP分片攻擊防範功能後,能夠對收到的TCP分片報文的長度以及分片偏移量進行合法性檢測,並丟棄非法的TCP分片報文。
需要注意的是,如果設備上開啟了TCP分片攻擊防範功能,並應用了單包攻擊防範策略,則TCP分片攻擊防範功能會先於單包攻擊防範策略檢測並處理入方向的TCP報文。
表1-20 配置TCP分片攻擊防範
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟TCP分片攻擊防範功能 |
attack-defense tcp fragment enable |
缺省情況下,TCP分片攻擊防範功能處於開啟狀態 |
通過配置IP黑名單功能可以對來自指定IP地址的報文進行過濾。
IP黑名單的配置包括開啟黑名單過濾功能和添加IP黑名單表項。若全局的黑名單過濾功能處於開啟狀態,則所有接口上的IP黑名單過濾功能均處於開啟狀態。若全局的黑名單過濾功能處於關閉狀態,則需要開啟指定接口上的黑名單過濾功能。添加IP黑名單表項的同時可以選擇配置IP黑名單表項的老化時間,若不配置,那麼該IP黑名單表項永不老化,除非用戶手動將其刪除。
IP黑名單表項除了可以手工添加之外,還可以通過掃描攻擊防範自動添加。具體來講就是,在黑名單功能使能的前提下,若配置了掃描攻擊防範策略及相應的IP黑名單添加功能,則可以將檢測到的掃描攻擊方IP地址添加到IP黑名單中。掃描攻擊防範添加的IP黑名單必定會老化,老化時間可配。關於掃描攻擊防範的相關配置請參見“1.5.2 2. 配置掃描攻擊防範策略”。
表1-21 配置IP黑名單
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
(可選)開啟全局黑名單過濾功能 |
blacklist global enable |
缺省情況下,全局黑名單功能處於關閉狀態 |
|
(可選)添加IPv4黑名單表項 |
blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ timeout minutes ] |
缺省情況下,不存在IPv4黑名單表項 |
|
(可選)添加IPv6黑名單表項 |
blacklist ipv6 source-ipv6-address [ vpn-instance vpn-instance-name ] [ timeout minutes ] |
缺省情況下,不存在IPv6黑名單表項 |
|
(可選)使能黑名單日誌功能 |
blacklist logging enable |
缺省情況下,黑名單日誌功能處於關閉狀態 |
Login用戶攻擊防範功能處於開啟狀態時,如果用戶登錄設備連續失敗的次數達到指定次數,則此用戶IP地址將被加入黑名單,在全局黑名單功能開啟的情況下,來自該IP地址的用戶報文將被阻斷指定的時長。
通過Login攻擊防範功能與全局黑名單功能相配合,可以有效防範Login用戶DoS攻擊。
表1-22 配置Login用戶攻擊防範功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟Login用戶攻擊防範功能 |
attack-defense login enable |
缺省情況下,Login用戶攻擊防範功能處於關閉狀態 |
|
配置Login用戶登錄失敗的最大次數 |
attack-defense login max-attempt max-attempt |
缺省情況下,Login用戶登錄失敗的最大次數為3次 |
|
配置Login用戶登錄失敗後阻斷時長 |
attack-defense login block-timeout minutes |
缺省情況下,Login用戶登錄失敗後阻斷時長為60分鍾 |
|
開啟全局黑名單過濾功能 |
blacklist global enable |
缺省情況下,全局黑名單功能處於關閉狀態 |
Login用戶登錄失敗後,若設備上配置了重新進行認證的等待時長,則係統將會延遲一定的時長之後再允許用戶進行認證,可以有效地避免設備受到Login用戶字典序攻擊。
Login用戶延遲認證功能與Login用戶攻擊防範功能無關,隻要配置了延遲認證等待時間,即可生效。
表1-23 配置Login用戶失敗延時認證功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置Login用戶登錄失敗後重新進行認證的等待時長 |
attack-defense login reauthentication-delay seconds |
缺省情況下,Login用戶登錄失敗後重新進行認證不需要等待 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後攻擊檢測及防範的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除攻擊檢測及防範的統計信息。
|
操作 |
命令 |
|
顯示接口上的攻擊防範統計信息(獨立運行模式) |
display attack-defense statistics interface interface-type interface-number [ slot slot-number ] |
|
顯示接口上的攻擊防範統計信息(IRF模式) |
display attack-defense statistics interface interface-type interface-number [ chassis chassis-number slot slot-number ] |
|
顯示本機攻擊防範統計信息(獨立運行模式) |
display attack-defense statistics local [ slot slot-number ] |
|
顯示本機攻擊防範統計信息(IRF模式) |
display attack-defense statistics local [ chassis chassis-number slot slot-number ] |
|
顯示攻擊防範策略的配置信息 |
display attack-defense policy [ policy-name ] |
|
顯示掃描攻擊者的IPv4地址表項(獨立運行模式) |
display attack-defense scan attacker ip [ interface interface-type interface-number [ slot slot-number ] | [ local ] [ slot slot-number ] ] [ count ] |
|
顯示掃描攻擊者的IPv4地址表項(IRF模式) |
display attack-defense scan attacker ip [ interface interface-type interface-number [ chassis chassis-number slot slot-number ] | [ local ] [ chassis chassis-number slot slot-number ] ] [ count ] |
