• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-安全配置指导

目录

06-TCP和ICMP攻击防御配置

本章节下载 06-TCP和ICMP攻击防御配置  (114.48 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR8800-F/Configure/Operation_Manual/H3C_SR8800-F_CG-R7655PXX-6W761/11/201708/1025784_30005_0.htm

06-TCP和ICMP攻击防御配置


1 TCP和ICMP攻击防御

1.1  TCP和ICMP攻击防御简介

攻击者可以利用TCP连接的建立过程对与其建立连接的设备进行攻击,或者在短时间内向特定目标发送大量的ICMP请求报文(例如ping报文),为了避免攻击带来的危害,设备提供了相应的技术对攻击进行检测和防范:

·     防止Naptha攻击功能

·     防止ICMP攻击功能

·     防止TCP SYN Flood攻击功能

1.2  配置防止Naptha攻击功能

Naptha属于DDoS(Distributed Denial of Service,分布式拒绝服务)攻击方式,主要利用操作系统TCP/IP栈和网络应用程序需要使用一定的资源来控制TCP连接的特点,在短时间内不断地建立大量的TCP连接,并且使其保持在某个特定的状态(CLOSING、ESTABLISHED、FIN_WAIT_1、FIN_WAIT_2和LAST_ACK五种状态中的一种),而不请求任何数据,那么被攻击设备会因消耗大量的系统资源而陷入瘫痪。

防止Naptha攻击功能通过加速TCP状态的老化,来降低设备遭受Naptha攻击的风险。开启防止Naptha攻击功能后,设备周期性地对各状态的TCP连接数进行检测。当某状态的最大TCP连接数超过指定的最大连接数后,将加速该状态下TCP连接的老化。

表1-1 配置防止Naptha攻击功能

操作

命令

说明

进入系统视图

system-view

-

开启防止Naptha攻击功能

tcp anti-naptha enable

缺省情况下,防止Naptha攻击功能处于关闭状态

(可选)配置TCP连接的某一状态下的最大TCP连接数

tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit number

缺省情况下,CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五种状态最大TCP连接数均为50

如果最大TCP连接数为0,则表示不会加速该状态下TCP连接的老化

(可选)配置TCP连接状态的检测周期

tcp check-state interval interval

缺省情况下,TCP连接状态的检测周期为30秒

 

1.3  配置防止ICMP攻击功能

攻击者在短时间内向特定目标发送大量的ICMP请求报文(例如ping报文),使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。针对ICMP请求攻击,即ping flood攻击,开启ICMP快速应答功能后,由硬件直接回应ICMP请求,从而避免CPU忙于回复这些请求,致使系统负担过重而不能处理正常的业务。

表1-2 配置防止ICMP攻击功能

操作

命令

说明

进入系统视图

system-view

-

开启ICMP快速应答功能

ip icmp fast-reply enable

缺省情况下,ICMP快速应答功能处于关闭状态

开启ICMPv6快速应答功能

ipv6 icmpv6 fast-reply enable

缺省情况下,ICMPv6快速应答功能处于关闭状态

 

1.4  配置防止TCP SYN Flood攻击功能

根据TCP协议,TCP连接的建立需要经过三次握手。利用TCP连接的建立过程,一些恶意的攻击者可以进行SYN Flood攻击。攻击者向设备发送大量请求建立TCP连接的SYN报文,而不回应设备的SYN ACK报文,导致设备上建立了大量的无效TCP半连接,从而达到耗尽系统资源,使设备无法处理正常业务的目的。

开启防止SYN Flood攻击功能后,设备处于攻击检测状态,当设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文时,如果SYN报文的速率达到或超过触发阈值,即认为存在攻击,则进入攻击防范状态,限速或者丢弃后续收到的SYN报文。在攻击防范的持续时间到达后,设备由攻击防范状态恢复为攻击检测状态。

 

表1-3 配置防止TCP SYN Flood攻击功能

操作

命令

说明

进入系统视图

system-view

-

开启TCP SYN Flood攻击防范功能

tcp anti-syn-flood enable

缺省情况下,TCP SYN Flood攻击防范功能处于关闭状态

(可选)配置TCP SYN Flood 攻击防范的触发阈值

tcp anti-syn-flood threshold threshold-value

缺省情况下,TCP SYN Flood攻击防范的触发阈值为100

(可选)配置TCP SYN Flood攻击防范的持续时间

tcp anti-syn-flood duration minutes

缺省情况下,TCP SYN Flood攻击防范的持续时间为5分钟

 

1.5  TCP和ICMP攻击防御显示和维护

在任意视图下执行display命令可以显示配置后的运行情况。

在用户视图下执行reset命令可以清除报文统计信息。

表1-4 TCP和ICMP攻击防御显示和维护

操作

命令

显示ICMP快速应答的报文统计信息(独立运行模式)

display ip icmp fast-reply statistics [ slot slot-number ]

显示ICMP快速应答的报文统计信息(IRF模式)

display ip icmp fast-reply statistics [ chassis chassis-number slot slot-number ]

显示ICMPV6快速应答的报文统计信息(独立运行模式)

display ipv6 icmpv6 fast-reply statistics [ slot slot-number ]

显示ICMPV6快速应答的报文统计信息(IRF模式)

display ipv6 icmpv6 fast-reply statistics [ chassis chassis-number slot slot-number ]

清除ICMP快速应答的报文统计信息(独立运行模式)

reset ip icmp fast-reply statistics [ slot slot-number ]

清除ICMP快速应答的报文统计信息(IRF模式)

reset ip icmp fast-reply statistics [ chassis chassis-number slot slot-number ]

清除ICMPv6快速应答的报文统计信息(独立运行模式)

reset ipv6 icmpv6 fast-reply statistics [ slot slot-number ]

清除ICMPv6快速应答的报文统计信息(IRF模式)

reset ipv6 icmpv6 fast-reply statistics [ chassis chassis-number slot slot-number ]

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们