18-攻击检测及防范配置
本章节下载 (274.43 KB)
攻击检测及防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施,例如输出告警日志、丢弃报文或加入黑名单。
本特性能够检测包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击,并能对各类型攻击采取合理的防范措施。除此之外,该特性还支持流量统计功能,基于接口对IP报文流量进行分析和统计。
根据攻击报文表现出的不同特征,设备可以防范的网络攻击类型可以划分为以下三大类:单包攻击、扫描攻击和泛洪攻击。
单包攻击也称为畸形报文攻击。攻击者通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃,给目标系统带来损失,或者通过发送大量无用报文占用网络带宽等行为来造成攻击。
设备可以对表1-1中所列的各单包攻击行为进行有效防范。
表1-1 单包攻击类型及说明列表
单包攻击类型 |
说明 |
Fraggle |
攻击者通过向目标网络发送UDP端口为7的ECHO报文或者UDP端口为19的Chargen报文,令网络产生大量无用的应答报文,占满网络带宽,达到攻击目的。 |
ICMP Redirect |
攻击者向用户发送ICMP重定向报文,更改用户主机的路由表,干扰用户主机正常的IP报文转发。 |
ICMP Unreachable |
某些系统在收到不可达的ICMP报文后,对于后续发往此目的地的报文判断为不可达并切断对应的网络连接。攻击者通过发送ICMP不可达报文,达到切断目标主机网络连接的目的。 |
LAND |
攻击者向目标主机发送大量源IP地址和目的IP地址都是目标主机自身的TCP SYN报文,使得目标主机的半连接资源耗尽,最终不能正常工作。 |
Large ICMP |
某些主机或设备收到超大的报文,会引起内存分配错误而导致协议栈崩溃。攻击者通过发送超大ICMP报文,让目标主机崩溃,达到攻击目的。 |
Route Record |
攻击者利用IP报文中的Route Record路由选项对网络结构进行探测。 |
Smurf |
攻击者向目标网络发送ICMP应答请求,该请求包的目的地址设置为目标网络的广播地址,这样该网络中的所有主机都会对此ICMP应答请求作出答复,导致网络阻塞,从而达到令目标网络中主机拒绝服务的攻击目的。 |
Source Route |
攻击者利用IP报文中的Source Route路由选项对网络结构进行探测。 |
TCP Flag |
不同操作系统对于非常规的TCP标志位有不同的处理。攻击者通过发送带有非常规TCP标志的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的。 |
Tracert |
攻击者连续发送TTL从1开始递增的目的端口号较大的UDP报文,报文每经过一个路由器,其TTL都会减1,当报文的TTL为0时,路由器会给报文的源IP设备发送一个TTL超时的ICMP报文,攻击者借此来探测网络的拓扑结构。 |
WinNuke |
攻击者向安装(或使用)Windows系统的特定目标的NetBIOS端口(139)发送OOB(out-of-band)数据包,这些攻击报文的指针字段与实际的位置不符,从而引起一个NetBIOS片断重叠,致使已与其他主机建立连接的目标主机在处理这些数据的时候系统崩溃。 |
扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备。
泛洪攻击是指,攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,而无法为合法用户提供正常服务,即发生拒绝服务。
设备支持对以下三种泛洪攻击进行有效防范:
· SYN Flood攻击
由于资源的限制,TCP/IP协议栈只能允许有限个TCP连接。SYN Flood攻击者向服务器发送伪造源地址的SYN报文,服务器在回应SYN ACK报文后,由于目的地址是伪造的,因此服务器不会收到相应的ACK报文,从而在服务器上产生一个半连接。若攻击者发送大量这样的报文,被攻击服务器上会出现大量的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时。
· ICMP Flood攻击
ICMP Flood攻击是指,攻击者在短时间内向特定目标发送大量的ICMP请求报文(例如ping报文),使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。
· UDP Flood攻击
UDP Flood攻击是指,攻击者在短时间内向特定目标发送大量的UDP报文,致使目标系统负担过重而不能处理正常的业务。
黑名单功能是根据报文的源IP地址进行报文过滤的一种攻击防范特性。同基于ACL(Access Control List,访问控制列表)的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤,从而有效地将特定IP地址发送来的报文屏蔽掉。
黑名单可以由设备动态地进行添加或删除,这种动态添加是与扫描攻击防范功能或者用户登录设备的认证功能配合实现的,动态生成的黑名单表项会在一定的时间之后老化。具体实现是:
· 当设备根据报文的行为特征检测到某特定IP地址的扫描攻击企图之后,便将攻击者的IP地址自动加入黑名单,之后该IP地址发送的报文会被设备过滤掉。
· 当设备检测到某用户通过FTP、Telnet、SSH、SSL或Web方式尝试登录设备的失败次数达到指定阈值之后,便判定其为恶意攻击用户,并将其源IP地址自动加入黑名单,之后来自该IP地址且访问本设备的报文将被设备过滤掉。此处所指的认证失败情况包括:用户名错误、密码错误、验证码错误(针对Web登录用户)。该功能可以有效防范恶意用户通过不断尝试登录认证,尝试破解登录密码的攻击行为。目前,用户登录失败次数的阈值为6,黑名单的老化时间为10分钟,且均不可配。
