06-UDP端口防护配置举例
本章节下载: 06-UDP端口防护配置举例 (1.69 MB)
本文档介绍AFC设备中UDP相关的典型配置。
UDP端口保护可针对各项UDP服务进行特殊设定,防护各类语音、视频、UDP协议服务的端口攻击,并可通过协议类型选择限制指定协议,并针对特殊服务编辑防护协议类型
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
H3C SecPath AFC
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501
部署方式:串联防护、旁路防护
通过在Web页面中【系统管理】-【系统备份恢复】-【备份项目】对页面操作进行保存。
· H3C SecPath AFC2000系列 安装指导手册
· H3C SecPath AFC2000系列 配置指导手册
本文档介绍当UDP Flood经过AFC设备时,通过设置UDP全局参数进行防御的方法。
本配置适用于H3C SecPath AFC串联和旁路设备。
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。
AFC串联部署组网如下图。详细说明可见AFC串联部署模式配置举例。
图5-1 AFC串联部署模式配置组网图
UDP Flood可直接使用全局参数中UDP保护触发参数进行防御。
(1) 登录【AFC】进入Web页面【防御配置】-【全局参数】,配置主机防护参数【设置集0】的UDP保护触发参数为1000报文/秒。
图5-2 配置UDP保护触发参数
表5-1 UDP策略参数说明
编号 |
功能 |
说明 |
1 |
UDP保护触发 |
当设备下主机每秒收到的UDP报文超过设置值,此设备下主机进入UDP Flood防御模式,此时丢弃所有针对此IP的UDP数据包 |
2 |
UDP连接数量控制 |
每个主机最多能建立100000(默认为100000)个UDP链接 |
3 |
UDP连接空闲超时 |
配合UDP保护使用 |
当触发了UDP保护触发参数时,AFC设备会将所有通向该主机的UDP流量丢弃。若要正常的UDP报文可以通过,需要勾选UDP端口保护中的“延时提交”。
(2) 配置主机防护参数集为上一步设置的防护参数集0。
图5-3 设置主机防护参数集
验证UDP Flood攻击经过AFC时,UDP Flood报文是否被成功过滤。
(1) 通过BPS等测试仪向主机100.0.0.2发送大量的UDP Flood报文
(2) 登录【AFC】进入Web页面,【状态监控】-【主机状态】
a. 可以看到该主机输出报文为0。
b. 点击主机可以看到该主机进入[UDP]保护状态。
c. 【数据分析】-【攻击分析】,在攻击主机统计中可以看到该主机进入到[UDP]保护中。
d. 【状态监控】-【综合监控】,可以观察到外网滤后流量为0。
本文档介绍当UDP Query Flood经过AFC设备时,通过设置UDP全局参数和UDP端口保护参数进行防御的方法。
本配置适用于H3C SecPath AFC串联和旁路设备。
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。
组网需求
AFC串联部署组网如下图。详细说明可见AFC串联部署模式配置举例。
图6-1 AFC串联部署模式配置组网图
可以使用以下两种方式防御UDP Query Flood:
方式一:UDP端口保护-延时提交即首包丢弃,丢弃客户端发过来的第一次DNS请求,利用了DNS协议的重传机制。
方式二:UDP端口保护-DNS防护插件,客户端的DNS查询都会被强制使用TCP进行查询。
方式一:UDP端口保护-延时提交即首包丢弃,丢弃客户端发过来的第一次DNS请求,利用了DNS协议的重传机制。注意:延时提交只有在全局参数UDP Flood阈值触发后才生效。
(1) 登录【AFC】进入Web页面【防御配置】-【全局参数】,配置主机防护参数【设置集0】的UDP保护触发参数为1000报文/秒。
图6-2 配置UDP保护触发参数
表6-1 UDP策略参数说明
编号 |
功能 |
说明 |
