- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
09-Flood攻击防护典型配置举例
本章节下载 (318.38 KB)
本文档介绍F1000-ServerBlade设备Flood攻击防护配置举例,包括目的IP防御和接口防御。为保护指定IP地址,Flood攻击防范支持基于IP地址的攻击防范配置,对于没有专门配置攻击防护的IP地址的情况,则采用接口上的全局配置参数设置来进行保护。
在配置Flood攻击防护前,先了解如下几个定义:
Flood攻击是指,攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,而无法为合法用户提供正常服务,即发生拒绝服务。
当前支持对以下四种攻击进行有效防范:
· SYN Flood攻击
由于资源的限制,TCP/IP协议栈只能允许有限个TCP连接。SYN Flood攻击者向服务器发送伪造源地址的SYN报文,服务器在回应SYN ACK报文后,由于目的地址是伪造的,因此服务器不会收到相应的ACK报文,从而在服务器上产生一个半连接。若攻击者发送大量这样的报文,被攻击服务器上会出现大量的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时。
· ICMP Flood攻击
ICMP Flood攻击是指,攻击者在短时间内向特定目标发送大量的ICMP请求报文,使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务。
· UDP Flood攻击
UDP Flood攻击是指,攻击者在短时间内向特定目标发送大量的UDP报文,致使目标系统负担过重而不能处理正常的业务。
· DNS Flood攻击
DNS Query Flood 攻击采用的方法是向被攻击的DNS 服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络上根本不存在的域名。被攻击的DNS 服务器在接收到域名解析请求时,首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析时,DNS 服务器会向其上层DNS 服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS 服务器解析域名超时。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解Flood攻击防护的特性。
如图1所示,内网用户通过设备访问外网资源。
(1) 配置保护IP地址为172.18.2.2-172.18.2.10,开启UDP Flood防御阈值为1000的规则。
(2) 在设备的npi0接口,开启UDP flood防御,并设置其对源主机和目的主机的限制阈值都为1000。
(1) 按照组网图组网。
(2) 配置目的IP防御。
如图2所示,使用http或https的方式登录设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。
图2 登录H3C 设备 Web网管
(1) 通过菜单“安全防护>网络层攻击防护>Flood攻击防护>目的IP防御”打开显示页面,点击上面的<新建>按钮,如图3所示,在弹出的新建页面中进行配置。
图3 目的IP防御配置页面
(2) 完成配置后,点击<提交>按钮,规则创建成功。
通过菜单“安全防护 > 攻击防护 > Flood攻击防护 > 接口防御”,点击<新建>按钮,在弹出的新建页面进行配置,如图4所示配置完成后,点击<提交>按钮,完成接口防御的配置。
· 《H3C SecPath F1000-ServerBlade安全产品管理平台Web配置手册》中的“安全防护”
· 《H3C SecPath F1000-ServerBlade安全产品管理平台配置指导》中的“安全防护配置指导”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