除上面所说的动态方式之外,设备还支持手动方式添加或删除黑名单。手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项建立后,一直存在,除非用户手工删除该表项。非永久黑名单表项的老化时间由用户指定,超出老化时间后,设备会自动将该黑名单表项删除,黑名单表项对应的IP地址发送的报文即可正常通过。
目前,设备支持登录认证失败后的黑名单添加功能。
流量统计功能主要用于对内外部网络之间的会话建立情况进行统计与分析,具有一定的实时性,可帮助网络管理员及时掌握网络中各类型会话的统计值,并可作为制定攻击防范策略的一个有效依据。比如,通过分析外部网络向内部网络发起的TCP或UDP会话建立请求总数是否超过设定的阈值,可以确定是否需要限制该方向的新建会话,或者限制向内部网络某一IP地址发起新建会话。
目前,设备支持的流量统计项包括:
· 总会话数
· 新建会话的速率
· TCP会话数
· 半开状态的TCP会话数
· 半闭状态的TCP会话数
· TCP会话的创建速率
· UDP会话数
· UDP会话的创建速率
· ICMP会话数
· ICMP会话的创建速率
· RAW IP会话数
· RAW IP会话的创建速率
· 会话创建速率的统计周期为5秒,因此设备上显示的统计值为距离当前时刻最近的一个周期内的会话创建速率统计值。
· 流量统计功能并不关心会话的状态(除TCP的半开和半闭状态),只要有会话创建,那么会话数目的统计值就加1,同理,只要有会话被删除,该统计值就减1。
攻击检测及防范的配置任务从功能上可划分为表1-2所列的三大类。
· 配置接口上的攻击防范功能首先需要创建一个攻击防范策略,然后在该策略中配置具体类型的攻击防范特性,比如Smurf攻击防范、扫描攻击防范、泛洪攻击防范,最后再将该策略应用到具体的接口上。各类型的攻击防范功能之间没有先后顺序,用户可以根据实际需求进行配置。
· 黑名单功能既可单独使用,也可以与接口上的扫描攻击防范功能配合使用。
· 流量统计功能可单独使用。
配置任务 |
说明 |
详细配置 |
||
配置接口上的攻击防范 |
创建攻击防范策略 |
必选 |
||
配置攻击防范策略 |
配置单包攻击防范策略 |
必选 可根据实际组网需求,配置其中的一种或多种 |
||
配置扫描攻击防范策略 |
||||
配置泛洪攻击防范策略 |
||||
在接口上应用攻击防范策略 |
必选 |
|||
配置黑名单 |
可选 |
|||
配置接口上流量统计 |
可选 |
|||
配置TCP分片攻击防范 |
在配置攻击防范之前,必须首先创建一个攻击防范策略,并进入该攻击防范策略视图。在该视图下,可以定义一个或多个用于检测攻击的特征项,以及对检测到的攻击报文所采取的防范措施。
在创建攻击防范策略的同时,还可以指定独享该策略的接口,即,该策略仅能被应用在这一个指定的接口上。
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建一个攻击防范策略,并进入攻击防范策略视图 |
attack-defense policy policy-number [ interface interface-type interface-number ] |
必选 缺省情况下,不存在任何攻击防范策略 |
在一个攻击防范策略中,可以根据实际的网络安全需求来配置策略中的具体内容,主要包括针对攻击类型指定检测条件及采取的防范措施。
不同类型的攻击防范策略在配置内容上有所不同,下面将按照攻击类型(单包攻击、扫描攻击、泛洪攻击)分别进行介绍。
单包攻击防范主要通过分析经过设备的报文特征来判断报文是否具有攻击性,一般应用在设备连接外部网络的接口上,且仅对应用了攻击防范策略的接口上的入方向报文有效。若设备检测到某报文具有攻击性,则默认会输出告警日志,另外还可以根据配置将检测到的攻击报文做丢弃处理。
表1-4 配置单包攻击防范策略
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入攻击防范策略视图 |
attack-defense policy policy-number |
- |
使能对单包攻击的特征检测 |
signature-detect { fraggle | icmp-redirect | icmp-unreachable | land | large-icmp | route-record | smurf | source-route | tcp-flag | tracert | winnuke } enable |
必选 缺省情况下,所有类型的单包攻击的特征检测均处于未使能状态 |
配置启动Large ICMP攻击防范的ICMP报文的长度阈值 |
signature-detect large-icmp max-length length |
可选 缺省情况下,ICMP报文的长度阈值为4000字节 |
配置对单包攻击报文的处理方式为丢弃 |
signature-detect action drop-packet |
可选 缺省情况下,仅输出告警日志 |
扫描攻击防范主要通过监测网络使用者向目标系统发起连接的速率,来检测其探测行为,一般应用在设备连接外部网络的接口上,且仅对应用了攻击防范策略的接口上的入方向报文有效。若设备监测到某IP地址主动发起的连接速率达到或超过了一定阈值,则会输出告警日志并丢弃来自该IP地址的后续报文,还可以根据配置将检测到的攻击者的源IP地址加入黑名单。
表1-5 配置扫描攻击防范策略
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入攻击防范策略视图 |
attack-defense policy policy-number |
- |
|
使能扫描攻击防范 |
defense scan enable |
必选 缺省情况下,扫描攻击防范处于未使能状态 |
|
配置启动扫描攻击防范的连接速率阈值 |
defense scan max-rate rate-number |
