04-TCP端口防护配置举例
本章节下载 (846.28 KB)
本文档介绍AFC设备中TCP相关的典型配置。
TCP端口保护可针对各项TCP服务进行特殊设定,防护CC、SYN泛洪、TCP协议服务的端口攻击,并可通过协议类型选择限制指定协议,并针对特殊服务编辑防护协议类型。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
H3C异常流量清洗与检测系统配置包括AFD设备、AFC设备及交换机设备,交换机设备基本配置采用命令行配置。异常流量清洗设备(AFC)的基本配置和业务相关配置,均采用WEB界面配置
本章介绍AFC防御CC攻击的典型配置举例。CC攻击是一种占满服务器并发连接数,尽可能使请求避开缓存而直接读数据库,读数据库要找最消耗资源的查询,最好无法利用索引,每个查询都全表扫描,用最小的攻击资源起到最大的拒绝服务效果的攻击。
本节所涉及配置仅适用于防御CC攻击,比如HTTP GET FLOOD、HTTP POST FLOOD等。
本配置适用于H3C SecPath AFC设备,这里以BGP三层回流模式组网举例。
软件版本:H3C i-Ware Software,Version 7.1, ESS 6401。
为实现对攻击被保护IP 200.2.0.100的流量的清洗,在核心交换设备处旁路部署一台异常流量清洗系统。核心交换机通过接口G1/0/18和AFC设备的接口GE1/0连接建立BGP邻居,进行引流清洗和流量回注。组网如图所示。
图3-1 AFC旁路部署模式配置组网图
要实现AFC防御CC攻击能力,可按照如下思路进行AFC配置:
· 开启针对80端口的TCP端口保护;
· 在端口上启用web插件,采用应用层源认证方式防御CC攻击。
· 受保护服务器的TCP端口集要和端口保护设置集序号保持一致。
· Web插件的开启有两种方式,自动开启和手动开启。如果想自动启用插件,您需要根据自己的现网流量情况根据经验设置“攻击频率检测”阈值。
通过浏览器访问登录:https://192.168.0.1,账号admin,密码admin。如下图
图3-2 AFC Web登录界面
JS验证是web防护cc中最无感知的一种防护方式,能自动识别源ip是(肉鸡)机器人还是真实客户ip地址。配置如下。
【防护配置】-【规则配置】-【应用规则】中点击添加,针对被攻击的web地址,进行添加S_HTTP NEW CC V2.1_JS策略。
图3-3 添加规则
跳转页面交互:真实用户通过访问系统自带的web通道跳转页面,验证通过后,方可正常打开网站;反向则拦截,因肉鸡没法模拟真实用户去正常访问。配置如下。
图3-4 添加规则
问题页面交互也是一种比较常用的防护方式,就像给网站加了验证码。正常回答后验证通过,方可正常打开网站;反向则拦截,因肉鸡没法模拟真实用户去回答问题。配置如下。
图3-5 添加规则
【防护配置】-【系统配置】-【Http CC】可添加自己新定义的问题及答案验证。
图3-6 自定义问题及答案验证
(1) 使用工具向防护主机发送CC攻击,客户端超出连接限制设置值连接被屏蔽,如下图所示,AFC只允许同一个客户端与80端口建立30个连接,因为模拟10个客户端所以只能建立300个连接;且攻击源被加入屏蔽列表,屏蔽原因是“系统连接保护”;且防护主机进入[SYN]保护状态。
图3-7 使用工具生成CC攻击
图3-8 攻击主机IP被屏蔽
(2) 使用工具向防护主机发送CC攻击,攻击频率大于攻击检测频率设置值10,防护主机进入<TCP>保护状态,web插件自动启用。如下图所示。
图3-9 使用工具产生CC攻击
(3) 插件开启后,再访问受保护服务器的80端口就会出现如下图示的源认证页面(当前不支持自定义)。因为正常用户是活动的,出现“手动点击继续”界面时用户会点击,但攻击机不具备此能力。
图3-10 防护网站启用Web插件-跳转页面交互
本文档介绍了防SYN Flood攻击的配置举例。SYN Flood攻击利用TCP建立连接时3次握手的“漏洞”,通过原始套接字发送源地址虚假的SYN报文,使目标主机永远无法完成3次握手,占满系统的协议栈队列,资源得不到释放,进而拒绝服务,是互联网中最主要的DDOS攻击形式之一。
