• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath AFC2000系列 异常流量清洗系统 典型配置案例集-5W104

02-TCP端口防护配置举例

本章节下载 02-TCP端口防护配置举例  (1.98 MB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/YCLLQX/AFC20X0[2X00]/Configure/Typical_Configuration_Example/H3C_AFC2000_CE-5W104/202007/1315181_30005_0.htm

02-TCP端口防护配置举例


1 特性简介

本文档介绍AFC设备中TCP相关的典型配置。

TCP端口保护可针对各项TCP服务进行特殊设定,防护CC、SYN泛洪、TCP协议服务的端口攻击,并可通过协议类型选择限制指定协议,并针对特殊服务编辑防护协议类型。

2 特性使用

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

2.1  配置指南

H3C异常流量清洗系统部署包括AFC设备及交换机的基本配置,采用命令行配置。异常流量检测设备(AFC)的基本配置和业务相关配置,采用WEB界面配置。

3 支持的设备和版本

3.1  支持的设备

H3C SecPath AFC

3.2  设备版本

3.2.1  H3C SecPath AFC

软件版本:H3C i-Ware Software, Version 1.10, ESS 6501

部署方式:串联防护、旁路防护

3.3  配置保存

通过在Web页面中【系统管理】-【系统备份恢复】-【备份项目】对页面操作进行保存。

4 相关资料

·     H3C SecPath AFC2000系列 安装指导手册

·     H3C SecPath AFC2000系列 配置指导手册

5 AFC防御CC攻击典型配置举例

5.1  简介

本章介绍AFC防御CC攻击的典型配置举例。CC攻击是一种占满服务器并发连接数,尽可能使请求避开缓存而直接读数据库,读数据库要找最消耗资源的查询,最好无法利用索引,每个查询都全表扫描,用最小的攻击资源起到最大的拒绝服务效果的攻击。

5.2  使用限制

本节所涉及配置仅适用于防御CC攻击,比如HTTP GET FLOOD、HTTP POST FLOOD等。

5.3  防御CC攻击配置举例

5.3.1  适用产品和版本

本配置适用于H3C SecPath AFC设备,这里以BGP二层回流模式组网举例。

软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。

5.3.2  组网需求

为实现对攻击被保护IP 200.2.0.100的流量的清洗,在核心交换设备处旁路部署一台异常流量清洗系统。核心交换机通过接口G1/0/18和AFC设备的接口M2/GE0连接建立BGP邻居,进行引流清洗和流量回注。组网如图1所示。

图5-1 AFC串联部署模式配置组网图

 

5.3.3  配置思路

要实现AFC防御CC攻击能力,可按照如下思路进行AFC配置:

·     把受保护服务器添加进AFC的防护范围;

·     开启针对80端口的TCP端口保护;

·     在端口上启用web插件,采用应用层源认证方式防御CC攻击。

5.3.4  配置注意事项

·     受保护服务器的TCP端口集要和端口保护设置集序号保持一致。

·     Web插件的开启有两种方式,自动开启和手动开启。如果想自动启用插件,您需要根据自己的现网流量情况根据经验设置“攻击频率检测”阈值。

5.3.5  配置步骤

1. 添加防护主机

通过HTTP方式登录AFC web管理界面,登录界面下图所示。

默认账号:admin,默认密码:admin。

图5-2 AFC Web登录界面

 

点击“防护范围”→“添加”,添加主机防护范围 ,添加的防护范围要包含受保护服务器IP。在图1的组网图中只有1个受保护服务器,因此防护范围的开始地址和结束地址可以都设为200.2.0.100。

图5-3 AFC添加防护范围

 

因为旁路组网不像串联组网那样可以支持自动发现主机功能,因此需要在“主机状态”里手动添加受保护服务器IP,如下图所示。添加完成后,就可以在主机状态里看到受保护服务器IP了。

图5-4 AFC添加防护主机

 