1 |
UDP保护触发 |
当设备下主机每秒收到的UDP报文超过设置值,此设备下主机进入UDP Flood防御模式,此时丢弃所有针对此IP的UDP数据包 |
2 |
UDP连接数量控制 |
每个主机最多能建立100000(默认为100000)个UDP链接 |
3 |
UDP连接空闲超时 |
配合UDP保护使用 |
当触发了UDP保护触发参数时,AFC设备会将所有通向该主机的UDP流量丢弃。若要正常的UDP报文可以通过,需要勾选UDP端口保护中的“延时提交”。
(2) 【防御配置】-【UDP端口保护】,配置端口保护设置集0,针对53端口,防护模式勾选“开放端口”和“延时提交”。
图6-3 配置UDP端口保护参数
表6-2 UDP端口保护参数
编号 |
功能 |
说明 |
1 |
端口保护设置集 |
范围0-15,对于一台主机可适用多项端口防护设置,也可用于同一端口的重叠设置,通过主机状态中的UDP端口保护集选择某台主机的生效端口防护。 |
2 |
端口起始/终止 |
显示设置防护的端口范围,默认针对“0-65535”端口进行防护 |
3 |
攻击频率检测 |
显示设置端口的连接攻击检测频率数值,max表示无限大 |
4 |
报文频率限制 |
显示设置端口的连接数量限制数值,max表示无限大 |
5 |
防护插件 |
显示设置端口启用的防护模块类型,default为默认防护 |
6 |
防护模式 |
显示设置端口启用的防护标志有哪些,默认仅启用“开放端口”模式 |
方式二:UDP端口保护-DNS防护插件,客户端的DNS查询都会被强制使用TCP进行查询。
(1) 【防御配置】-【UDP端口保护】,设置端口保护设置集0。
(2) 设置UDP端口保护参数,选择针对53端口开启DNS Service Protection插件。
(3) 设置攻击频率检测参数如10,防护模式同时勾选“开放端口”和另外一个防护模式的选项如“验证TTL”,这样当DNS QUERY攻击报文频率超过10时,会自动启用该DNS插件。
图6-4 设置UDP端口保护参数
表6-3 UDP端口保护参数
编号 |
功能 |
说明 |
1 |
端口保护设置集 |
范围0-15,对于一台主机可适用多项端口防护设置,也可用于同一端口的重叠设置,通过主机状态中的UDP端口保护集选择某台主机的生效端口防护。 |
2 |
端口起始/终止 |
显示设置防护的端口范围,默认针对“0-65535”端口进行防护 |
3 |
攻击频率检测 |
显示设置端口的连接攻击检测频率数值,max表示无限大 |
4 |
报文频率限制 |
显示设置端口的连接数量限制数值,max表示无限大 |
5 |
防护插件 |
显示设置端口启用的防护模块类型,default为默认防护 |
6 |
防护模式 |
显示设置端口启用的防护标志有哪些,默认仅启用“开放端口”模式 |
仅仅只是“开放端口”不能启动UDP端口保护的,需要同时勾选一个其他的防护模式如验证TTL。
a. 配置主机防护参数集为上一步设置的UDP端口集0。
图6-5 设置主机UDP端口集
b. 以上步骤1~4为被测设备根据攻击报文自动开启DNS插件的情况。下面介绍一下手动开启DNS插件的情况:
在状态监控-主机状态,进入到主机设置中,手动勾选UDP-DNS插件,提交即可。
验证UDP Query Flood攻击经过AFC时,UDP Query Flood报文是否被成功过滤。
方式一:使用延时提交防御UDP Query Flood。注意:延时提交只有在全局参数UDP Flood阈值触发后才生效。
(1) 通过BPS等测试仪向主机200.2.0.100发送大量的UDP Query Flood报文
(2) 登录【AFC】进入Web页面,【状态监控】-【主机状态】
a. 可以看到该主机输出报文为0。
b. 点击主机可以看到该主机进入[UDP]保护状态
c. 【数据分析】-【攻击分析】,在攻击主机统计中可以看到该主机进入到[UDP]保护中
d. 【状态监控】-【综合监控】,可以观察到外网滤后流量为0
方式二:使用DNS防护插件防御UDP Query Flood
(1) 通过BPS等测试仪向主机200.2.0.100发送大量的UDP Query Flood报文
