- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
12-基于IP的攻击防御配置
本章节下载: 12-基于IP的攻击防御配置 (256.77 KB)
目 录
1.4.3 配置基于流的TCP SYN Flood攻击防范功能
1.4.4 配置基于接口的TCP SYN Flood攻击防范功能
1.4.5 开启TCP SYN Flood攻击防范的日志信息功能
攻击者可以基于IP协议和上层协议对设备进行攻击,比如利用TCP连接的建立过程对与其建立连接的设备进行攻击,或者在短时间内向特定目标发送大量的ICMP请求报文(例如ping报文),为了避免攻击带来的危害,设备提供了相应的技术对攻击进行检测和防范。
Naptha属于DDoS(Distributed Denial of Service,分布式拒绝服务)攻击方式,主要利用操作系统TCP/IP栈和网络应用程序需要使用一定的资源来控制TCP连接的特点,在短时间内不断地建立大量的TCP连接,并且使其保持在某个特定的状态(CLOSING、ESTABLISHED、FIN_WAIT_1、FIN_WAIT_2和LAST_ACK五种状态中的一种),而不请求任何数据,那么被攻击设备会因消耗大量的系统资源而陷入瘫痪。
防止Naptha攻击功能通过加速TCP状态的老化,来降低设备遭受Naptha攻击的风险。开启防止Naptha攻击功能后,设备周期性地对各状态的TCP连接数进行检测。当某状态的最大TCP连接数超过指定的最大连接数后,将加速该状态下TCP连接的老化。
(1) 进入系统视图。
system-view
(2) 开启防止Naptha攻击功能。
tcp anti-naptha enable
缺省情况下,防止Naptha攻击功能处于关闭状态。
(3) (可选)配置TCP连接的某一状态下的最大TCP连接数。
tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit number
缺省情况下,CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五种状态最大TCP连接数均为50。
如果最大TCP连接数为0,则表示不会加速该状态下TCP连接的老化。
(4) (可选)配置TCP连接状态的检测周期。
tcp check-state interval interval
缺省情况下,TCP连接状态的检测周期为30秒。
攻击者在短时间内向特定目标发送大量的ICMP请求报文(例如ping报文),使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。针对ICMP请求攻击,即ping flood攻击,开启ICMP快速应答功能后,由硬件直接回应ICMP请求,从而避免CPU忙于回复这些请求,致使系统负担过重而不能处理正常的业务。
(1) 进入系统视图。
system-view
(2) 开启ICMP快速应答功能。
ip icmp fast-reply enable
缺省情况下,ICMP快速应答功能处于关闭状态。
(3) 开启ICMPv6快速应答功能。
ipv6 icmpv6 fast-reply enable
缺省情况下,ICMPv6快速应答功能处于关闭状态。
以下单板不支持本功能:
· SPC类单板
· MPE-1104单板
根据TCP协议,TCP连接的建立需要经过三次握手。利用TCP连接的建立过程,一些恶意的攻击者可以进行SYN Flood攻击。攻击者向设备发送大量请求建立TCP连接的SYN报文,而不回应设备的SYN ACK报文,导致设备上建立了大量的无效TCP半连接,从而达到耗尽系统资源,使设备无法处理正常业务的目的。
开启TCP SYN Flood攻击防范功能后,设备处于攻击检测状态,当设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文时,如果在一个检测周期内收到SYN报文的个数达到或超过触发阈值,即认为存在攻击,则进入攻击防范状态,限速或者丢弃后续收到的SYN报文。在攻击防范的持续时间到达后,设备由攻击防范状态恢复为攻击检测状态。TCP SYN Flood攻击防范进行报文统计的方式有两种:
· 基于接口:以从某接口收到的TCP SYN Flood攻击报文进行统计;
· 基于流:使用源IP地址、目的端口号、VPN和报文类型来标识一条数据流进行统计。
如下所有配置均为可选,请根据实际情况选择配置。
(1) 进入系统视图。
system-view
(2) 开启基于流的TCP SYN Flood攻击防范功能。
tcp anti-syn-flood flow-based enable
缺省情况下,基于流的TCP SYN Flood攻击防范功能处于关闭状态。
(3) (可选)配置基于流的TCP SYN Flood 攻击防范功能的触发阈值。
tcp anti-syn-flood flow-based threshold threshold-value
缺省情况下,基于流的TCP SYN Flood攻击防范功能的触发阈值为100。
(4) (可选)配置基于流的TCP SYN Flood攻击防范功能的持续时间。
tcp anti-syn-flood flow-based duration minutes
缺省情况下,基于流的TCP SYN Flood攻击防范功能的持续时间为5分钟。
(5) (可选)配置基于流的TCP SYN Flood 攻击防范功能的检测周期。
tcp anti-syn-flood flow-based check-interval interval
缺省情况下,基于流的TCP SYN Flood攻击防范功能的检测周期为1秒。
(1) 进入系统视图。
system-view
(2) 开启基于接口的TCP SYN Flood攻击防范功能。
tcp anti-syn-flood interface-based enable
缺省情况下,基于接口的TCP SYN Flood攻击防范功能处于关闭状态。
(3) (可选)配置基于接口的TCP SYN Flood 攻击防范功能的触发阈值。
tcp anti-syn-flood interface-based threshold threshold-value
缺省情况下,基于接口的TCP SYN Flood攻击防范功能的触发阈值为100。
(4) (可选)配置基于接口的TCP SYN Flood攻击防范功能的持续时间。
tcp anti-syn-flood interface-based duration minutes
缺省情况下,基于接口的TCP SYN Flood攻击防范功能的持续时间为5分钟。
(5) (可选)配置基于接口的TCP SYN Flood 攻击防范功能的检测周期。
tcp anti-syn-flood interface-based check-interval interval
缺省情况下,基于接口的TCP SYN Flood攻击防范功能的检测周期为1秒。
TCP SYN Flood攻击防范日志可以方便管理员定位和解决问题。设备生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
(1) 进入系统视图。
system-view
(2) 开启TCP SYN Flood攻击防范的日志信息功能。
tcp anti-syn-flood log enable
缺省情况下,TCP SYN Flood攻击防范的日志信息功能处于关闭状态。
以下单板不支持本功能:
· SPC类单板
· MPE-1104单板
