- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-H3C S12500 攻击防御典型配置举例
本章节下载: 06-H3C S12500 攻击防御典型配置举例 (428.79 KB)
H3C S12500攻击防御配置举例
|
Copyright © 2013 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
本文档介绍了链路层、ARP、IP层以及传输层攻击防御的配置举例。
本文档涉及的主要攻击防御类型见表1。
|
攻击防御措施 |
功能描述 |
|
|
链路层攻击防御 |
MAC地址防攻击 |
设定端口可以学习到的最大MAC地址数目,避免被大量源MAC地址频繁变化或者VLAN频繁变化的报文攻击 |
|
STP的防攻击 |
主要的防护措施有BPDU保护、根保护、环路保护、防TC报文攻击、防止STP协议状态混乱 |
|
|
ARP攻击防御 |
ARP源抑制功能 |
用于防止设备被固定源发送的IP报文攻击 |
|
ARP黑洞路由功能 |
用于防止设备被不固定的源发送的IP报文攻击 |
|
|
ARP主动确认功能 |
用于防止攻击者仿冒用户欺骗设备 |
|
|
源MAC地址固定的ARP攻击检测 |
用于防止设备被同一MAC地址源发送的攻击报文攻击 |
|
|
ARP报文源MAC一致性检查功能 |
用于防止设备被以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的报文攻击 |
|
|
IP层攻击防御 |
URPF检查 |
用于防止基于源地址欺骗的网络攻击行为 |
|
TTL报文防攻击 |
通过关闭ICMP超时报文发送功能来避免被攻击者恶意攻击 |
|
|
传输层攻击防御 |
防止Syn-flood攻击 |
当服务器收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文,可以避免在服务器上建立大量的TCP半连接,防止服务器受到SYN Flood攻击 |
|
防止Naptha攻击 |
设备周期性地检测处于各TCP连接状态的TCP连接数,如果检测到某个状态的TCP连接数目超过设定的最大连接数,则加速该状态下TCP连接的老化,降低了服务器遭受Naptha攻击的风险 |
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解本文档中涉及的攻击防御特性。
如图1所示,一个典型的双机热备组网,Switch A、Switch B、Switch C均运行了MSTP协议,网络拓扑稳定后Switch B为根桥,Switch C的GE2/0/1为阻塞端口。
· 通过配置根保护、环路保护和BPDU保护功能,维持Switch A、Switch B和Switch C的端口角色以及网络拓扑的稳定。
· 在Switch A、Switch B和Switch C上使能防TC-BPDU攻击保护,避免发生短时间内大量TC(Topology Change)-BPDU冲击设备的情况。
· 在Switch A和Switch C的接入侧端口上配置端口最大学习MAC数目,避免这些端口因学习大量MAC地址表项而将设备的MAC地址表项资源占用光。
· 在Switch B的用户网络侧端口以及Switch A和Switch C的所有端口上配置组播速率抑制和广播速率抑制功能。端口上的广播或组播流量超过2000后,系统将丢弃超出广播和组播流量限制的报文,从而使接口广播、组播流量所占的比例降低到限定的范围。
根据端口角色来确定需要配置根保护、环路保护和BPDU保护的设备端口。
· 网络中根桥Switch B可能会收到伪造的优先级更高的BPDU,导致Switch B失去根桥的地位。为防止这种情况发生,可在根桥与叶子节点相连的端口GE2/0/1、GE2/0/2上配置根保护功能,使它们只能作为指定端口来转发BPDU,并在收到优先级更高的BPDU时暂时停止转发BPDU。
· Switch C通过接收根桥发送的BPDU来维持GE2/0/1的端口角色为阻塞端口,如果链路发生拥塞或故障,Switch C会因为没有收到根桥的BPDU而重新选择端口角色,使其所有端口变为指定端口并迁移到转发状态,导致环路。因此在Switch C的根端口GE2/0/2上使能环路保护,使该端口在没有收到BPDU时使其所有MSTI处于Discarding状态以避免环路产生。
· Switch A和Switch C是接入层设备,将其连接用户终端的端口(如GE2/0/3)设置为边缘端口(相关命令为stp edged-port enable),以便快速迁移到转发状态。这些连接用户的端口正常情况下是不会收到BPDU的,要避免它们因收到伪造的BPDU而引发生成树重新计算,在边缘端口上配置BPDU保护功能,使它们在收到BPDU时暂时关闭。
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
· 在同一个端口上不允许同时配置根保护功能和环路保护功能。
· 在同一个端口上不允许同时配置环路保护功能和边缘端口功能。
· 请不要在与用户终端相连的端口上使能环路保护功能,否则该端口会因收不到BPDU而导致其所有MSTI将一直处于Discarding状态。
# 配置各接口的IP地址(略)。
# 配置STP BPDU保护。
<SwitchA> system-view
[SwitchA] stp bpdu-protection
[SwitchA] interface GigabitEthernet 2/0/3
[SwitchA-GigabitEthernet2/0/3] undo shutdown
[SwitchA-GigabitEthernet2/0/3] stp edged-port enable
# 配置防TC-BPDU攻击保护。
[SwitchA] stp tc-protection enable
[SwitchA] stp tc-protection threshold 10
# 配置接入侧端口最大学习MAC数目,以GE2/0/3为例。
[SwitchA-GigabitEthernet2/0/3] mac-address max-mac-count 1024