|
顯示掃描攻擊者的IPv6地址表項(獨立運行模式) |
display attack-defense scan attacker ipv6 [ interface interface-type interface-number [ slot slot-number ] | [ local ] [ slot slot-number ] ] [ count ] |
|
顯示掃描攻擊者的IPv6地址表項(IRF模式) |
display attack-defense scan attacker ipv6 [ interface interface-type interface-number [ chassis chassis-number slot slot-number ] | [ local ] [ chassis chassis-number slot slot-number ] ] [ count ] |
|
顯示掃描攻擊被攻擊者的IPv4地址表項(獨立運行模式) |
display attack-defense scan victim ip [ interface interface-type interface-number [ slot slot-number ] | [ local ] [ slot slot-number ] ] [ count ] |
|
顯示掃描攻擊被攻擊者的IPv4地址表項(IRF模式) |
display attack-defense scan victim ip [ interface interface-type interface-number [ chassis chassis-number slot slot-number ] | [ local ] [ chassis chassis-number slot slot-number ] ] [ count ] |
|
顯示掃描攻擊被攻擊者的IPv6地址表項(獨立運行模式) |
display attack-defense scan victim ipv6 [ interface interface-type interface-number [ slot slot-number ] | [ local ] [ slot slot-number ] ] [ count ] |
|
顯示掃描攻擊被攻擊者的IPv6地址表項(IRF模式) |
display attack-defense scan victim ipv6 [ interface interface-type interface-number [ chassis chassis-number slot slot-number ]| [ local ] ] chassis chassis-number slot slot-number ] ] [ count ] |
|
顯示IPv4 flood攻擊防範統計信息(獨立運行模式) |
display attack-defense { ack-flood | dns-flood | fin-flood | flood | http-flood | icmp-flood | rst-flood | syn-ack-flood | syn-flood | udp-flood } statistics ip [ ip-address [ vpn vpn-instance-name ] ] [ count ] [ interface interface-type interface-number [ slot slot-number ] | [ local ] [ slot slot-number ] ] [ count ] |
|
顯示IPv4 flood攻擊防範統計信息(IRF模式) |
display attack-defense { ack-flood | dns-flood | fin-flood | flood | http-flood | icmp-flood | rst-flood | syn-ack-flood | syn-flood | udp-flood } statistics ip [ ip-address [ vpn vpn-instance-name ] ] [ interface interface-type interface-number [ chassis chassis-number slot slot-number | [ local ] [ chassis chassis-number slot slot-number ] ] [ count ] |
|
顯示IPv6 flood攻擊防範統計信息(獨立運行模式) |
display attack-defense { ack-flood | dns-flood | fin-flood | flood | http-flood | icmpv6-flood | rst-flood | syn-ack-flood | syn-flood | udp-flood } statistics ipv6 [ ipv6-address [ vpn vpn-instance-name ] ] [ interface interface-type interface-number [ slot slot-number ] | [ local ] [ slot slot-number ] ] [ count ] |
|
顯示IPv6 flood攻擊防範統計信息(IRF模式) |
display attack-defense { ack-flood | dns-flood | fin-flood | flood | http-flood | icmpv6-flood | rst-flood | syn-ack-flood | syn-flood | udp-flood } statistics ipv6 [ ipv6-address [ vpn vpn-instance-name ] ] [ interface interface-type interface-number [ chassis chassis-number slot slot-number ] | [ local ] [ chassis chassis-number slot slot-number ] ] [ count ] |
|
顯示flood攻擊防範的IPv4類型的受保護IP表項(獨立運行模式) |
display attack-defense policy policy-name { ack-flood | dns-flood | fin-flood | flood | http-flood | icmp-flood | rst-flood | syn-ack-flood | syn-flood | udp-flood } ip [ ip-address [ vpn vpn-instance-name ] ] [ slot slot-number ] [ count ] |