UDP Flood攻击即攻击者在短时间内向特定目标发送大量的UDP报文,使其忙于处理这些报文,致使目标系统负担过重而不能处理正常的业务。
开启UDP Flood攻击防范功能后,设备处于攻击检测状态。如果在一个检测周期内收到UDP报文的个数达到或超过触发阈值,则认为存在UDP Flood攻击,并进入攻击防范状态。
UDP Flood攻击防范进行报文统计的方式有两种:
· 基于流:使用源IP地址、目的端口号、VPN和报文类型来标识一条数据流进行统计。
· 基于接口:以从某接口收到的UDP Flood攻击报文进行统计。
设备处于攻击防范状态时,依据报文统计的方式的不同,采取不一样的应对策略:
· 基于流的UDP Flood攻击防范功能会丢弃后续收到的该数据流的UDP报文,直到抑制时间结束。
· 基于接口的UDP Flood攻击防范功能会对接口进行限速处理,超速部分的报文将被丢弃,直到抑制时间结束。
攻击防范的抑制时间到达后,设备由攻击防范状态恢复为攻击检测状态。
UDP Flood攻击防范配置任务如下:
(1) 进入系统视图。
system-view
(2) 开启基于流的UDP Flood攻击防范功能。
udp anti-flood flow-based enable
缺省情况下,基于流的UDP Flood攻击防范功能处于关闭状态。
(3) 配置基于流的UDP Flood 攻击防范功能的触发阈值。
udp anti-flood flow-based threshold threshold-value
缺省情况下,基于流的UDP Flood攻击防范功能的触发阈值为100。
(4) 配置基于流的UDP Flood攻击防范功能的抑制时间。
udp anti-flood flow-based duration minutes
缺省情况下,基于流的UDP Flood攻击防范功能的抑制时间为5分钟。
(5) 配置基于流的UDP Flood 攻击防范功能的检测周期。
udp anti-flood flow-based check-interval interval
缺省情况下,基于流的UDP Flood攻击防范功能的检测周期为1秒。
(1) 进入系统视图。
system-view
(2) 开启基于接口的UDP Flood攻击防范功能。
udp anti-flood interface-based enable
缺省情况下,基于接口的UDP Flood攻击防范功能处于关闭状态。
(3) 配置基于接口的UDP Flood 攻击防范功能的触发阈值。
udp anti-flood interface-based threshold threshold-value
缺省情况下,基于接口的UDP Flood攻击防范功能的触发阈值为100。
(4) 配置基于接口的UDP Flood攻击防范功能的抑制时间。
udp anti-flood interface-based duration minutes
缺省情况下,基于接口的UDP Flood攻击防范功能的抑制时间为5分钟。
(5) 配置基于接口的UDP Flood 攻击防范功能的检测周期。
udp anti-flood interface-based check-interval interval
缺省情况下,基于接口的UDP Flood攻击防范功能的检测周期为1秒。
UDP Flood攻击防范日志可以方便管理员定位和解决问题。设备生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
(1) 进入系统视图。
system-view
(2) 开启UDP Flood攻击防范的日志信息功能。
udp anti-flood log enable
缺省情况下,UDP Flood攻击防范的日志信息功能处于关闭状态。
网络环境中,网络设备可能会受到以下畸形IP报文的攻击:
· LAND攻击:攻击者利用TCP建立连接时的三次握手过程的缺陷,伪造一个特别的SYN报文,报文中的源地址和目的地址被设置成同一台终端的地址,源端口与目的端口也被设置成同一个端口。该终端接收到SYN包之后,将导致该终端向自己的地址发送SYN+ACK消息。之后,这个地址又发回SYN+ACK消息并创建一个TCP空连接,每个这样的TCP空连接都将保留直到超时。造成目的终端存在过多的TCP空连接而正常连接无法建立的问题。
· 空载荷IP报文泛洪:攻击者构造大量只有IP报文头,但未携带任何载荷数据的IP报文进行泛洪攻击。终端用户收到并处理大量空载荷IP报文,影响正常业务的处理。
· Smurf攻击:攻击者发送目的地址是广播地址,源地址是被攻击者地址的ICMP echo request报文。网络中所有主机收到该ICMP echo request报文后,都会向被攻击者发送reply报文。被攻击者收到reply报文后,都需要上送CPU处理。导致被攻击者的CPU利用率过高,影响正常业务的处理。
开启畸形IP报文防攻击功能后,对收到报文都需要进行畸形IP报文检查,如果发现报文是畸形IP报文,则会直接丢弃该报文,但这会影响设备的报文处理速度。
(1) 进入系统视图。
system-view
(2) 开启畸形IP报文防攻击功能。
ip abnormal-packet-defend enable
缺省情况下,畸形IP报文防攻击功能处于关闭状态。
在任意视图下执行display命令可以显示配置后的运行情况。
在用户视图下执行reset命令可以清除报文统计信息。
表1-1 TCP和ICMP攻击防御显示和维护
|
操作 |
命令 |
|
显示ICMP快速应答的报文统计信息 |
(独立运行模式) display ip icmp fast-reply statistics [ slot slot-number ] (IRF模式) display ip icmp fast-reply statistics [ chassis chassis-number slot slot-number ] |
|
显示ICMPV6快速应答的报文统计信息 |
(独立运行模式) display ipv6 icmpv6 fast-reply statistics [ slot slot-number ] (IRF模式) display ipv6 icmpv6 fast-reply statistics [ chassis chassis-number slot slot-number ] |
|
显示基于流的TCP SYN Flood攻击防范功能的配置信息 |
display tcp anti-syn-flood flow-based configuration |
|
显示基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息 |
(独立运行模式) display tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * slot slot-number [ verbose ] (IRF模式) display tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * chassis chassis-number slot slot-number [ verbose ] |
|
显示基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数 |
(独立运行模式) display tcp anti-syn-flood flow-based entry slot slot-number count (IRF模式) display tcp anti-syn-flood flow-based entry chassis chassis-number slot slot-number count |