#在所有端口上设置广播速率抑制和组播速率抑制(其中连接用户终端的端口以GE2/0/3为例)。
[SwitchA] interface range GigabitEthernet 2/0/1 to GigabitEthernet 2/0/3
[SwitchA-if-range] undo shutdown
[SwitchA-if-range] broadcast-suppression pps 2000
[SwitchA-if-range] multicast-suppression pps 2000
# 配置各接口的IP地址(略)。
# 在指定端口上配置根保护。
<SwitchB> system-view
[SwitchB] interface GigabitEthernet 2/0/2
[SwitchB-GigabitEthernet2/0/2] undo shutdown
[SwitchB-GigabitEthernet2/0/2] stp root-protection
[SwitchB-GigabitEthernet2/0/2] quit
[SwitchB] interface GigabitEthernet 2/0/1
[SwitchB-GigabitEthernet2/0/1] undo shutdown
[SwitchB-GigabitEthernet2/0/1] stp root-protection
[SwitchB-GigabitEthernet2/0/1] quit
# 配置防TC-BPDU攻击保护。
[SwitchB] stp tc-protection enable
[SwitchB] stp tc-protection threshold 10
#在端口上设置广播速率抑制和组播速率抑制。
[SwitchB] interface range GigabitEthernet 2/0/1 to GigabitEthernet 2/0/2
[SwitchB-if-range] broadcast-suppression pps 2000
[SwitchB-if-range] multicast-suppression pps 2000
# 配置各接口的IP地址(略)。
# 配置STP BPDU保护。
<SwitchC> system-view
[SwitchC] stp bpdu-protection
[SwitchC] interface GigabitEthernet 2/0/3
[SwitchC-GigabitEthernet2/0/3] undo shutdown
[SwitchC-GigabitEthernet2/0/3] stp edged-port enable
#在指定端口上进行配置根保护。
<SwitchC> system-view
[SwitchC] interface GigabitEthernet 2/0/1
[SwitchC-GigabitEthernet2/0/1] undo shutdown
[SwitchC-GigabitEthernet2/0/1] stp root-protection
[SwitchC-GigabitEthernet2/0/1] quit
# 在根端口上配置环路保护。
[SwitchC] interface GigabitEthernet 2/0/2
[SwitchC-GigabitEthernet2/0/2] undo shutdown
[SwitchC-GigabitEthernet2/0/2] stp loop-protection
[SwitchC-GigabitEthernet2/0/2] quit
# 配置防TC-BPDU攻击保护。
[SwitchC] stp tc-protection enable
[SwitchC] stp tc-protection threshold 10
# 配置端口最大学习MAC数目,以G2/0/3为例。
[SwitchC-GigabitEthernet2/0/3] mac-address max-mac-count 1024
#在所有端口上设置广播速率抑制和组播速率抑制(其中连接用户终端的端口以GE2/0/3为例)。
[SwitchC] interface range GigabitEthernet 2/0/1 to GigabitEthernet 2/0/3
[SwitchC-if-range] broadcast-suppression pps 2000
[SwitchC-if-range] multicast-suppression pps 2000
向接入侧GE2/0/3发送STP BPDU报文,会导致收到报文的端口被shutdown,在shutdown之后可以通过手动的undo shutdown恢复端口的UP状态;向指定端口发送优先级更高的STP报文,根端口不会发生变化,STP拓扑状态保持稳定;向设备频繁发送大量变化的TC报文,设备不会频繁重复刷新FIB,不会导致转发丢包严重;向接入侧GE2/0/3发送大量广播报文,上行端口上广播报文不会泛滥,在控制的范围之内。
· SwitchA
#
stp bpdu-protection
stp tc-protection enable
stp tc-protection threshold 10
#
interface GigabitEthernet 2/0/1
port link-mode bridge
broadcast-suppression pps 2000
multicast-suppression pps 2000
#
interface GigabitEthernet 2/0/2
port link-mode bridge
broadcast-suppression pps 2000
multicast-suppression pps 2000
#
interface GigabitEthernet 2/0/3
port link-mode bridge
mac-address max-mac-count 1024
stp edged-port enable