本节所涉及配置仅适用于防御SYN Flood攻击。
软件版本:H3C i-Ware Software,Version 7.1, ESS 6401。
为实现对攻击被保护IP 200.2.0.100的流量的清洗,在核心交换设备处串联部署一台异常流量清洗系统。组网如图所示。
图4-1 AFC单机串联部署模式配置组网图
要实现AFC防御SYN Flood攻击能力,可按照如下思路进行AFC配置:
根据具体应用调整全局参数里的SYN Flood保护阈值,采用内置防护算法拦截攻击报文。如果攻击频率没有超出SYN Flood保护阈值,AFC会代理服务器和客户端建立三次握手;如果攻击频率超出SYN Flood保护阈值,AFC会丢弃客户端发送的首个报文,然后代理服务器和客户端建立三次握手。
对于SYN Flood攻击,AFC采用内置的防护算法就可以直接拦截掉攻击报文,因此配置关键在于根据具体应用调整全局参数里的SYN Flood保护阈值。
通过浏览器访问登录:https://192.168.0.1,账号admin,密码admin。如下图
图4-2 AFC Web登录界面
进入【防护配置】-【规则配置】-【应用规则】中点击添加,默认针对所有地址开启syn防护模块。
图4-3 查看规则
(1) 发送syn flood攻击流量到测试服务器
在用户网络核心设备上或用户网络外部接入测试客户端服务器,使有发包工具如(Druid、RDDoS、Xcap等或测试仪表)向测试服务器模拟syn flood攻击,保证攻击报文速率大于【防护配置】-【规则配置】-【触发规则】-【全局触发规则】中每秒SYN包数项设定值。
图4-4 默认全局触发规则S_globar Trigger
· 默认全局触发规则”S_globar Trigger” 针对每个服务器IP地址独立计数生效,即当服务器自身接收数据相应包数率超过下述阈值时,该服务器地址会进入到相应防御状态,其它地址不受影响。
· 每秒TCP包数:当AFC中某IP址接收到的TCP协议Fin、Urg类标志位报文速率超过当前设置项值 时,该服务器将进入TCP Flood防御状态。
· 每秒UDP包数:当AFC中某IP址接收到的udp协议报文速率超过当前设置项值时,该服务器进入udp flood防御状态。
· 每秒ICMP包数:当AFC中某IP址接收到的ICMP协议报文速率超过当前设置项值时,该服务器进入udp flood防御状态。
· 每秒SYN包数:当AFC中某IP址接收到的TCP协议Syn标志位报文速率超过当前设置项值时,该服务器进入syn flood防御状态。在该状态中,对服务器所收到的每个syn报文进行源检测。
· 每服务器SYN严格防护触发包数:当AFC中某IP址接收到的TCP协议Syn标志位报文速率超过当前设置项值时,该服务器进入syn 严格防御状态,在该状态中,对服务器所收到的每个TCP会话首个syn报文会进行丢弃,对该会话的重传syn报文进行源检测。
· 每秒ACK&RST包数:当AFC中某IP址接收到的TCP协议中携带ACK或RST标志位报文的速率超过当前设置项值 时,该服务器将进入TCP ACK Flood防御状态。
· 每秒其它协议包数:当AFC中某IP址接收到的非TCP、UDP、ICMP协议报文速率超过当前设置项时,该服务器地址将进入IP Flood防御状态。
(2) 查看测试服务器接收流量
进入AFC系统【防护配置】-【服务器列表】:
选择【输入包数(pps)】查看测试服务器输入包速率
图4-5 查看测试服务器输入包速率
(3) 查看测试服务器拦截流量
选择【输入拦截(Mbps)】查看测试服务器输入流量拦截信息
图4-6 查看测试服务器输入流量拦截信息
(4) 查看测试服务器攻击日志
进入【日志中心】-【攻击日志】查询测试服务器攻击日志记录信息:
图4-7 查看测试服务攻击日志
针对测试服务器的syn flood攻击已被成功拦截。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!