可选 缺省情况下,启动扫描攻击防范的连接速率阈值为每秒4000个连接数 |
|
配置检测到扫描攻击后的黑名单功能 |
使能扫描攻击防范的黑名单添加功能 |
defense scan add-to-blacklist |
可选 缺省情况下,扫描攻击防范的黑名单添加功能处于未使能状态 |
配置扫描攻击防范添加的黑名单的老化时间 |
defense scan blacklist-timeout minutes |
可选 缺省情况下,黑名单的老化时间为10分钟 |
|
退回系统视图 |
quit |
- |
|
使能黑名单功能 |
blacklist enable |
要使扫描攻击防范添加的黑名单生效,则必选 缺省情况下,黑名单功能处于未使能状态 |
泛洪攻击防范主要用于保护服务器,通过监测向服务器发起连接请求的速率来检测各类泛洪攻击,一般应用在设备连接内部网络的接口上,且仅对应用了攻击防范策略的接口上的出方向报文有效。使能泛洪攻击防范后,设备处于攻击检测状态,当它监测到向某服务器发送报文的速率持续达到或超过了指定的触发阈值时,即认为该服务器受到了攻击,则进入攻击防范状态,并根据配置启动相应的防范措施(默认会输出告警日志,可配置为对后续新建连接的报文进行丢弃处理)。此后,当设备检测到向该服务器发送报文的速率低于指定的恢复阈值时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
为保护指定IP地址,攻击防范策略中支持基于IP地址的攻击防范配置。对于没有专门配置攻击防范策略的IP地址,则采用全局的参数设置来进行保护。
(1) SYN Flood攻击防范策略
表1-6 配置SYN Flood攻击防范策略
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入攻击防范策略视图 |
attack-defense policy policy-number |
- |
使能SYN Flood攻击防范 |
defense syn-flood enable |
必选 缺省情况下,SYN Flood攻击防范处于未使能状态 |
配置SYN Flood攻击防范的全局参数(触发阈值、恢复阈值) |
defense syn-flood rate-threshold high rate-number [ low rate-number ] |
可选 缺省情况下,触发阈值(high)为每秒1000个报文数,恢复阈值(low)为每秒750个报文数 |
对指定IP地址配置SYN Flood攻击防范参数(触发阈值、恢复阈值) |
defense syn-flood ip ip-address rate-threshold high rate-number [ low rate-number ] |
可选 缺省情况下,未对任何指定IP地址配置SYN Flood攻击防范参数 |
配置对SYN Flood攻击报文的处理方式为丢弃 |
defense syn-flood action drop-packet |
可选 缺省情况下,仅输出告警日志 |
(2) ICMP Flood攻击防范策略
表1-7 配置ICMP Flood攻击防范策略
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入攻击防范策略视图 |
attack-defense policy policy-number |
- |
使能ICMP Flood攻击防范 |
defense icmp-flood enable |
必选 缺省情况下,ICMP Flood攻击防范处于未使能状态 |
配置ICMP Flood攻击防范的全局参数(触发阈值、恢复阈值) |
defense icmp-flood rate-threshold high rate-number [ low rate-number ] |
可选 缺省情况下,触发阈值(high)为每秒1000个报文数,恢复阈值(low)为每秒750个报文数 |
对指定IP地址配置ICMP Flood攻击防范参数(触发阈值、恢复阈值) |
defense icmp-flood ip ip-address rate-threshold high rate-number [ low rate-number ] |
可选 缺省情况下,未对任何指定IP地址配置ICMP Flood攻击防范参数 |
配置对ICMP Flood攻击报文的处理方式为丢弃 |
defense icmp-flood action drop-packet |
可选 缺省情况下,仅输出告警日志 |
(3) UDP Flood攻击防范策略
表1-8 配置UDP Flood攻击防范策略
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入攻击防范策略视图 |
attack-defense policy policy-number |
- |
使能UDP Flood攻击防范 |
defense udp-flood enable |
必选 缺省情况下,UDP Flood攻击防范处于未使能状态 |
配置UDP Flood攻击防范的全局参数(触发阈值、恢复阈值) |
defense udp-flood rate-threshold high rate-number [ low rate-number ] |
可选 缺省情况下,触发阈值(high)为每秒1000个报文数,恢复阈值(low)为每秒750个报文数 |
对指定IP地址配置UDP Flood攻击防范参数(触发阈值、恢复阈值) |
defense udp-flood ip ip-address rate-threshold high rate-number [ low rate-number ] |
可选 缺省情况下,未对任何指定IP地址配置UDP Flood攻击防范参数 |
配置对UDP Flood攻击报文的防范动作为丢包 |
defense udp-flood action drop-packet |