|
顯示flood攻擊防範的IPv4類型的受保護IP表項(IRF模式) |
display attack-defense policy policy-name { ack-flood | dns-flood | fin-flood | flood | http-flood | icmp-flood | rst-flood | syn-ack-flood | syn-flood | udp-flood } ip [ ip-address [ vpn vpn-instance ] ] [ chassis chassis-number slot slot-number ] [ count ] |
|
顯示flood攻擊防範的IPv6類型的受保護IP表項(獨立運行模式) |
display attack-defense policy policy-name { ack-flood | dns-flood | fin-flood | flood | http-flood | icmpv6-flood | rst-flood | syn-ack-flood | syn-flood | udp-flood } ipv6 [ ipv6-address [ vpn vpn-instance-name ] ] [ slot slot-number ] [ count ] |
|
顯示flood攻擊防範的IPv6類型的受保護IP表項(IRF模式) |
display attack-defense policy policy-name { ack-flood | dns-flood | fin-flood | flood | http-flood | icmpv6-flood | rst-flood | syn-ack-flood | syn-flood | udp-flood } ipv6 [ ipv6-address [ vpn vpn-instance-name ] ] [ chassis chassis-number slot slot-number ] [ count ] |
|
顯示IPv4黑名單表項 |
display blacklist ip [ source-ip-address [ vpn-instance vpn-instance-name ] ] [ count ] |
|
顯示IPv6黑名單表項 |
display blacklist ipv6 [ source-ipv6-address [ vpn-instance vpn-instance-name ] ] [ count ] |
|
清除接口上的攻擊防範統計信息 |
reset attack-defense statistics interface interface-type interface-number |
|
清除本機攻擊防範的統計信息 |
reset attack-defense statistics local |
|
清除flood攻擊防範受保護IP表項的統計信息 |
reset attack-defense policy policy-name flood protected { ip | ipv6 } statistics |
|
清除IPv4動態黑名單表項 |
reset blacklist ip { source-ip-address [ vpn-instance vpn-instance-name ] | all } |
|
清除IPv6動態黑名單表項 |
reset blacklist ipv6 { source-ipv6-address [ vpn-instance vpn-instance-name ] | all } |
|
清除黑名單表項的統計信息 |
reset blacklist statistics |
Device上的接口Vlan-interface2與內部網絡連接,接口Vlan-interface3與外部網絡連接,接口Vlan-interface4與一台內部服務器連接。現有如下安全需求:為防範外部網絡對內部網絡主機的Smurf攻擊和掃描攻擊,需要在接口Vlan-interface3上開啟Smurf攻擊防範和掃描攻擊防範。具體要求為:低防範級別的掃描攻擊防範;將掃描攻擊者添加到黑名單中(老化時間為10分鍾);檢測到Smurf攻擊或掃描攻擊後,輸出告警日誌。
# 配置各接口的IP地址,略。
# 開啟全局黑名單過濾功能。
<Device> system-view
[Device] blacklist global enable
# 創建攻擊防範策略a1。
[Device] attack-defense policy a1
# 開啟Smurf單包攻擊報文的特征檢測,配置處理行為為輸出告警日誌。
[Device-attack-defense-policy-a1] signature detect smurf action logging
# 開啟低防範級別的掃描攻擊防範,配置處理行為輸出告警日誌以及阻斷並將攻擊者的源IP地址加入黑名單表項(老化時間為10分鍾)。
[Device-attack-defense-policy-a1] scan detect level low action logging block-source timeout 10
# 在接口Vlan-interface3上應用攻擊防範策略a1。
[Device] interface vlan-interface 3
[Device-Vlan-interface3] attack-defense apply policy a1
[Device-Vlan-interface3] quit
完成以上配置後,可以通過display attack-defense policy命令查看配置的攻擊防範策略a1具體內容。
# 查看攻擊防範策略a1的配置信息。
[Device] display attack-defense policy a1
Attack-defense Policy Information
--------------------------------------------------------------------------
Policy name : a1
Applied list : Vlan3
--------------------------------------------------------------------------
Exempt IPv4 ACL : Not configured
Exempt IPv6 ACL : Not configured
--------------------------------------------------------------------------
Actions: BS-Block source L-Logging D-Drop N-None
Signature attack defense configuration:
