- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
09-ND攻击防御配置
本章节下载: 09-ND攻击防御配置 (137.96 KB)
ND协议功能强大,但是却没有任何安全机制,容易被攻击者利用。如图1-1所示,当Device作为接入设备时,攻击者Host B可以仿冒其他用户、仿冒网关发送伪造的ND报文,对网络进行攻击:
· 如果攻击者仿冒其他用户的IPv6地址发送NS/NA/RS报文,将会改写网关或者其他用户的ND表项,导致被仿冒用户的报文错误的发送到攻击者的终端上。
· 如果攻击者仿冒网关发送RA报文,会导致其他用户的IPv6配置参数错误和ND表项被改写。
图1-1 ND攻击示意图
伪造的ND报文具有如下特点:
· 伪造的ND报文中源MAC地址和源链路层选项地址中的MAC地址不一致。
· 伪造的ND报文中源IPv6地址和源MAC地址的映射关系不是合法用户真实的映射关系。
根据上述攻击报文的特点,设备开发了多种功能对ND攻击进行检测,可以有效地防范ND攻击带来的危害。
表1-1 ND攻击防御配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
|
防止泛洪攻击 |
配置源MAC地址固定的ND攻击检测功能 |
可选 建议在网关设备上配置本功能 |
|
|
防止仿冒用户、仿冒网关攻击 |
开启ND协议报文源MAC地址一致性检查功能 |
可选 建议在网关设备上开启本功能 |
|
本特性根据ND报文的源MAC地址对上送CPU的ND报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ND报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。当开启了ND日志信息功能(配置ipv6 nd check log enable命令),且在该攻击检测表项老化之前,根据设置的检查模式有如下处理方式:
· 如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ND报文过滤掉;
· 如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ND报文过滤掉。
对于已添加到源MAC地址固定的ND攻击检测表项中的MAC地址,在等待设置的老化时间后,会重新恢复成普通MAC地址。
· 仅CSPEX单板支持源MAC地址固定的ND攻击检测功能。
· 切换源MAC地址固定的ND攻击检查模式时,如果从监控模式切换到过滤模式,过滤模式马上生效;如果从过滤模式切换到监控模式,已生成的攻击检测表项,到表项老化前还会继续按照过滤模式处理。
· 对于网关或一些重要的服务器,可能会发送大量ND报文,为了使这些ND报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该设备存在攻击也不会被检测或过滤。
表1-2 配置源MAC地址固定的ND攻击检测功能
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启源MAC地址固定的ND攻击检测功能,并指定检查模式 |
ipv6 nd source-mac { filter | monitor } |
缺省情况下,源MAC地址固定的ND攻击检测功能处于关闭状态 |
|
(可选)配置源MAC地址固定的ND报文攻击检测的阈值 |
ipv6 nd source-mac threshold threshold-value |
缺省情况下,源MAC地址固定的ND报文攻击检测表项的阈值为30个 |
|
(可选)配置源MAC地址固定的ND报文攻击检测的老化时间 |
ipv6 nd source-mac aging-time time |
缺省情况下,源MAC地址固定的ND攻击检测表项的老化时间为300秒,即5分钟 |
|
(可选)配置保护MAC地址 |
ipv6 nd source-mac exclude-mac mac-address&<1-10> |
缺省情况下,未配置任何保护MAC地址 |
|
(可选)开启ND日志信息功能 |
ipv6 nd check log enable |
缺省情况下,ND日志信息功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后源MAC地址固定的ND攻击检测的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,用户可以执行reset命令清除源MAC地址固定的ND攻击检测的统计信息
表1-3 源MAC地址固定的ND攻击检测显示和维护
|
操作 |
命令 |
|
显示检测到的源MAC地址固定的ND攻击检测表项信息(独立运行模式) |
display ipv6 nd source-mac { slot slot-number | interface interface-type interface-number } |
|
显示检测到的源MAC地址固定的ND攻击检测表项信息(IRF模式) |
display ipv6 nd source-mac { chassis chassis-number slot slot-number | interface interface-type interface-number } |
|
显示丢弃的源MAC地址固定的ND攻击报文计数统计信息(独立运行模式) |
display ipv6 nd source-mac statistics slot slot-number |
|
显示丢弃的源MAC地址固定的ND攻击报文计数统计信息(IRF模式) |
display ipv6 nd source-mac statistics chassis chassis-number slot slot-number |
|
清除丢弃的源MAC地址固定的ND攻击报文计数统计信息(独立运行模式) |
reset ipv6 nd source-mac statistics { all | slot slot-number } |
|
清除丢弃的源MAC地址固定的ND攻击报文计数统计信息(IRF模式) |
reset ipv6 nd source-mac statistics { all | chassis chassis-number slot slot-number } |
ND协议报文源MAC地址一致性检查功能主要应用于网关设备上,防御ND报文中的源MAC地址和以太网数据帧首部中的源MAC地址不同的ND攻击。
开启本特性后,网关设备会对接收的ND协议报文进行检查。如果ND报文中的源MAC地址和以太网数据帧首部中的源MAC地址不一致,则认为是攻击报文,将其丢弃;否则,继续进行ND学习。
若开启ND日志信息功能,当用户ND报文中的源MAC地址和以太网数据帧首部中的源MAC地址不同时,会有相关的日志信息输出。设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。
表1-4 开启ND协议报文源MAC地址一致性检查功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启ND协议报文源MAC地址一致性检查功能 |
ipv6 nd mac-check enable |
缺省情况下,ND协议报文源MAC地址一致性检查功能处于关闭状态 |
|
(可选)开启ND日志信息功能 |
ipv6 nd check log enable |
缺省情况下,ND日志信息功能处于关闭状态 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
