国家 / 地区

11-安全配置指导

17-攻击检测及防范配置

本章节下载  (248.25 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Operation_Manual/H3C_MSR_CG-Release_2104(V1.10)/11/201311/803430_30005_0.htm

17-攻击检测及防范配置


1 攻击防范配置

1.1  攻击防范简介

攻击防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施,例如输出告警日志、丢弃报文或加入黑名单。

本特性能够检测包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击,并能对各类型攻击采取合理的防范措施。除此之外,该特性还支持流量统计功能,基于接口对IP报文流量进行分析和统计。

1.1.1  设备能够防范的网络攻击类型

根据攻击报文表现出的不同特征,设备可以防范的网络攻击类型可以划分为以下三大类:单包攻击、扫描攻击和泛洪攻击。

1. 单包攻击

单包攻击也称为畸形报文攻击。攻击者通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃,给目标系统带来损失,或者通过发送大量无用报文占用网络带宽等行为来造成攻击。

设备可以对表1-1中所列的各单包攻击行为进行有效防范。

表1-1 单包攻击类型及说明列表

单包攻击类型

说明

Fraggle

攻击者通过向目标网络发送UDP端口为7的ECHO报文或者UDP端口为19的Chargen报文,令网络产生大量无用的应答报文,占满网络带宽,达到攻击目的。

ICMP Redirect

攻击者向用户发送ICMP重定向报文,更改用户主机的路由表,干扰用户主机正常的IP报文转发。

ICMP Unreachable

某些系统在收到不可达的ICMP报文后,对于后续发往此目的地的报文判断为不可达并切断对应的网络连接。攻击者通过发送ICMP不可达报文,达到切断目标主机网络连接的目的。

LAND

攻击者向目标主机发送大量源IP地址和目的IP地址都是目标主机自身的TCP SYN报文,使得目标主机的半连接资源耗尽,最终不能正常工作。

Large ICMP

某些主机或设备收到超大的报文,会引起内存分配错误而导致协议栈崩溃。攻击者通过发送超大ICMP报文,让目标主机崩溃,达到攻击目的。

Route Record

攻击者利用IP报文中的Route Record路由选项对网络结构进行探测。

Smurf

攻击者向目标网络发送ICMP应答请求,该请求包的目的地址设置为目标网络的广播地址,这样该网络中的所有主机都会对此ICMP应答请求作出答复,导致网络阻塞,从而达到令目标网络中主机拒绝服务的攻击目的。

Source Route

攻击者利用IP报文中的Source Route路由选项对网络结构进行探测。

TCP Flag

不同操作系统对于非常规的TCP标志位有不同的处理。攻击者通过发送带有非常规TCP标志的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的。

Tracert

攻击者连续发送TTL从1开始递增的目的端口号较大的UDP报文,报文每经过一个路由器,其TTL都会减1,当报文的TTL为0时,路由器会给报文的源IP设备发送一个TTL超时的ICMP报文,攻击者借此来探测网络的拓扑结构。

WinNuke

攻击者向安装(或使用)Windows系统的特定目标的NetBIOS端口(139)发送OOB(out-of-band)数据包,这些攻击报文的指针字段与实际的位置不符,从而引起一个NetBIOS片断重叠,致使已与其他主机建立连接的目标主机在处理这些数据的时候系统崩溃。

 

2. 扫描攻击

扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备。

3. 泛洪攻击

泛洪攻击是指,攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,而无法为合法用户提供正常服务,即发生拒绝服务。