Signature name Defense Level Actions
Fragment Disabled low L
Impossible Disabled medium L,D
Teardrop Disabled medium L,D
Tiny fragment Disabled low L
IP option abnormal Disabled medium L,D
Smurf Enabled medium L
Traceroute Disabled low L
Ping of death Disabled medium L,D
Large ICMP Disabled info L
Max length 4000 bytes
Large ICMPv6 Disabled info L
Max length 4000 bytes
TCP invalid flags Disabled medium L,D
TCP null flag Disabled medium L,D
TCP all flags Disabled medium L,D
TCP SYN-FIN flags Disabled medium L,D
TCP FIN only flag Disabled medium L,D
TCP Land Disabled medium L,D
Winnuke Disabled medium L,D
UDP Bomb Disabled medium L,D
UDP Snork Disabled medium L,D
UDP Fraggle Disabled medium L,D
IP option record route Disabled info L
IP option internet timestamp Disabled info L
IP option security Disabled info L
IP option loose source routing Disabled info L
IP option stream ID Disabled info L
IP option strict source routing Disabled info L
IP option route alert Disabled info L
ICMP echo request Disabled info L
ICMP echo reply Disabled info L
ICMP source quench Disabled info L
ICMP destination unreachable Disabled info L
ICMP redirect Disabled info L
ICMP time exceeded Disabled info L
ICMP parameter problem Disabled info L
ICMP timestamp request Disabled info L
ICMP timestamp reply Disabled info L
ICMP information request Disabled info L
ICMP information reply Disabled info L
ICMP address mask request Disabled info L
ICMP address mask reply Disabled info L
ICMPv6 echo request Disabled info L
ICMPv6 echo reply Disabled info L
ICMPv6 group membership query Disabled info L
ICMPv6 group membership report Disabled info L
ICMPv6 group membership reduction Disabled info L
ICMPv6 destination unreachable Disabled info L
ICMPv6 time exceeded Disabled info L
ICMPv6 parameter problem Disabled info L
ICMPv6 packet too big Disabled info L
Scan attack defense configuration:
Defense : Enabled
Level : low
Actions : L,BS(10)
Flood attack defense configuration:
Flood type Global thres(pps) Global actions Service ports Non-specific
SYN flood 1000(default) - - Disabled
ACK flood 1000(default) - - Disabled
SYN-ACK flood 1000(default) - - Disabled
RST flood 1000(default) - - Disabled
FIN flood 1000(default) - - Disabled
UDP flood 1000(default) - - Disabled
ICMP flood 1000(default) - - Disabled
ICMPv6 flood 1000(default) - - Disabled
DNS flood 1000(default) - 53 Disabled
HTTP flood 1000(default) - 80 Disabled
Flood attack defense for protected IP addresses:
Address VPN instance Flood type Thres(pps) Actions Ports
如果接口Vlan-interface3上收到Smurf攻擊報文,設備輸出告警日誌;如果接口Vlan-interface3上收到掃描攻擊報文,設備會輸出告警日誌,並將攻擊者的IP地址加入黑名單。
之後,可以通過display attack-defense statistics interface命令查看各接口上攻擊防範的統計信息。
# 查看接口Vlan-interface3上攻擊防範的統計信息。
[Device] display attack-defense statistics interface Vlan-interface 3
Attack policy name: a1
Scan attack defense statistics:
AttackType AttackTimes Dropped
Port scan 2 0
IP sweep 3 0
Distribute port scan 1 0
Flood attack defense statistics:
AttackType AttackTimes Dropped
No flood attacks detected.