(2) 登录【AFC】进入Web页面,【状态监控】-【主机状态】
a. 可以看到该主机转发给server的报文为0即IN Pass为0,同时AFC作为代理设备给client回复了dns response即OUT Pass。
注:由于DNS Query报文和DNS Response报文的大小不一致,所以下图中IN和OUT Pass大小不一致。
抓包情况如下:
报文从eth6进入AFC
AFC做代理,回复DNS Response,报文仍然从eth6发出去到client,要求client发tcp连接的DNS报文。
b. 点击主机可以看到该主机进入<UDP>保护状态
c. 【状态监控】-【综合监控】,可以观察到外网滤后流量为0,内网有滤后流量。
本文档介绍当DNS REPLY Flood经过AFC设备时,通过设置UDP全局参数、UDP端口保护参数和规则设置进行防御的方法。
本配置适用于H3C SecPath AFC串联和旁路设备。
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。
AFC串联部署组网如下图。详细说明可见AFC串联部署模式配置举例。
图7-1 AFC串联部署模式配置组网图
全局参数(&会话检查)
设置UDP全局参数,当攻击流量触发该参数,主机进入[UDP]防护状态。由于AFC设备内置有会话检查功能,此时AFC会将有非正常DNS Reply报文拦截,但对于有正常会话交互的DNS Reply报文放行。
全局参数(&会话检查)
(1) 登录【AFC】进入Web页面【防御配置】-【全局参数】,配置主机防护参数【设置集0】的UDP保护触发参数为1000报文/秒。
图7-2 配置UDP保护触发参数
表7-1 UDP策略参数说明
编号 |
功能 |
说明 |
1 |
UDP保护触发 |
当设备下主机每秒收到的UDP报文超过设置值,此设备下主机进入UDP Flood防御模式,此时丢弃所有针对此IP的UDP数据包 |
2 |
UDP连接数量控制 |
每个主机最多能建立100000(默认为100000)个UDP链接 |
3 |
UDP连接空闲超时 |
配合UDP保护使用 |
当触发了UDP保护触发参数时,AFC设备会将所有通向该主机的UDP流量丢弃。若要正常的UDP报文可以通过,需要勾选UDP端口保护中的“延时提交”。
(2) 【防御配置】-【UDP端口保护】,配置端口保护设置集0,针对53端口,防护模式勾选“开放端口”和“延时提交”。
图7-3 配置UDP端口保护参数
表7-2 UDP端口保护参数
编号 |
功能 |
说明 |
1 |
端口保护设置集 |
范围0-15,对于一台主机可适用多项端口防护设置,也可用于同一端口的重叠设置,通过主机状态中的UDP端口保护集选择某台主机的生效端口防护。 |
2 |
端口起始/终止 |
显示设置防护的端口范围,默认针对“0-65535”端口进行防护 |
3 |
攻击频率检测 |
显示设置端口的连接攻击检测频率数值,max表示无限大 |
4 |
报文频率限制 |
显示设置端口的连接数量限制数值,max表示无限大 |
5 |
防护插件 |
显示设置端口启用的防护模块类型,default为默认防护 |
6 |
防护模式 |
显示设置端口启用的防护标志有哪些,默认仅启用“开放端口”模式 |
(3) 配置主机防护参数集为上一步设置的UDP端口集0。
图7-4 设置主机UDP端口集
验证UDP Reply Flood攻击经过AFC时,UDP Reply Flood报文是否被成功过滤。
(1) 通过BPS等测试仪向主机200.2.0.100发送大量的UDP Reply Flood报文
(2) 登录【AFC】进入Web页面,【状态监控】-【主机状态】
a. 可以看到该主机输出报文为0
b. 点击主机可以看到该主机进入[UDP]保护状态
c. 【数据分析】-【攻击分析】,在攻击主机统计中可以看到该主机进入到[UDP]保护中
d. 【状态监控】-【综合监控】,可以观察到外网滤后流量为0
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!