可选 缺省情况下,仅输出告警日志 |
通过下面的配置,使已配置的攻击防范策略在具体的接口上生效。
表1-9 配置在接口上应用攻击防范策略
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置在接口上应用攻击防范策略 |
attack-defense apply policy policy-number |
必选 缺省情况下,接口上未应用任何攻击防范策略 在接口上应用的攻击防范策略必须是已经存在的 |
通过配置黑名单功能可以对来自指定IP地址的报文进行过滤。
黑名单的配置包括使能黑名单功能和添加黑名单表项。添加黑名单表项的同时可以选择配置黑名单表项的老化时间,若不配置,那么该黑名单表项永不老化,除非用户手动将其删除。
表1-10 配置黑名单
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能黑名单功能 |
blacklist enable |
必选 缺省情况下,黑名单功能处于未使能状态 |
添加黑名单表项 |
blacklist ip source-ip-address [ timeout minutes ] |
可选 扫描攻击防范功能可以自动添加黑名单表项 |
黑名单表项除了可以手工添加之外,还可以通过扫描攻击防范自动添加。具体来讲就是,在黑名单功能使能的前提下,若配置了扫描攻击防范及相应的黑名单添加功能,则可以将检测到的扫描攻击方IP地址添加到黑名单中。扫描攻击防范添加的黑名单必定会老化,老化时间可配。关于扫描攻击防范的相关配置请参见“1.3.2 2. 配置扫描攻击防范策略”。
为了得到接口上的流量统计信息,需要通过下面的配置在具体接口上使能流量统计。设备支持两种方式的流量统计功能:
· 基于接口入方向/出方向的流量统计:对接口上收到或发送的报文进行流量统计。
· 基于源IP地址/目的IP地址的流量统计:对接口上收到的报文按照源IP地址进行流量统计,或对接口上发送的报文按照目的IP地址进行流量统计。
表1-11 使能接口上的流量统计功能
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
使能接口上的流量统计功能 |
flow-statistics enable { destination-ip | inbound | outbound | source-ip } |
必选 缺省情况下,未使能任何类型的流量统计 |
设备上开启TCP分片攻击防范功能后,能够对收到的TCP分片报文的长度以及分片偏移量进行合法性检测,并丢弃非法的TCP分片报文。
需要注意的是,如果设备上开启了TCP分片攻击防范功能,并应用了单包攻击防范策略,则TCP分片攻击防范功能会先于单包攻击防范策略检测并处理入方向的TCP报文。
表1-12 配置TCP分片攻击防范
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启TCP分片攻击防范功能 |
attack-defense tcp fragment enable |
缺省情况下,TCP分片攻击防范功能处于开启状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后攻击检测及防范的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除攻击检测及防范的统计信息。
操作 |
命令 |
显示接口上的攻击防范统计信息 |
display attack-defense statistics interface interface-type interface-number [ | { begin | exclude | include } regular-expression ] |
显示攻击防范策略的配置信息 |
display attack-defense policy [ policy-number ] [ | { begin | exclude | include } regular-expression ] |
显示黑名单信息 |
display blacklist { all | ip sour-address } [ | { begin | exclude | include } regular-expression ] |
显示接口上的流量统计信息 |
display flow-statistics statistics interface interface-type interface-number { inbound | outbound } [ | { begin | exclude | include } regular-expression ] |
显示接口上基于IP地址的流量统计信息 |
display flow-statistics statistics { destination-ip dest-ip-address | source-ip src-ip-address } [ vpn-instance vpn- instance-name ] [ | { begin | exclude | include } regular-expression ] |
清除接口上的攻击防范统计信息 |
reset attack-defense statistics interface interface-type interface-number |
Router上的接口GigbitEthernet1/1与内部网络连接,接口GigbitEthernet1/2与外部网络连接,接口GigbitEthernet1/3与一台内部服务器连接。现有如下安全需求:
· 防范外部网络对内部网络主机的Smurf攻击和扫描攻击;
· 防范外部网络对内部服务器的SYN Flood攻击。
为满足以上需求,需要在Router上做如下配置:
· 在接口GigabitEthernet1/2上配置Smurf攻击防范和扫描攻击防范,设置扫描攻击防范的黑名单添加功能,并配置启动扫描攻击防范的连接速率阈值为每秒4500个连接数。
· 在接口GigabitEthernet1/3上配置SYN Flood攻击防范,当设备监测到向某IP地址每秒发送的SYN报文数持续达到或超过5000时,阻断发往该服务器的后续SYN报文;当设备监测到该值低于1000时,认为攻击结束,允许继续向该服务器发送SYN报文。
# 配置各接口的IP地址,略。
# 使能黑名单功能。
<Router> system-view
[Router] blacklist enable
# 创建攻击防范策略1。
[Router] attack-defense policy 1
# 使能Smurf攻击防范。
[Router-attack-defense-policy-1] signature-detect smurf enable
# 使能扫描攻击防范。
[Router-attack-defense-policy-1] defense scan enable
# 配置启动扫描攻击防范的连接速率阈值为4500。
[Router-attack-defense-policy-1] defense scan max-rate 4500
# 将扫描攻击防范检测到的源IP地址加入黑名单。
[Router-attack-defense-policy-1] defense scan add-to-blacklist
[Router-attack-defense-policy-1] quit
# 在接口GigabitEthernet1/2上应用攻击防范策略1。
[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] attack-defense apply policy 1
[Router-GigabitEthernet1/2] quit
# 创建攻击防范策略2。
[Router] attack-defense policy 2
# 使能SYN Flood攻击防范。
[Router-attack-defense-policy-2] defense syn-flood enable
# 为保护IP地址为10.1.1.2的内部服务器,配置针对IP地址10.1.1.2的SYN Flood攻击防范参数,触发阈值为5000,恢复阈值为1000。
[Router-attack-defense-policy-2] defense syn-flood ip 10.1.1.2 rate-threshold high 5000 low 1000
# 配置发现SYN Flood攻击后,对后续报文进行丢弃处理。
[Router-attack-defense-policy-2] defense syn-flood action drop-packet
[Router-attack-defense-policy-2] quit
# 在接口GigabitEthernet1/3上应用攻击防范策略2。
[Router] interface gigabitethernet 1/3
[Router-GigabitEthernet1/3] attack-defense apply policy 2
[Router-GigabitEthernet1/3] quit
完成以上配置后,可以通过display attack-defense policy命令查看配置的攻击防范策略1和2的具体内容。
如果接口GigabitEthernet1/2上收到Smurf攻击报文,设备输出告警日志;如果接口GigabitEthernet1/2上收到扫描攻击报文,设备输出告警日志,并将攻击者的IP加入黑名单;如果接口GigabitEthernet1/3上收到SYN Flood攻击报文,设备输出告警日志,并对后续报文进行丢弃处理。
之后,可以通过display attack-defense statistics interface命令查看各接口上攻击防范的统计信息。若有扫描攻击发生,还可以通过display blacklist命令查看由扫描攻击防范自动添加的黑名单信息。
网络管理员通过流量分析发现外部网络中存在一个攻击者Host D,需要将来自Host D的报文在Router上永远过滤掉。另外,网络管理员为了暂时控制内部网络Host C的访问行为,需要将Router上收到的Host C的报文阻止50分钟。
图1-2 黑名单配置典型组网图
# 配置各接口的IP地址,略。
# 使能黑名单功能。
<Router> system-view
[Router] blacklist enable
# 将Host D的IP地址5.5.5.5添加到黑名单中,缺省永不老化。
[Router] blacklist ip 5.5.5.5
# 将Host C的IP地址192.168.1.4添加到黑名单中,老化时间为50分钟。
[Router] blacklist ip 192.168.1.4 timeout 50
完成以上配置后,可以通过display blacklist all命令查看已添加的黑名单信息。
[Router] display blacklist all
Blacklist information
------------------------------------------------------------------------------
Blacklist : enabled
Blacklist items : 2
------------------------------------------------------------------------------
IP Type Aging started Aging finished Dropped packets
YYYY/MM/DD hh:mm:ss YYYY/MM/DD hh:mm:ss
5.5.5.5 manual 2008/04/09 16:02:20 Never 0