Signature attack defense statistics:
AttackType AttackTimes Dropped
Smurf 1 0
若有掃描攻擊發生,還可以通過display blacklist命令查看由掃描攻擊防範自動添加的黑名單信息。
# 查看由掃描攻擊防範自動添加的黑名單信息。
[Device] display blacklist ip
IP address VPN instance DS-Lite tunnel peer Type TTL(sec) Dropped
5.5.5.5 -- -- Dynamic 600 353452
Switch作為用戶網絡連接外網的網關,通過Vlan-interface1與內部網絡連接,Vlan-interface2與外部網絡連接,要求在Switch上配置防禦功能以避免遭受來自用戶側或者是網絡側的各類網絡攻擊。
· 為防範目的地址為本機的TCP Flag攻擊和低級別掃描攻擊,在設備上開啟TCP Flag攻擊防範和掃描攻擊防範功能:檢測到TCP Flag攻擊或低級別的掃描攻擊後,輸出告警日誌。
· 為防範目的地址為交換機外網接口192.168.2.1/24的SYN flood攻擊,在設備上開啟受保護IP地址的SYN flood攻擊防範。具體要求為:當監測到每秒鍾發送到目的IP地址為受保護IP的SYN報文數持續達到或超過5000時,輸出告警日誌並丟棄攻擊報文。
· 為防範目的地址為交換機內網接口的SYN flood攻擊,在設備上開啟非受保護IP地址的SYN flood攻擊防範。具體要求為:當監測到每秒鍾發送到目的IP地址為本機非受保護IP地址的SYN報文數持續達到或超過2000時,輸出告警日誌。
圖1-2 本機攻擊檢測與防範配置典型組網圖
# 創建攻擊防範策略a1。
[Switch] attack-defense policy a1
# 開啟對多種TCP Flag單包攻擊報文(包括TCP所有標誌位均置位的攻擊報文、TCP僅FIN標誌被置位的攻擊報文、TCP標誌位非法的攻擊報文、TCP標誌位為零的攻擊報文和TCP SYN和FIN標誌位被同時置位的攻擊報文)的特征檢測,配置處理行為為輸出告警日誌。
[Switch-attack-defense-policy-a1] signature detect tcp-all-flags action logging
[Switch-attack-defense-policy-a1] signature detect tcp-fin-only action logging
[Switch-attack-defense-policy-a1] signature detect tcp-invalid-flags action logging
[Switch-attack-defense-policy-a1] signature detect tcp-null-flag action logging
[Switch-attack-defense-policy-a1] signature detect tcp-syn-fin action logging
# 開啟低防範級別的掃描攻擊防範,配置處理行為輸出告警日誌。
[Switch-attack-defense-policy-a1] scan detect level low action logging
# 配置針對外網接口192.168.2.1的SYN flood攻擊防範參數,觸發閾值為5000,處理行為輸出告警日誌並丟棄攻擊報文。
[Switch-attack-defense-policy-a1] syn-flood detect ip 192.168.2.1 threshold 5000 action logging drop
# 配置針對內網接口192.168.1.1的SYN flood攻擊防範參數,觸發閾值為2000,處理行為輸出告警日誌。
[Switch-attack-defense-policy-a1] syn-flood detect non-specific
[Switch-attack-defense-policy-a1] syn-flood threshold 2000
[Switch-attack-defense-policy-a1] syn-flood action logging
[Switch-attack-defense-policy-a1] quit
# 在本機應用攻擊防範策略a1。
[Switch] attack-defense local apply policy a1
完成以上配置後,可以通過display attack-defense policy命令查看配置的攻擊防範策略a1的具體內容。
# 查看攻擊防範策略a1的配置信息。
[Switch] display attack-defense policy a1
Attack-defense Policy Information
--------------------------------------------------------------------------
Policy name : a1
Applied list : Local
--------------------------------------------------------------------------
Exempt IPv4 ACL : Not configured
Exempt IPv6 ACL : Not configured
--------------------------------------------------------------------------
Actions: CV-Client verify BS-Block source L-Logging D-Drop N-None
Signature attack defense configuration:
Signature name Defense Level Actions
Fragment Disabled low L
Impossible Disabled medium L,D
Teardrop Disabled medium L,D
Tiny fragment Disabled low L
IP option abnormal Disabled medium L,D
Smurf Enabled medium L,D
Traceroute Disabled low L
Ping of death Disabled medium L,D
Large ICMP Disabled info L
Max length 4000 bytes
Large ICMPv6 Disabled info L
Max length 4000 bytes
TCP invalid flags Disabled medium L
TCP null flag Disabled medium L
TCP all flags Disabled medium L
TCP SYN-FIN flags Disabled medium L
TCP FIN only flag Disabled medium L
TCP Land Disabled medium L,D
Winnuke Disabled medium L,D
UDP Bomb Disabled medium L,D
UDP Snork Disabled medium L,D
UDP Fraggle Disabled medium L,D
IP option record route Disabled info L