|
显示基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息 |
(独立运行模式) display ipv6 tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * slot slot-number [ verbose ] (IRF模式) display ipv6 tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * chassis chassis-number slot slot-number [ verbose ] |
|
显示基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数 |
(独立运行模式) display ipv6 tcp anti-syn-flood flow-based entry slot slot-number count (IRF模式) display ipv6 tcp anti-syn-flood flow-based entry chassis chassis-number slot slot-number count |
|
显示基于接口的TCP SYN Flood攻击防范功能的配置信息 |
display tcp anti-syn-flood interface-based configuration |
|
显示基于接口的TCP SYN Flood攻击防范的攻击表项信息 |
(独立运行模式) display tcp anti-syn-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * slot slot-number [ verbose ] (IRF模式) display tcp anti-syn-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * chassis chassis-number slot slot-number [ verbose ] |
|
显示基于接口的TCP SYN Flood攻击防范的攻击表项的个数 |
(独立运行模式) display tcp anti-syn-flood interface-based entry slot slot-number count (IRF模式) display tcp anti-syn-flood interface-based entry chassis chassis-number slot slot-number count |
|
显示基于流的UDP Flood攻击防范功能的配置信息 |
display udp anti-flood flow-based configuration |
|
显示基于流的UDP Flood攻击防范的IPv4攻击表项信息 |
(独立运行模式) display udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ slot slot-number ] [ verbose ] (IRF模式) display udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ] [ verbose ] |
|
显示基于流的UDP Flood攻击防范的IPv4攻击表项的个数 |
(独立运行模式) display udp anti-flood flow-based entry [ slot slot-number ] count (IRF模式) display udp anti-flood flow-based entry [ chassis chassis-number slot slot-number ] count |
|
显示基于流的UDP Flood攻击防范的IPv6攻击表项信息 |
(独立运行模式) display ipv6 udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ slot slot-number ] [ verbose ] (IRF模式) display ipv6 udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ] [ verbose ] |
|
显示基于流的UDP Flood攻击防范的IPv6攻击表项的个数 |
(独立运行模式) display ipv6 udp anti-flood flow-based entry [ slot slot-number ] count (IRF模式) display ipv6 udp anti-flood flow-based entry [ chassis chassis-number slot slot-number ] count |
|
显示基于接口的UDP Flood攻击防范功能的配置信息 |
display udp anti-flood interface-based configuration |
|
显示基于接口的UDP Flood攻击防范的攻击表项信息 |
(独立运行模式) display udp anti-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * [ slot slot-number ] [ verbose ] (IRF模式) display udp anti-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ] [ verbose ] |
|
显示基于接口的UDP Flood攻击防范的攻击表项的个数 |
(独立运行模式) display udp anti-flood interface-based entry [ slot slot-number ] count (IRF模式) display udp anti-flood interface-based entry [ chassis chassis-number slot slot-number ] count |
|
显示设备丢弃畸形IP攻击报文计数的信息 |
(独立运行模式) display ip abnormal-packet-defend statistics [ slot slot-number ] (IRF模式) display ip abnormal-packet-defend statistics [ chassis chassis-number slot slot-number ] |
|
清除ICMP快速应答的报文统计信息 |
(独立运行模式) reset ip icmp fast-reply statistics [ slot slot-number ] (IRF模式) reset ip icmp fast-reply statistics [ chassis chassis-number slot slot-number ] |
|
清除ICMPv6快速应答的报文统计信息 |
(独立运行模式) reset ipv6 icmpv6 fast-reply statistics [ slot slot-number ] (IRF模式) reset ipv6 icmpv6 fast-reply statistics [ chassis chassis-number slot slot-number ] |