设备支持对以下三种泛洪攻击进行有效防范:

l              SYN Flood攻击

由于资源的限制,TCP/IP协议栈只能允许有限个TCP连接。SYN Flood攻击者向服务器发送伪造源地址的SYN报文,服务器在回应SYN ACK报文后,由于目的地址是伪造的,因此服务器不会收到相应的ACK报文,从而在服务器上产生一个半连接。若攻击者发送大量这样的报文,被攻击服务器上会出现大量的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时。

l              ICMP Flood攻击

ICMP Flood攻击是指,攻击者在短时间内向特定目标发送大量的ICMP请求报文(例如ping报文),使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。

l              UDP Flood攻击

UDP Flood攻击是指,攻击者在短时间内向特定目标发送大量的UDP报文,致使目标系统负担过重而不能处理正常的业务。

1.1.2  黑名单功能

黑名单功能是根据报文的源IP地址进行报文过滤的一种攻击防范特性。同基于ACL(Access Control List,访问控制列表)的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤,从而有效地将特定IP地址发送来的报文屏蔽掉。

黑名单最主要的一个特色是可以由设备动态地进行添加或删除,这种动态添加是与扫描攻击防范功能配合实现的。具体实现是,当设备根据报文的行为特征检测到某特定IP地址的扫描攻击企图之后,便将攻击者的IP地址自动加入黑名单,之后该IP地址发送的报文会被设备过滤掉。该方式生成的黑名单表项会在一定的时间之后老化。

除上面所说的动态方式之外,设备还支持手动方式添加或删除黑名单。手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项建立后,一直存在,除非用户手工删除该表项。非永久黑名单表项的老化时间由用户指定,超出老化时间后,设备会自动将该黑名单表项删除,黑名单表项对应的IP地址发送的报文即可正常通过。

1.1.3  流量统计功能

流量统计功能主要用于对内外部网络之间的会话建立情况进行统计与分析,具有一定的实时性,可帮助网络管理员及时掌握网络中各类型会话的统计值,并可作为制定攻击防范策略的一个有效依据。比如,通过分析外部网络向内部网络发起的TCP或UDP会话建立请求总数是否超过设定的阈值,可以确定是否需要限制该方向的新建会话,或者限制向内部网络某一IP地址发起新建会话。

目前,设备支持的流量统计项包括:

l              总会话数

l              新建会话的速率

l              TCP会话数

l              半开状态的TCP会话数

l              半闭状态的TCP会话数

l              TCP会话的创建速率

l              UDP会话数

l              UDP会话的创建速率

l              ICMP会话数

l              ICMP会话的创建速率

l              RAW IP会话数

l              RAW IP会话的创建速率

l    会话创建速率的统计周期为5秒,因此设备上显示的统计值为距离当前时刻最近的一个周期内的会话创建速率统计值。

l    流量统计功能并不关心会话的状态(除TCP的半开和半闭状态),只要有会话创建,那么会话数目的统计值就加1,同理,只要有会话被删除,该统计值就减1。

 

1.2  攻击防范配置任务简介

攻击防范的配置任务从功能上可划分为表1-2所列的三大类。

l              配置接口上的攻击防范功能首先需要创建一个攻击防范策略,然后在该策略中配置具体类型的攻击防范特性,比如Smurf攻击防范、扫描攻击防范、泛洪攻击防范,最后再将该策略应用到具体的接口上。各类型的攻击防范功能之间没有先后顺序,用户可以根据实际需求进行配置。

l              黑名单功能既可单独使用,也可以与接口上的扫描攻击防范功能配合使用。

l              流量统计功能可单独使用。

表1-2 攻击防范配置任务简介

配置任务

说明

详细配置

配置接口上的攻击防范

创建攻击防范策略

必选

1.3.1 

配置攻击防范策略

配置单包攻击防范策略

必选

可根据实际组网需求,配置其中的一种或多种

1.3.2  1.

配置扫描攻击防范策略

1.3.2  2.

配置泛洪攻击防范策略

1.3.2  3.