2. 添加TCP端口保护

点击“防御配置”→“TCP端口保护”→“添加”,添加80端口的TCP端口保护。

图5-5 AFC添加TCP端口保护

 

图5-6 AFC添加TCP端口防护参数

 

提示

·     攻击频率大于攻击频率检测设置值, web插件自动开启。如果没有手动启用插件的话,这里一定要填写。

·     连接数量限制限制每个客户端允许与主机建立的连接数量,超出设置值连接被屏蔽,要根据经验设置此值。

·     踢出/探测 权重:限制每个客户端与主机建立的空连接的数量,超出设备限制则客户端与此主机的访问被屏蔽,屏蔽时间为系统防护参数中的屏蔽持续时间设置的值。

·     协议类型选择HTTP且防护模式勾上“接受协议”表示接受http协议,否则拒绝HTTP协议。

·     一般情况下如果启用web插件就要勾上“超时连接”,否则已建立连接不会释放。

·     “延时提交”是当客户端与AFC建立三次握手后,等待客户端发送GET请求后,AFC再和服务器建立三次握手,一般情况下也要勾上。

·     模块参数1:web插件验证方式,可选0,1,2,3,4,或,256,257,258,259,260。此值大于256,表示对所有类型的页面进行验证。0或256:不执行跳转过程;1或257:一般验证模式,不需要手工干预;2或258:复杂验证模式,不需要手工干预;3或259:严格验证模式,打开网页时会出现点击进入的对话框,手工点击进入;4或260:完美验证模式,需要配合验证服务器进行验证。

·     模块参数2:相同请求次数限制,超过设置值,屏蔽客户端。一般设置为10.

·     模块参数3:监测服务器回应,非缓存请求限制,检测服务器回应,服务器首次回应“200 OK”,若老化时间段内继续访问,则服务器回应“304 Not Modified”,“304”若超过限定次数,则屏蔽客户端;根据主机服务填写数值  建议10。攻击机都是没有cookie缓存的请求,此时服务器会回应“304 Not Modified”。

·     模块参数4:GZIP压缩开关,支持验证脚本,GZIP压缩开关,填写0表示关闭此功能,1表示开启此功能

·     模块参数5:手动点击继续_中英文设置,当第一个参数设置 3或 259 时使用, 打开网页会有点击提示,0 显示 "点击继续访问",1 显示 "click to continue"

 

5.3.6  验证配置

(1)     使用工具向防护主机发送CC攻击,客户端超出连接限制设置值连接被屏蔽,如下图所示,AFC只允许同一个客户端与80端口建立30个连接,因为模拟10个客户端所以只能建立300个连接;且攻击源被加入屏蔽列表,屏蔽原因是“系统连接保护”;且防护主机进入[SYN]保护状态。

图5-7 使用工具生成CC攻击

 

图5-8 攻击主机IP被屏蔽

 

图5-9 保护主机进入[SYN]防护状态

 

(2)     使用工具向防护主机发送CC攻击,攻击频率大于攻击检测频率设置值10,防护主机进入<TCP>保护状态,web插件自动启用。如下图所示。

图5-10 使用工具产生CC攻击

 

图5-11 防护主机进入<TCP>防护状态

 

(3)     插件开启后,再访问受保护服务器的80端口就会出现如下图示的源认证页面(当前不支持自定义)。因为正常用户是活动的,出现“手动点击继续”界面时用户会点击,但攻击机不具备此能力。

图5-12 防护网站启用Web插件

 

6 AFC防御SYN Flood攻击典型配置举例

6.1  简介

本文档介绍了防SYN Flood攻击的配置举例。SYN Flood攻击利用TCP建立连接时3次握手的“漏洞”,通过原始套接字发送源地址虚假的SYN报文,使目标主机永远无法完成3次握手,占满系统的协议栈队列,资源得不到释放,进而拒绝服务,是互联网中最主要的DDOS攻击形式之一。