broadcast-suppression pps 2000
multicast-suppression pps 2000
#
· SwitchB
#
stp tc-protection enable
stp tc-protection threshold 10
#
interface GigabitEthernet 2/0/1
port link-mode bridge
stp root-protection
broadcast-suppression pps 2000
multicast-suppression pps 2000
#
interface GigabitEthernet 2/0/2
port link-mode bridge
stp root-protection
broadcast-suppression pps 2000
multicast-suppression pps 2000
#
interface GigabitEthernet 2/0/3
port link-mode bridge
stp edged-port enable
#
· SwitchC
#
stp bpdu-protection
stp tc-protection enable
stp tc-protection threshold 10
#
interface GigabitEthernet 2/0/1
port link-mode bridge
stp root-protection
broadcast-suppression pps 2000
multicast-suppression pps 2000
#
interface GigabitEthernet 2/0/2
port link-mode bridge
stp loop-protection
broadcast-suppression pps 2000
multicast-suppression pps 2000
#
interface GigabitEthernet 2/0/3
port link-mode bridge
mac-address max-mac-count 1024
broadcast-suppression pps 2000
multicast-suppression pps 2000
#
如图2所示,Switch A和Switch B组成VRRP备份组,要求在Switch A和Switch B上配置防御功能来抵御各种常见ARP攻击。
图2 ARP攻击防御组网图
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
# 配置各接口的IP地址(略)。
# 配置ARP源抑制功能,并配置ARP源抑制的阈值为8(缺省为10),以避免设备被固定源发送的IP报文攻击。
<SwitchA> system-view
[SwitchA] arp source-suppression enable
[SwitchA] arp source-suppression limit 8
# 配置ARP黑洞路由功能,以避免设备被不固定的源发送的IP报文攻击。
[SwitchA] arp resolving-route enable
# 配置ARP主动确认功能,以避免攻击者仿冒用户欺骗设备。
[SwitchA] arp anti-attack active-ack enable
# 配置源MAC地址固定的ARP攻击检测功能,过滤非法报文,以避免设备被同一MAC地址源发送的攻击报文攻击。
[SwitchA] arp anti-attack source-mac filter
[SwitchA] arp anti-attack source-mac threshold 25
# 配置ARP报文源MAC一致性检查功能,以避免设备被以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的报文攻击。
[SwitchA] arp anti-attack valid-check enable
# 配置各接口的IP地址(略)。
# 配置ARP源抑制,并配置ARP源抑制的阈值为8(缺省为10),以避免设备被固定源发送的IP报文攻击。
<SwitchB> system-view
[SwitchB] arp source-suppression enable
[SwitchB] arp source-suppression limit 8
# 配置ARP黑洞路由功能,以避免设备被不固定的源发送的IP报文攻击。
[SwitchB] arp resolving-route enable
# 配置ARP主动确认功能,以避免攻击者仿冒用户欺骗设备。
[SwitchB] arp anti-attack active-ack enable
# 配置源MAC地址固定的ARP攻击检测功能,过滤非法报文,以避免设备被同一MAC地址源发送的攻击报文攻击。
[SwitchB] arp anti-attack source-mac filter
[SwitchB] arp anti-attack source-mac threshold 25
# 配置ARP报文源MAC一致性检查功能,以避免设备被以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的报文攻击。
[SwitchB] arp anti-attack valid-check enable
向设备发送各种ARP攻击报文,设备不会出现CPU利用率偏高的情况,不影响其他业务模块运行。
以ARP源抑制功能为例,伪造20个源IP地址固定,目标IP地址不能解析的IP报文,同时发送给设备,由这些IP报文触发的ARP请求报文超过8个后,对于由此IP地址发出的IP报文,设备不允许其触发ARP请求。
# 显示当前ARP源抑制的配置信息。
<Sysname> display arp source-suppression
ARP source suppression is enabled
Current suppression limit: 8
Current cache length: 16
· SwitchA