在接口上应用攻击防范策略

必选

1.3.3 

配置黑名单

可选

1.4 

配置接口上流量统计

可选

1.5 

 

1.3  配置接口上的攻击防范

1.3.1  创建攻击防范策略

在配置攻击防范之前,必须首先创建一个攻击防范策略,并进入该攻击防范策略视图。在该视图下,可以定义一个或多个用于检测攻击的特征项,以及对检测到的攻击报文所采取的防范措施。

在创建攻击防范策略的同时,还可以指定独享该策略的接口,即,该策略仅能被应用在这一个指定的接口上。

表1-3 创建攻击防范策略

配置步骤

命令

说明

进入系统视图

system-view

-

创建一个攻击防范策略,并进入攻击防范策略视图

attack-defense policy policy-number [ interface interface-type interface-number ]

必选

缺省情况下,不存在任何攻击防范策略

 

1.3.2  配置攻击防范策略

在一个攻击防范策略中,可以根据实际的网络安全需求来配置策略中的具体内容,主要包括针对攻击类型指定检测条件及采取的防范措施。

不同类型的攻击防范策略在配置内容上有所不同,下面将按照攻击类型(单包攻击、扫描攻击、泛洪攻击)分别进行介绍。

1. 配置单包攻击防范策略

单包攻击防范主要通过分析经过设备的报文特征来判断报文是否具有攻击性,一般应用在设备连接外部网络的接口上,且仅对应用了攻击防范策略的接口上的入方向报文有效。若设备检测到某报文具有攻击性,则默认会输出告警日志,另外还可以根据配置将检测到的攻击报文做丢弃处理。

表1-4 配置单包攻击防范策略

配置步骤

命令

说明

进入系统视图

system-view

-

进入攻击防范策略视图

attack-defense policy policy-number

-

使能对单包攻击的特征检测

signature-detect { fraggle | icmp-redirect | icmp-unreachable | land | large-icmp | route-record | smurf | source-route | tcp-flag | tracert | winnuke } enable

必选

缺省情况下,所有类型的单包攻击的特征检测均处于未使能状态

配置启动Large ICMP攻击防范的ICMP报文的长度阈值

signature-detect large-icmp max-length length

可选

缺省情况下,ICMP报文的长度阈值为4000字节

配置对单包攻击报文的处理方式为丢弃

signature-detect action drop-packet

可选

缺省情况下,仅输出告警日志

 

2. 配置扫描攻击防范策略

扫描攻击防范主要通过监测网络使用者向目标系统发起连接的速率,来检测其探测行为,一般应用在设备连接外部网络的接口上,且仅对应用了攻击防范策略的接口上的入方向报文有效。若设备监测到某IP地址主动发起的连接速率达到或超过了一定阈值,则会输出告警日志并丢弃来自该IP地址的后续报文,还可以根据配置将检测到的攻击者的源IP地址加入黑名单。

表1-5 配置扫描攻击防范策略

配置步骤

命令

说明

进入系统视图

system-view

-

进入攻击防范策略视图

attack-defense policy policy-number

-

使能扫描攻击防范

defense scan enable

必选

缺省情况下,扫描攻击防范处于未使能状态

配置启动扫描攻击防范的连接速率阈值

defense scan max-rate rate-number

可选

缺省情况下,启动扫描攻击防范的连接速率阈值为每秒4000个连接数

配置检测到扫描攻击后的黑名单功能

使能扫描攻击防范的黑名单添加功能

defense scan add-to-blacklist

可选

缺省情况下,扫描攻击防范的黑名单添加功能处于未使能状态

配置扫描攻击防范添加的黑名单的老化时间

defense scan blacklist-timeout minutes

可选

缺省情况下,黑名单的老化时间为10分钟

 

要使扫描攻击防范的黑名单添加功能生效,必须首先通过命令blacklist enable使能黑名单功能。黑名单添加功能生效后,攻击防范模块才会将扫描攻击者的源IP地址添加到黑名单中,并对来自该IP地址的报文做丢弃处理。

 