|
删除基于流的TCP SYN Flood攻击防范的IPv4攻击表项 |
(独立运行模式) reset tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ slot slot-number ] (IRF模式) reset tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ] |
|
删除基于流的TCP SYN Flood攻击防范的IPv6攻击表项 |
(独立运行模式) reset ipv6 tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ slot slot-number ] (IRF模式) reset ipv6 tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ] |
|
清除基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息 |
(独立运行模式) reset tcp anti-syn-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ slot slot-number ] (IRF模式) reset tcp anti-syn-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ] |
|
清除基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息 |
(独立运行模式) reset ipv6 tcp anti-syn-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ slot slot-number ] (IRF模式) reset ipv6 tcp anti-syn-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ] |
|
删除基于接口的TCP SYN Flood攻击防范的攻击表项 |
(独立运行模式) reset tcp anti-syn-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * [ slot slot-number ] (IRF模式) reset tcp anti-syn-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ] |
|
清除基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息 |
(独立运行模式) reset tcp anti-syn-flood interface-based statistics [ interface interface-type interface-number | type { ip | mpls } ] * [ slot slot-number ] (IRF模式) reset tcp anti-syn-flood interface-based statistics [ interface interface-type interface-number | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ] |
|
删除基于流的UDP Flood攻击防范的IPv6攻击表项 |
(独立运行模式) reset ipv6 udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ slot slot-number ] (IRF模式) reset ipv6 udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ] |
|
删除基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息 |
(独立运行模式) reset ipv6 udp anti-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ slot slot-number ] (IRF模式) reset ipv6 udp anti-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ] |
|
删除基于流的UDP Flood攻击防范的IPv4攻击表项 |
(独立运行模式) reset udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ]* [ slot slot-number ] (IRF模式) reset udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ]* [ chassis chassis-number slot slot-number ] |
|
删除基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息 |
(独立运行模式) reset udp anti-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ slot slot-number ] (IRF模式) reset udp anti-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ] |
|
删除基于接口的UDP Flood攻击防范的攻击表项 |
(独立运行模式) reset udp anti-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * [ slot slot-number ] (IRF模式) reset udp anti-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ] |
|
删除基于接口的UDP Flood攻击防范收到的SYN报文统计信息 |
(独立运行模式) reset udp anti-flood interface-based statistics [ interface interface-type interface-number | type { ip | mpls } ] * [ slot slot-number ] (IRF模式) reset udp anti-flood interface-based statistics [ interface interface-type interface-number | type { ip | mpls } ] * [ chassis chassis-number slot slot-number ] |
|
清除设备丢弃畸形IP攻击报文计数的信息(独立运行模式) |
reset ip abnormal-packet-defend statistics [ slot slot-number ] |
|
清除设备丢弃畸形IP攻击报文计数的信息(IRF模式) |
reset ip abnormal-packet-defend statistics [ chassis chassis-number slot slot-number ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
