- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
11-攻击检测与防范配置
本章节下载: 11-攻击检测与防范配置 (223.06 KB)
目 录
攻击检测及防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施,例如输出告警日志、丢弃报文、加入黑名单列表。
DoS(Denial of Service,拒绝服务)攻击的目的是使被攻击对象无法提供正常的网络服务。Login用户DoS攻击是指,攻击者通过伪造登录账户在短时间内向设备连续发起大量登录请求,占用系统认证处理资源,造成设备无法处理正常Login用户的登录请求。
为防范这类攻击,可以在设备上配置Login用户攻击防范功能,对发起恶意认证并多次尝试失败的用户报文进行丢弃。
字典序攻击是指攻击者通过收集用户密码可能包含的字符,使用各种密码组合逐一尝试登录设备,以达到猜测合法用户密码的目的。
为防范这类攻击,可以在设备上配置Login用户延时认证功能,在用户认证失败之后,延时期间不接受此用户的登录请求。
IP黑名单功能是根据报文的源IP地址进行报文过滤的一种攻击防范特性。同基于ACL(Access Control List,访问控制列表)的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤和有效屏蔽。
IP黑名单可以由设备动态或由用户手工进行添加、删除,具体机制如下:
· 动态添加黑名单是与扫描攻击防范功能配合实现的,动态生成的黑名单表项会在一定的时间之后老化。当设备根据报文的行为特征检测到某特定IP地址的扫描攻击企图之后,便将攻击者的IP地址自动加入黑名单,之后该IP地址发送的报文会被设备过滤掉。
· 手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项。永久黑名单表项建立后,一直存在,除非用户手工删除该表项。非永久黑名单表项的老化时间由用户指定,超出老化时间后,设备会自动将该黑名单表项删除。
攻击检测与防范配置任务如下:
(1) 配置黑名单
¡ 配置IP黑名单
(2) 配置Login用户攻击防范(通常单独使用)
通过配置IP黑名单功能可以对来自指定IP地址的报文进行过滤。
IP黑名单的配置包括开启黑名单过滤功能和添加IP黑名单表项。添加IP黑名单表项的同时可以选择配置IP黑名单表项的老化时间,若不配置,那么该IP黑名单表项永不老化,除非用户手动将其删除。
IP黑名单表项除了可以手工添加之外,还可以通过扫描攻击防范自动添加。具体来讲就是,在黑名单功能使能的前提下,若配置了扫描攻击防范策略及相应的IP黑名单添加功能,则可以将检测到的扫描攻击方IP地址添加到IP黑名单中。扫描攻击防范添加的IP黑名单必定会老化,老化时间可配。
若全局的黑名单过滤功能处于开启状态,则所有接口上的IP黑名单过滤功能均处于开启状态。
若全局的黑名单过滤功能处于关闭状态,则需要开启指定接口上的黑名单过滤功能。
(1) 进入系统视图。
system-view
(2) (可选)开启全局黑名单过滤功能。
blacklist global enable
缺省情况下,全局黑名单功能处于关闭状态。
(3) (可选)添加IP黑名单表项。
¡ 添加IPv4黑名单表项。
blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ] [ timeout minutes ]
¡ 添加IPv6黑名单表项。
blacklist ipv6 source-ipv6-address [ vpn-instance vpn-instance-name ] [ timeout minutes ]
(4) (可选)使能黑名单日志功能。
blacklist logging enable
缺省情况下,黑名单日志功能处于关闭状态。
Login用户攻击防范功能处于开启状态时,如果用户登录设备连续失败的次数达到指定次数,则此用户IP地址将被加入黑名单,在全局黑名单功能开启的情况下,来自该IP地址的用户报文将被阻断指定的时长。
通过Login攻击防范功能与全局黑名单功能相配合,可以有效防范Login用户DoS攻击。
(1) 进入系统视图。
system-view
(2) 开启Login用户攻击防范功能。
attack-defense login enable
缺省情况下,Login用户攻击防范功能处于关闭状态。
(3) 配置Login用户登录失败的最大次数。
attack-defense login max-attempt max-attempt
缺省情况下,Login用户登录失败的最大次数为3次。
(4) 配置Login用户登录失败后阻断时长。
attack-defense login block-timeout minutes
缺省情况下,Login用户登录失败后阻断时长为60分钟。
(5) 开启全局黑名单过滤功能。
blacklist global enable
缺省情况下,全局黑名单功能处于关闭状态。
Login用户登录失败后,若设备上配置了重新进行认证的等待时长,则系统将会延迟一定的时长之后再允许用户进行认证,可以有效地避免设备受到Login用户字典序攻击。
Login用户延迟认证功能与Login用户攻击防范功能无关,只要配置了延迟认证等待时间,即可生效。
(1) 进入系统视图。
system-view
(2) 配置Login用户登录失败后重新进行认证的等待时长。
attack-defense login reauthentication-delay seconds
缺省情况下,Login用户登录失败后重新进行认证不需要等待。
在完成上述配置后,在任意视图下执行display命令可以显示配置后攻击检测及防范的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除攻击检测及防范的统计信息。
|
操作 |
命令 |
|
显示用户配置的IPv4黑名单表项 |
display blacklist ip [ source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ] | count ] |
|
显示用户配置的IPv6黑名单表项 |
display blacklist ipv6 [ source-ipv6-address [ vpn-instance vpn-instance-name ] | count ] |
|
清除IPv4动态黑名单表项 |
reset blacklist ip { source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ] | all } |
|
清除IPv6动态黑名单表项 |
reset blacklist ipv6 { source-ipv6-address [ vpn-instance vpn-instance-name ] | all } |
|
清除黑名单表项的统计信息 |
reset blacklist statistics |
网络管理员通过流量分析发现外部网络中存在一个攻击者Host D,需要将来自Host D的报文在Router上永远过滤掉。另外,网络管理员为了暂时控制内部网络Host C的访问行为,需要将Router上收到的Host C的报文阻止50分钟。
图1-1 IP黑名单配置典型组网图
# 配置各接口的IP地址,略。
# 开启全局黑名单过滤功能。
<Router> system-view
[Router] blacklist global enable
# 将Host D的IP地址5.5.5.5添加到黑名单列表中,老化时间使用缺省情况(永不老化)。
[Router] blacklist ip 5.5.5.5
# 将Host C的IP地址192.168.1.4添加到黑名单列表中,老化时间为50分钟。
[Router] blacklist ip 192.168.1.4 timeout 50
完成以上配置后,可以通过display blacklist命令查看已添加的黑名单信息。
<Router> display blacklist ip
IP address VPN instance DS-Lite tunnel peer Type TTL(sec) Dropped
5.5.5.5 -- -- Manual Never 0
192.168.1.4 -- -- Manual 2989 0
配置生效后,Router对来自Host D的报文一律进行丢弃处理,除非管理员认为Host D不再是攻击者,通过undo blacklist ip 5.5.5.5将其从黑名单中删除;如果Router接收到来自Host C的报文,则在50分钟之内,一律对其进行丢弃处理,50分钟之后,才进行正常转发。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