3. 配置泛洪攻击防范策略

泛洪攻击防范主要用于保护服务器,通过监测向服务器发起连接请求的速率或者服务器上建立的半连接数量,来检测各类泛洪攻击,一般应用在设备连接内部网络的接口上,且仅对应用了攻击防范策略的接口上的出方向报文有效。若设备监测结果显示向某服务器发起的连接请求的速率达到或超过了一定阈值,或服务器上建立的半连接数量达到或超过了一定数量(仅SYN Flood攻击防范支持半连接数限制),则默认会输出告警日志,另外还可以根据配置对后续新建连接的报文进行丢弃处理。

为保护指定IP地址的对象,攻击防范策略中支持基于IP地址的攻击防范配置。对于没有专门配置攻击防范策略的对象,则采用全局的参数设置来进行保护。

(1)        SYN Flood攻击防范策略

表1-6 配置SYN Flood攻击防范策略

配置步骤

命令

说明

进入系统视图

system-view

-

进入攻击防范策略视图

attack-defense policy policy-number

-

使能SYN Flood攻击防范

defense syn-flood enable

必选

缺省情况下,SYN Flood攻击防范处于未使能状态

配置启动SYN Flood攻击防范的全局参数(半连接数阈值、连接速率阈值)

defense syn-flood { max-half-connections half-connections | max-rate rate-number }*

可选

缺省情况下,启动SYN Flood攻击防范的半连接数阈值为10000,连接速率阈值为每秒1000个连接数

对指定IP地址配置SYN Flood攻击防范

defense syn-flood ip ip-address [ max-half-connections half-connections | max-rate rate-number ]

可选

缺省情况下,未对任何指定IP地址配置SYN Flood攻击防范

配置对SYN Flood攻击报文的处理方式为丢弃

defense syn-flood action drop-packet

可选

缺省情况下,仅输出告警日志

 

(2)        ICMP Flood攻击防范策略

表1-7 配置ICMP Flood攻击防范策略

配置步骤

命令

说明

进入系统视图

system-view

-

进入攻击防范策略视图

attack-defense policy policy-number

-

使能ICMP Flood攻击防范

defense icmp-flood enable

必选

缺省情况下,ICMP Flood攻击防范处于未使能状态

配置启动ICMP Flood攻击防范的全局连接速率阈值

defense icmp-flood max-rate rate-number

可选

缺省情况下,启动ICMP Flood攻击防范的全局连接速率阈值为每秒1000个连接数

对指定IP地址配置ICMP Flood攻击防范

defense icmp-flood ip ip-address [ max-rate rate-number ]

可选

缺省情况下,未对任何指定IP地址配置ICMP Flood攻击防范

配置对ICMP Flood攻击报文的处理方式为丢弃

defense icmp-flood action drop-packet

可选

缺省情况下,仅输出告警日志

 

(3)        UDP Flood攻击防范策略

表1-8 配置UDP Flood攻击防范策略

配置步骤

命令

说明

进入系统视图

system-view

-

进入攻击防范策略视图

attack-defense policy policy-number

-

使能UDP Flood攻击防范

defense udp-flood enable

必选

缺省情况下,UDP Flood攻击防范处于未使能状态

配置启动UDP Flood攻击防范的全局连接速率阈值

defense udp-flood max-rate rate-number

可选

缺省情况下,启动UDP Flood攻击防范的全局连接速率阈值为每秒1000个连接数

对指定IP地址配置UDP Flood攻击防范

defense udp-flood ip ip-address [ max-rate rate-number ]

可选

缺省情况下,未对任何指定IP地址配置UDP Flood攻击防范

配置对UDP Flood攻击报文的防范动作为丢包

defense udp-flood action drop-packet

可选

缺省情况下,仅输出告警日志

 

1.3.3  在接口上应用攻击防范策略

通过下面的配置,使已配置的攻击防范策略在具体的接口上生效。

表1-9 配置在接口上应用攻击防范策略

配置步骤

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置在接口上应用攻击防范策略

attack-defense apply policy policy-number

必选

缺省情况下,接口上未应用任何攻击防范策略

在接口上应用的攻击防范策略必须是已经存在的

 