IP option internet timestamp Disabled info L
IP option security Disabled info L
IP option loose source routing Disabled info L
IP option stream ID Disabled info L
IP option strict source routing Disabled info L
IP option route alert Disabled info L
ICMP echo request Disabled info L
ICMP echo reply Disabled info L
ICMP source quench Disabled info L
ICMP destination unreachable Disabled info L
ICMP redirect Disabled info L
ICMP time exceeded Disabled info L
ICMP parameter problem Disabled info L
ICMP timestamp request Disabled info L
ICMP timestamp reply Disabled info L
ICMP information request Disabled info L
ICMP information reply Disabled info L
ICMP address mask request Disabled info L
ICMP address mask reply Disabled info L
ICMPv6 echo request Disabled info L
ICMPv6 echo reply Disabled info L
ICMPv6 group membership query Disabled info L
ICMPv6 group membership report Disabled info L
ICMPv6 group membership reduction Disabled info L
ICMPv6 destination unreachable Disabled info L
ICMPv6 time exceeded Disabled info L
ICMPv6 parameter problem Disabled info L
ICMPv6 packet too big Disabled info L
Scan attack defense configuration:
Defense : Enabled
Level : low
Actions : L
Flood attack defense configuration:
Flood type Global thres(pps) Global actions Service ports Non-specific
SYN flood 2000 L - Enabled
ACK flood 1000(default) - - Disabled
SYN-ACK flood 1000(default) - - Disabled
RST flood 1000(default) - - Disabled
FIN flood 1000(default) - - Disabled
UDP flood 1000(default) - - Disabled
ICMP flood 1000(default) - - Disabled
ICMPv6 flood 1000(default) - - Disabled
DNS flood 1000(default) - 53 Disabled
HTTP flood 1000(default) - 80 Disabled
Flood attack defense for protected IP addresses:
Address VPN instance Flood type Thres(pps) Actions Ports
192.168.2.1 -- SYN-FLOOD 5000 L,D -
如果設備收到目的地址為本機的TCP Flag攻擊報文或掃描攻擊報文,設備會輸出告警日誌;如果設備收到目的地址為受保護IP的SYN flood攻擊報文超過觸發閾值,則設備會輸出告警日誌,同時丟棄攻擊報文;如果設備收到目的地址為本機非受保護IP的SYN flood攻擊報文超過觸發閾值,則設備會輸出告警日誌。
之後,可以通過display attack-defense statistics local命令查看設備上攻擊防範的統計信息。
# 查看設備上攻擊防範的統計信息。
[Swtich] display attack-defense statistics local
Attack policy name: a1
Slot 1:
Scan attack defense statistics:
AttackType AttackTimes Dropped
Port scan 4 0
Flood attack defense statistics:
AttackType AttackTimes Dropped
No flood attacks detected.
Signature attack defense statistics:
AttackType AttackTimes Dropped
TCP invalid flags 116 0
TCP null flag 709 0
TCP all flags 251 0
TCP SYN-FIN flags 46 0
TCP FIN only flag 130 0
網絡管理員通過流量分析發現外部網絡中存在一個攻擊者Host D,需要將來自Host D的報文在Device上永遠過濾掉。另外,網絡管理員為了暫時控製內部網絡Host C的訪問行為,需要將Device上收到的Host C的報文阻止50分鍾。
圖1-3 IP黑名單配置典型組網圖
# 配置各接口的IP地址,略。
# 開啟全局黑名單過濾功能。
<Device> system-view
[Device] blacklist global enable
# 將Host D的IP地址5.5.5.5添加到黑名單列表中,老化時間使用缺省情況(永不老化)。
[Device] blacklist ip 5.5.5.5
# 將Host C的IP地址192.168.1.4添加到黑名單列表中,老化時間為50分鍾。
[Device] blacklist ip 192.168.1.4 timeout 50
完成以上配置後,可以通過display blacklist命令查看已添加的黑名單信息。
<Device> display blacklist ip
IP address VPN instance DS-Lite tunnel peer Type TTL(sec) Dropped
5.5.5.5 -- -- Manual Never 0
192.168.1.4 -- -- Manual 2989 0
配置生效後,Device對來自Host D的報文一律進行丟棄處理,除非管理員認為Host D不再是攻擊者,通過undo blacklist ip 5.5.5.5將其從黑名單中刪除;如果Device接收到來自Host C的報文,則在50分鍾之內,一律對其進行丟棄處理,50分鍾之後,才進行正常轉發。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