192.168.1.4 manual 2008/04/09 16:02:26 2008/04/09 16:52:26 0
配置生效后,Router对来自Host D的报文一律进行丢弃处理,除非管理员认为Host D不再是攻击者,通过undo blacklist ip 5.5.5.5将其从黑名单中删除;如果Router接收到来自Host C的报文,则在50分钟之内,一律对其进行丢弃处理,50分钟之后,才进行正常转发。
管理员在Router的GigabitEthernet1/1接口上配置流量统计功能对出方向的流量进行统计和监测,并配合UDP Flood攻击防范配置来防范外网对内部服务器的攻击。
图1-3 流量统计配置典型组网图
# 配置各接口的IP地址,略。
# 创建攻击防范策略1。
<Router> system-view
[Router] attack-defense policy 1
# 使能UDP Flood攻击防范。
[Router-attack-defense-policy-1] defense udp-flood enable
# 配置启动UDP Flood攻击防范的全局触发阈值为每秒100个报文数。
[Router-attack-defense-policy-1] defense udp-flood rate-threshold high 100
# 配置发现UDP Flood攻击后,对后续报文进行丢弃处理。
[Router-attack-defense-policy-1] defense udp-flood action drop-packet
[Router-attack-defense-policy-1] quit
# 在接口GigabitEthernet1/1上应用攻击防范策略1。
[Router] interface gigabitethernet 1/1
[Router-GigabitEthernet1/1] attack-defense apply policy 1
# 在接口GigabitEthernet1/1的出方向上使能流量统计功能。
[Router-GigabitEthernet1/1] flow-statistic enable outbound
# 在接口GigabitEthernet1/1上使能基于报文目的IP地址的流量统计功能。
[Router-GigabitEthernet1/1] flow-statistic enable destination-ip
若有针对服务器的攻击发生时,可以通过查看接口上的流量统计信息来判断攻击报文的详细情况。
[Router-GigabitEthernet1/1] display flow-statistics statistics destination-ip 10.1.1.2
Flow Statistics Information
------------------------------------------------------------
IP Address : 10.1.1.2
------------------------------------------------------------
Total number of existing sessions : 13676
Session establishment rate : 2735/s
TCP sessions : 0
Half-open TCP sessions : 0
Half-close TCP sessions : 0
TCP session establishment rate : 0/s
UDP sessions : 13676
UDP session establishment rate : 2735/s
ICMP sessions : 0
ICMP session establishment rate : 0/s
RAWIP sessions : 0
RAWIP session establishment rate : 0/s
[Router-GigabitEthernet0/1] display flow-statistics statistics interface gigabitethernet 1/1 outbound
Flow Statistics Information
------------------------------------------------------------
Interface : GigabitEthernet1/1
------------------------------------------------------------
Total number of existing sessions : 13676
Session establishment rate : 2735/s
TCP sessions : 0
Half-open TCP sessions : 0
Half-close TCP sessions : 0
TCP session establishment rate : 0/s
UDP sessions : 13676
UDP session establishment rate : 2735/s
ICMP sessions : 0
ICMP session establishment rate : 0/s
RAWIP sessions : 0
RAWIP session establishment rate : 0/s
可以看到,接口GigabitEthernet1/1上有大量发送到10.1.1.2的UDP报文,而且新建连接速率超过了指定阈值,可以判断发生了UDP Flood攻击。通过display attack-defense statistics命令可以查看UDP Flood攻击防范生效后的相关统计信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!