1.4  配置黑名单

通过配置黑名单功能可以对来自指定IP地址的报文进行过滤。

黑名单的配置包括使能黑名单功能和添加黑名单表项。添加黑名单表项的同时可以选择配置黑名单表项的老化时间,若不配置,那么该黑名单表项永不老化,除非用户手动将其删除。

表1-10 配置黑名单

配置步骤

命令

说明

进入系统视图

system-view

-

使能黑名单功能

blacklist enable

必选

缺省情况下,黑名单功能处于未使能状态

添加黑名单表项

blacklist ip source-ip-address [ timeout minutes ]

可选

扫描攻击防范功能可以自动添加黑名单表项

 

黑名单表项除了可以手工添加之外,还可以通过扫描攻击防范自动添加。具体来讲就是,在黑名单功能使能的前提下,若配置了扫描攻击防范及相应的黑名单添加功能,则可以将检测到的扫描攻击方IP地址添加到黑名单中。扫描攻击防范添加的黑名单必定会老化,老化时间可配。关于扫描攻击防范的相关配置请参见“1.3.2  2. 配置扫描攻击防范策略”。

 

1.5  配置接口上的流量统计

为了得到接口上的流量统计信息,需要通过下面的配置在具体接口上使能流量统计。设备支持两种方式的流量统计功能:

l              基于接口入方向/出方向的流量统计:对接口上收到或发送的报文进行流量统计。

l              基于源IP地址/目的IP地址的流量统计:对接口上收到的报文按照源IP地址进行流量统计,或对接口上发送的报文按照目的IP地址进行流量统计。

表1-11 使能接口上的流量统计功能

配置步骤

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

使能接口上的流量统计功能

flow-statistics enable { destination-ip | inbound | outbound | source-ip }

必选

缺省情况下,未使能任何类型的流量统计

 

1.6  攻击防范的显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后攻击防范的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,执行reset命令可以清除攻击防范的统计信息。

表1-12 攻击防范配置的显示和维护

操作

命令

显示接口上的攻击防范统计信息

display attack-defense statistics interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]

显示攻击防范策略的配置信息

display attack-defense policy [ policy-number ] [ | { begin | exclude | include } regular-expression ]

显示黑名单信息

display blacklist { all | ip sour-address } [ | { begin | exclude | include } regular-expression ]

显示接口上的流量统计信息

display flow-statistics statistics interface interface-type interface-number { inbound | outbound } [ | { begin | exclude | include } regular-expression ]

显示接口上基于IP地址的流量统计信息

display flow-statistics statistics { destination-ip dest-ip-address | source-ip ip-address } [ vpn-instance vpn-name ] [ | { begin | exclude | include } regular-expression ]

清除接口上的攻击防范统计信息

reset attack-defense statistics interface interface-type interface-number

 

1.7  攻击防范典型配置举例

1.7.1  配置接口上的攻击防范

1. 组网需求

Router上的接口GigbitEthernet1/1与内部网络连接,接口GigbitEthernet1/2与外部网络连接,接口GigbitEthernet1/3与一台内部服务器连接。现有如下安全需求:

l              防范外部网络对内部网络主机的Smurf攻击和扫描攻击;

l              防范外部网络对内部服务器的SYN Flood攻击。

为满足以上需求,需要在Router上做如下配置:

l              在接口GigabitEthernet1/2上配置Smurf攻击防范和扫描攻击防范,设置扫描攻击防范的黑名单添加功能,并配置启动扫描攻击防范的连接速率阈值为每秒4500个连接数。

l              在接口GigabitEthernet1/3上配置SYN Flood攻击防范,根据服务器的实际性能,配置服务器允许的最大新建连接速率为每秒5000个连接数,当检测到攻击后阻断发往该服务器的后续连接。

