• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

16-安全配置指导

目录

21-ND攻击防御配置

本章节下载 21-ND攻击防御配置  (193.51 KB)

21-ND攻击防御配置


1 ND攻击防御

1.1  ND攻击防御简介

ND协议功能强大,但是却没有任何安全机制,容易被攻击者利用。图1-1所示,当Device作为接入设备时,攻击者Host B可以仿冒其他用户、仿冒网关发送伪造的ND报文,对网络进行攻击:

·     如果攻击者仿冒其他用户的IPv6地址发送NS/NA/RS报文,将会改写网关或者其他用户的ND表项,导致被仿冒用户的报文错误的发送到攻击者的终端上。

·     如果攻击者仿冒网关发送RA报文,会导致其他用户的IPv6配置参数错误和ND表项被改写。

图1-1 ND攻击示意图

 

伪造的ND报文具有如下特点:

·     伪造的ND报文中源MAC地址和源链路层选项地址中的MAC地址不一致。

·     伪造的ND报文中源IPv6地址和源MAC地址的映射关系不是合法用户真实的映射关系。

根据上述攻击报文的特点,设备开发了多种功能对ND攻击进行检测,可以有效地防范ND攻击带来的危害。

1.2  开启ND协议报文源MAC地址一致性检查功能

1. 功能简介

ND协议报文源MAC地址一致性检查功能主要应用于网关设备上,防御ND报文中的源MAC地址和以太网数据帧首部中的源MAC地址不同的ND攻击。

开启本特性后,网关设备会对接收的ND协议报文进行检查。如果ND报文中的源MAC地址和以太网数据帧首部中的源MAC地址不一致,则认为是攻击报文,将其丢弃;否则,继续进行ND学习。

若开启ND日志信息功能,当用户ND报文中的源MAC地址和以太网数据帧首部中的源MAC地址不同时,会有相关的日志信息输出。设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启ND协议报文源MAC地址一致性检查功能。

ipv6 nd mac-check enable

缺省情况下,ND协议报文源MAC地址一致性检查功能处于关闭状态。

(3)     (可选)开启ND日志信息功能。

ipv6 nd check log enable

缺省情况下,ND日志信息功能处于关闭状态。

为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。

1.3  配置ND Detection功能

1.3.1  功能简介

ND Detection功能用来检查用户的合法性,主要应用于接入设备上。开启ND Detection功能后,合法用户的ND报文可以正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。

ND Detection既可以用于VLAN组网。

ND Detection功能将接入设备上的接口(VLAN组网)分为两种:

·     ND信任接口/ND信任AC:不进行用户合法性检查;

·     ND非信任接口/ND非信任AC:如果收到RA和RR消息,则认为是非法报文直接丢弃,如果收到其它类型的ND报文,则需要进行用户合法性检查,以防止仿冒用户的攻击。

用户合法性检查的方法为:将ND报文中源IPv6地址和源MAC地址与设备上的IPv6 Source Guard静态绑定表项、ND Snooping表项和DHCPv6 Snooping安全表项进行匹配。如果设备上存在与报文源IPv6地址和源MAC地址匹配的任意一种表项,则认为该ND报文合法,进行转发。否则,认为该报文非法,直接丢弃。

各种表项的生成方式为:

·     IPv6 Source Guard静态绑定表项:通过ipv6 source binding命令生成,详细介绍请参见“安全配置指导”中的“IP Source Guard”。

·     ND Snooping表项:通过ND Snooping功能自动生成,详细介绍请参见“网络互通配置指导”中的“IPv6邻居发现”。

·     DHCPv6 Snooping安全表项:通过ND Snooping功能自动生成,详细介绍请参见“网络互通配置指导”中的“DHCPv6 Snooping”。

1.3.2  配置限制和指导

配置ND Detection功能时,必须至少配置IPv6 Source Guard静态绑定表项、DHCPv6 Snooping功能和ND Snooping功能三者之一,否则所有从ND非信任接口收到的ND报文都将被丢弃。

在与ND Detection功能配合时,IPv6 Source Guard绑定表项中必须指定VLAN参数,且该VLAN为配置ND Detection功能的VLAN,否则ND报文将无法通过接口的IPv6 Source Guard静态绑定表项的检查。

1.3.3  在VLAN内配置ND Detection功能

(1)     进入系统视图。

system-view

(2)     进入VLAN视图。

vlan vlan-id

(3)     开启ND Detection功能。

ipv6 nd detection enable

缺省情况下,ND Detection功能处于关闭状态。即不进行用户合法性检查。

(4)     (可选)将不需要进行用户合法性检查的接口配置为ND信任接口。

a.     退回系统视图。

quit

b.     进入接口视图。

interface interface-type interface-number

c.     将不需要进行用户合法性检查的接口配置为ND信任接口。

ipv6 nd detection trust

缺省情况下,接口为ND非信任接口。

1.3.4  配置ND Detection日志功能

1. 功能简介

配置ND Detection日志功能后,设备在检测到非法ND报文时将生成检测日志,日志内容包括:

·     在VLAN组网中,显示的是受到攻击的端口编号;

·     非法ND报文的源IP地址;

·     非法ND报文的源MAC地址;

·     非法ND报文所属的VLAN ID;

·     丢弃的ND报文总数。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启ND Detection日志功能。

ipv6 nd detection log enable

缺省情况下,ND Detection日志功能处于关闭状态。

1.3.5  ND Detection功能显示和维护

可在任意视图下执行以下命令,显示ND Detection丢弃报文的统计信息。

display ipv6 nd detection statistics [ interface interface-type interface-number ]

请在用户视图下执行以下命令,清除ND Detection的统计信息。

reset ipv6 nd detection statistics [ interface interface-type interface-number ]

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们