#
arp source-suppression enable
arp source-suppression limit 8
arp resolving-route enable
arp anti-attack active-ack enable
arp anti-attack source-mac filter
arp anti-attack source-mac threshold 25
#
· SwitchB
#
arp source-suppression enable
arp source-suppression limit 8
arp resolving-route enable
arp anti-attack active-ack enable
arp anti-attack source-mac filter
arp anti-attack source-mac threshold 25
#
如图3所示,Switch A作为用户网络连接外网的网关,Switch A可能会遭受来自用户侧或者是网络侧的IP报文攻击,要求在Switch A上配置防御功能以避免设备被各类IP报文攻击。
图3 IP层攻击防御基础配置图
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
在关闭ICMP超时报文发送功能后,Traceroute功能将不可用。
# 配置URPF,以避免设备被一系列带有伪造源地址的报文攻击。
[SwitchA] interface vlan-interface 100
[SwitchA-Vlan-interface100] ip urpf strict
[SwitchA-Vlan-interface100] quit
[SwitchA] vlan 200
[SwitchA-vlan] port GigabitEthernet 2/0/2
[SwitchA-vlan] quit
[SwitchA] interface GigabitEthernet 2/0/2
[SwitchA-GigabitEthernet2/0/2] undo shutdown
[SwitchA-GigabitEthernet2/0/2] quit
[SwitchA] interface vlan-interface 200
[SwitchA-Vlan-interface200] undo shutdown
[SwitchA-Vlan-interface200] ip address 202.101.0.2 255.255.255.0
[SwitchA-Vlan-interface200] ip urpf strict
[SwitchA-Vlan-interface200] quit
# 关闭ICMP超时报文发送功能(缺省为关闭),以避免设备被大量TTL等于1的报文攻击。
[SwitchA] undo ip ttl-expires
用PC对设备发送TTL为1的报文,会发现报文被设备直接丢弃,PC端不会收到TTL超时的ICMP报文;对设备发送一系列带有伪造源地址的报文,这些报文被过滤,设备没有遭到源地址欺骗攻击。
#
vlan 100
#
vlan 200
#
interface Vlan-interface100
ip address 192.168.0.1 255.255.255.0
#
interface Vlan-interface200
ip address 202.101.0.2 255.255.255.0
#
interface GigabitEthernet2/0/1
port access vlan 100
#
interface GigabitEthernet2/0/2
port access vlan 200
#
interface Vlan-interface100
ip address 192.168.0.1 255.255.255.0
ip urpf strict
#
如图4所示,Switch A作为用户网络的网关,可能会遭受来自传输层的攻击(如Syn-flood攻击和Naptha攻击)。要求在Switch A上配置SYN Cookie功能和防止Naptha攻击功能,使设备可以抵御这两种攻击,不会出现BGP等协议无法使用的情况。
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
# 配置各接口的IP地址(略)。
# 使能SYN Cookie功能。当服务器收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文。服务器接收到发起者回应的ACK报文后,才建立连接。
<SwitchA> system-view
[SwitchA] tcp syn-cookie enable
# 使能防止Naptha攻击功能。
[SwitchA] tcp anti-naptha enable
在接入侧或者网络侧,向设备发送大量目的端口为BGP协议所用端口的协议报文,会发现BGP 协议可以正常使用,另外发送大量Naptha的攻击报文,设备不会出现异常,仍然可以正常运行, BGP 协议可以正常使用。
#
tcp syn-cookie enable
tcp anti-naptha enable
#
· 《H3C S12500系列路由交换机 二层技术-以太网交换配置指导》中的“MSTP”
· 《H3C S12500系列路由交换机 二层技术-以太网交换命令参考》中的“MSTP”
· 《H3C S12500系列路由交换机 安全配置指导》中的“ARP攻击防御”
· 《H3C S12500系列路由交换机 安全命令参考》中的“ARP攻击防御”
· 《H3C S12500系列路由交换机 三层技术-IP业务配置指导》中的“IPv6基础”
· 《H3C S12500系列路由交换机 三层技术-IP业务命令参考》中的“IPv6基础”
· 《H3C S12500系列路由交换机 三层技术-IP业务配置指导》中的“IP性能优化”
· 《H3C S12500系列路由交换机 三层技术-IP业务命令参考》中的“IP性能优化”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