2. 组网图

图1-1 接口上的攻击防范配置典型组网图

 

3. 配置步骤

# 配置各接口的IP地址,略。

# 使能黑名单功能。

<Router> system-view

[Router] blacklist enable

# 创建攻击防范策略1。

[Router] attack-defense policy 1

# 使能Smurf攻击防范。

[Router-attack-defense-policy-1] signature-detect smurf enable

# 使能扫描攻击防范。

[Router-attack-defense-policy-1] defense scan enable

# 配置启动扫描攻击防范的连接速率阈值为4500。

[Router-attack-defense-policy-1] defense scan max-rate 4500

# 将扫描攻击防范检测到的源IP地址加入黑名单。

[Router-attack-defense-policy-1] defense scan add-to-blacklist

[Router-attack-defense-policy-1] quit

# 在接口GigabitEthernet1/2上应用攻击防范策略1

[Router] interface gigabitethernet 1/2

[Router-GigabitEthernet1/2] attack-defense apply policy 1

[Router-GigabitEthernet1/2] quit

# 创建攻击防范策略2。

[Router] attack-defense policy 2

# 使能SYN Flood攻击防范。

[Router-attack-defense-policy-2] defense syn-flood enable

# 为保护IP地址为10.1.1.2的内部服务器,配置针对IP地址10.1.1.2的SYN Flood攻击防范,连接速率阈值为每秒5000个连接数。

[Router-attack-defense-policy-2] defense syn-flood ip 10.1.1.2 max-rate 5000

# 配置发现SYN Flood攻击后,对后续报文进行丢弃处理。

[Router-attack-defense-policy-2] defense syn-flood action drop-packet

[Router-attack-defense-policy-2] quit

# 在接口GigabitEthernet1/3上应用攻击防范策略2。

[Router] interface gigabitethernet 1/3

[Router-GigabitEthernet1/3] attack-defense apply policy 2

[Router-GigabitEthernet1/3] quit

4. 验证配置结果

完成以上配置后,可以通过display attack-defense policy命令查看配置的攻击防范策略1和2的具体内容。

如果接口GigabitEthernet1/2收到Smurf攻击报文,设备输出告警日志;如果接口GigabitEthernet1/2上收到扫描攻击报文,设备输出告警日志,并将攻击者的IP加入黑名单;如果接口GigabitEthernet1/3上收到SYN Flood攻击报文,设备输出告警日志,并对后续报文进行丢弃处理。

之后,可以通过display attack-defense statistics interface命令查看各接口上攻击防范的统计信息。若有扫描攻击发生,还可以通过display blacklist命令查看由扫描攻击防范自动添加的黑名单信息。

1.7.2  配置黑名单

1. 组网需求

网络管理员通过流量分析发现外部网络中存在一个攻击者Host D,需要将来自Host D的报文在Router上永远过滤掉。另外,网络管理员为了暂时控制内部网络Host C的访问行为,需要将Router上收到的Host C的报文阻止50分钟。

2. 组网图

图1-2 黑名单配置典型组网图

 

3. 配置步骤

# 配置各接口的IP地址,略。

# 使能黑名单功能。

<Router> system-view

[Router] blacklist enable

# 将Host D的IP地址5.5.5.5添加到黑名单中,缺省永不老化。

[Router] blacklist ip 5.5.5.5

# 将Host C的IP地址192.168.1.4添加到黑名单中,老化时间为50分钟。

[Router] blacklist ip 192.168.1.4 timeout 50

4. 验证配置结果

完成以上配置后,可以通过display blacklist all命令查看已添加的黑名单信息。

[Router] display blacklist all

                    Blacklist IP information

-------------------------------------------------------------------------

Blacklist state                         : enabled

Blacklist number                        : 2

-------------------------------------------------------------------------

IP              Type   Start time          Persist time       Dropped packets

                      YYYY/MM/DD hh:mm:ss YYYY/MM/DD hh:mm:ss

5.5.5.5        manual 2008/04/09 16:02:20 permanent              0

192.168.1.4    manual 2008/04/09 16:02:26 2008/04/09 16:52:26    0

配置生效后,Router对来自Host D的报文一律进行丢弃处理,除非管理员认为Host D不再是攻击者,通过undo blacklist ip 5.5.5.5将其从黑名单中删除;如果Router接收到来自Host C的报文,则在50分钟之内,一律对其进行丢弃处理,50分钟之后,才进行正常转发。