6.2  使用限制

本节所涉及配置仅适用于防御SYN Flood攻击。

6.3  防御SYN Flood攻击典型配置举例

6.3.1  适用产品和版本

本配置适用于H3C SecPath AFC设备,这里以单机单通道串联部署模式组网举例。

软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。

6.3.2  组网需求

为实现对攻击被保护IP 200.2.0.100的流量的清洗,在核心交换设备处串联部署一台异常流量清洗系统。组网如图13所示。

图6-1 AFC单机单通道串联部署模式配置组网图

 

6.3.3  配置思路

要实现AFC防御SYN Flood攻击能力,可按照如下思路进行AFC配置:

·     把受保护服务器添加到AFC的防护范围内;

·     根据具体应用调整全局参数里的SYN Flood保护阈值,采用内置防护算法拦截攻击报文。如果攻击频率没有超出SYN Flood保护阈值,AFC会代理服务器和客户端建立三次握手;如果攻击频率超出SYN Flood保护阈值,AFC会丢弃客户端发送的首个报文,然后代理服务器和客户端建立三次握手。

6.3.4  配置注意事项

对于SYN Flood攻击,AFC采用内置的防护算法就可以直接拦截掉攻击报文,因此配置关键在于根据具体应用调整全局参数里的SYN Flood保护阈值。

6.3.5  配置步骤

1. 添加防护主机

通过HTTP方式登录AFC web管理界面,登录界面下图所示。

默认账号:admin,默认密码:admin。

图6-2 AFC Web登录页面

 

点击“防护范围”→“添加”,添加主机防护范围 ,添加的防护范围要包含受保护服务器IP。在图13的组网图中只有1个受保护服务器,因此防护范围的开始地址和结束地址可以都设为200.2.0.100。

图6-3 配置防护范围

 

AFC串联版本有自动发现主机功能,但需要在“防御配置”----“全局参数”----“策略选项”里勾选“自动获取主机地址”,如下图所示。

图6-4 启用获取主机地址

 

勾选“自动获取主机地址”之后,只要有流量通过受保护服务器,“主机状态”界面就可以自动学习到受保护服务器IP。

2. 配置全局参数

设置“防御配置”----“全局参数”----“流量防护策略”中的“SYN Flood保护”阈值,默认是10000。

使用时可以根据具体应用调整。

图6-5 配置全局参数

 

6.3.6  验证配置

(1)     使用攻击工具Webbench(Linux下测试Web服务器的工具)向防护主机200.2.0.100打SYN Flood攻击流量触发SYN Flood保护阈值,验证防护主机进入[SYN]保护态,且攻击流量被AFC过滤。如下图所示:

图6-6 主机进入[SYN]防护状态

 

在【AFC】上抓取客户端到服务器的SYN Flood报文,报文如下图所示。

图6-7 AFC上抓取的客户端到服务器的SYN Flood报文

 

【报文分析】报文只是从eth10口输入,但是没有输出,说明所有攻击流量都被AFC拦截了。

(2)     验证正常用户184.0.0.121访问防护主机200.2.0.100需要通过SYN重传认证。在【AFC】上抓取客户端访问服务器的报文,报文如下图所示。

图6-8 AFC上抓取的184.0.0.121访问防护主机200.2.0.100的TCP第一次SYN包

 

【报文分析】第一条报文是客户端和服务器三次握手发送的SYN报文。

图6-9 AFC上抓取的184.0.0.121访问防护主机200.2.0.100的TCP第二次SYN包

 

【报文分析】内置防护算法是攻击频率超出SYN Flood保护阈值,AFC丢弃客户端发送的首个SYN报文,抓取的报文可以验证。客户端发送的第一个SYN包被AFC丢弃,客户端又重新发了一个SYN包。

图6-10 AFC代理服务器回应SYN_ACK报文

 

【报文分析】客户端重新发送SYN包后,【AFC】代理服务器给客户端回应[SYN,ACK]报文。真实客户端会回应【AFC】ACK报文,虚假客户端不会回应。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们