1.7.3  配置流量统计

1. 组网需求

管理员在Router的GigabitEthernet1/1接口上配置流量统计功能对出方向的流量进行统计和监测,并配合UDP Flood攻击防范配置来防范外网对内部服务器的攻击。

2. 组网图

图1-3 流量统计配置典型组网图

 

 

3. 配置步骤

# 配置各接口的IP地址,略。

# 创建攻击防范策略1。

<Router> system-view

[Router] attack-defense policy 1

# 使能UDP Flood攻击防范。

[Router-attack-defense-policy-1] defense scan enable

# 配置启动UDP Flood攻击防范的连接速率阈值为每秒100个连接数。

[Router-attack-defense-policy-1] defense udp-flood max-rate 100

# 配置发现UDP Flood攻击后,对后续报文进行丢弃处理。

[Router-attack-defense-policy-1] defense udp-flood action drop-packet

[Router-attack-defense-policy-1] quit

# 在接口GigabitEthernet1/1上应用攻击防范策略1。

[Router] interface gigabitethernet 1/1

[Router-GigabitEthernet1/1] attack-defense apply policy 1

# 在接口GigabitEthernet1/1的出方向上使能流量统计功能。

[Router-GigabitEthernet1/1] flow-statistic enable outbound

# 在接口GigabitEthernet1/1上使能基于报文目的IP地址的流量统计功能。

[Router-GigabitEthernet1/1] flow-statistic enable destination-ip

4. 验证配置结果

若有针对服务器的攻击发生时,可以通过查看接口上的流量统计信息来判断攻击报文的详细情况。

[Router-GigabitEthernet1/1] display flow-statistics statistics destination-ip 10.1.1.2

                Flow Statistics Information

 ------------------------------------------------------------

 IP Address                              : 10.1.1.2

 ------------------------------------------------------------

 All sessions number                     : 13676

 Rate of new sessions                    : 2735

 TCP session number                      : 0

 Half-Open session number                : 0

 Half-Closed session number              : 0

 Rate of new TCP session number          : 0

 UDP session number                      : 13676

 Rate of new UDP session number          : 2735

 ICMP session number                     : 0

 Rate of new ICMP session                : 0

 RAWIP session number                    : 0

 Rate of new RAWIP session               : 0

[Router-GigabitEthernet0/1] display flow-statistics statistics interface gigabitethernet 1/1 outbound

                Flow Statistics Information

 ------------------------------------------------------------

 Interface name                          : GigabitEthernet1/1

 ------------------------------------------------------------

 All sessions number                     : 13676

 Rate of new sessions                    : 2735

 TCP session number                      : 0

 Half-Open session number                : 0

 Half-Closed session number              : 0

 Rate of new TCP session number          : 0

 UDP session number                      : 13676

 Rate of new UDP session number          : 2735

 ICMP session number                     : 0

 Rate of new ICMP session                : 0

 RAWIP session number                    : 0

 Rate of new RAWIP session               : 0

可以看到,接口GigabitEthernet1/1上有大量发送到10.1.1.2的UDP报文,而且新建连接速率超过了指定阈值,可以判断发生了UDP Flood攻击。通过display attack-defense statistics命令可以查看UDP Flood攻击防范生效后的相关统计信息。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们 联系我们
联系我们
回到顶部 回到顶部