- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
21-ND攻击防御配置
本章节下载: 21-ND攻击防御配置 (251.43 KB)
ND协议功能强大,但是却没有任何安全机制,容易被攻击者利用。如图1-1所示,当Device作为接入设备时,攻击者Host B可以仿冒其他用户、仿冒网关发送伪造的ND报文,对网络进行攻击:
· 如果攻击者仿冒其他用户的IPv6地址发送NS/NA/RS报文,将会改写网关或者其他用户的ND表项,导致被仿冒用户的报文错误的发送到攻击者的终端上。
· 如果攻击者仿冒网关发送RA报文,会导致其他用户的IPv6配置参数错误和ND表项被改写。
图1-1 ND攻击示意图
伪造的ND报文具有如下特点:
· 伪造的ND报文中源MAC地址和源链路层选项地址中的MAC地址不一致。
· 伪造的ND报文中源IPv6地址和源MAC地址的映射关系不是合法用户真实的映射关系。
根据上述攻击报文的特点,设备开发了多种功能对ND攻击进行检测,可以有效地防范ND攻击带来的危害。
ND协议报文源MAC地址一致性检查功能主要应用于网关设备上,防御ND报文中的源MAC地址和以太网数据帧首部中的源MAC地址不同的ND攻击。
开启本特性后,网关设备会对接收的ND协议报文进行检查。如果ND报文中的源MAC地址和以太网数据帧首部中的源MAC地址不一致,则认为是攻击报文,将其丢弃;否则,继续进行ND学习。
若开启ND日志信息功能,当用户ND报文中的源MAC地址和以太网数据帧首部中的源MAC地址不同时,会有相关的日志信息输出。设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
(1) 进入系统视图。
system-view
(2) 开启ND协议报文源MAC地址一致性检查功能。
ipv6 nd mac-check enable
缺省情况下,ND协议报文源MAC地址一致性检查功能处于关闭状态。
(3) (可选)开启ND日志信息功能。
ipv6 nd check log enable
缺省情况下,ND日志信息功能处于关闭状态。
为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。
ND Detection功能用来检查用户的合法性,主要应用于接入设备上。开启ND Detection功能后,合法用户的ND报文可以正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。
ND Detection可以用于VLAN组网。
ND Detection功能将接入设备上的接口(VLAN组网)分为两种:
· ND信任接口/ND信任AC:不进行用户合法性检查;
· ND非信任接口/ND非信任AC:如果收到RA和RR消息,则认为是非法报文直接丢弃,如果收到其它类型的ND报文,则需要进行用户合法性检查,以防止仿冒用户的攻击。
用户合法性检查的方法为:
· 当未指定通过匹配DHCPv6中继用户表项和ND RA Prefix类型的IP Source Guard绑定表项来进行用户合法性检查时:设备会将ND报文中源IPv6地址和源MAC地址与设备上的IPv6 Source Guard静态绑定表项、ND Snooping表项和DHCPv6 Snooping安全表项进行匹配。如果设备上存在与报文源IPv6地址和源MAC地址匹配的任意一种表项,则认为该ND报文合法,进行转发。否则,认为该报文非法,直接丢弃。
· 当指定了通过匹配DHCPv6中继用户表项来进行用户合法性检查时:设备会将ND报文中源IPv6地址和源MAC地址与设备上的IPv6 Source Guard静态绑定表项、ND Snooping表项、DHCPv6 Snooping安全表项和DHCPv6中继用户表项进行匹配。如果设备上存在与报文源IPv6地址和源MAC地址匹配的任意一种表项,则认为该ND报文合法,进行转发。否则,认为该报文非法,直接丢弃。
· 当指定了通过匹配ND RA Prefix类型的IP Source Guard绑定表项来进行用户合法性检查时:设备会将ND报文中源IPv6地址与设备上的IPv6 Source Guard静态绑定表项、ND Snooping表项、DHCPv6 Snooping安全表项和ND RA Prefix类型的IP Source Guard绑定表项进行匹配。如果设备上存在与报文源IPv6地址匹配的任意一种表项,则认为该ND报文合法,进行转发。否则,认为该报文非法,直接丢弃。
各种表项的生成方式为:
· IPv6 Source Guard静态绑定表项:通过ipv6 source binding命令生成,详细介绍请参见“安全配置指导”中的“IP Source Guard”。
· ND Snooping表项:通过ND Snooping功能自动生成,详细介绍请参见“网络互通配置指导” 中的“IPv6邻居发现”。
· DHCPv6 Snooping安全表项:通过ND Snooping功能自动生成,详细介绍请参见“网络互通配置指导” 中的“DHCPv6 Snooping”。
· DHCPv6中继用户表项:通过DHCPv6中继用户表项记录功能自动生成,详细介绍请参见“网络互通配置指导”中的“DHCPv6”。
· ND RA Prefix类型的IP Source Guard绑定表项:通过ipv6 nd ra prefix source binding命令生成,详细介绍请参见“网络互通配置指导”中的“IPv6邻居发现”。
· 配置ND Detection功能时,必须至少配置IPv6 Source Guard静态绑定表项、DHCPv6 Snooping功能和ND Snooping功能三者之一,否则所有从ND非信任接口收到的ND报文都将被丢弃。
· 在与ND Detection功能配合时,IPv6 Source Guard绑定表项中必须指定VLAN参数,且该VLAN为配置ND Detection功能的VLAN,否则ND报文将无法通过接口的IPv6 Source Guard静态绑定表项的检查。
· 在接口所在VLAN开启ND Detection功能后,接口的ND Detection功能就可以开启;只有接口所在VLAN的ND Detection功能都关闭,接口的ND Detection功能才能关闭。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 开启ND Detection功能。
ipv6 nd detection enable [ dhcpv6-relay | nd-ra-prefix ]
缺省情况下,ND Detection功能处于关闭状态。即不进行用户合法性检查。
(4) (可选)将不需要进行用户合法性检查的接口配置为ND信任接口。
a. 退回系统视图。
b. quit
c. 进入接口视图。
d. interface interface-type interface-number
e. 将不需要进行用户合法性检查的接口配置为ND信任接口。
f. ipv6 nd detection trust
g. 缺省情况下,接口为ND非信任接口。
设备开启ND Detection功能后,可以根据IP Source Guard的本地表项和远端表项对接口上收到的用户报文进行安全检查。由于IP Source Guard远端表项不存在接口信息,ND Detection收到匹配远端表项的ND报文后,会因为收到报文的接口和IP Source Guard表项接口信息不匹配丢弃该报文。开启ND Detection忽略端口匹配检查功能后,ND Detection不会检查收到报文的接口信息,使匹配远端表项的ND报文能够通过检查,不会被丢弃。
(1) 进入系统视图。
system-view
(2) 开启ND Detection忽略端口匹配检查功能。
ipv6 nd detection port-match-ignore
缺省情况下,ND Detection忽略端口匹配检查功能处于关闭状态。
配置ND Detection日志功能后,设备在检测到非法ND报文时将生成检测日志,日志内容包括:
· 在VLAN组网中,显示的是受到攻击的端口编号;
· 非法ND报文的源IP地址;
· 非法ND报文的源MAC地址;
· 非法ND报文所属的VLAN ID;
· 丢弃的ND报文总数。
(1) 进入系统视图。
system-view
(2) 开启ND Detection日志功能。
(3) ipv6 nd detection log enable
缺省情况下,ND Detection日志功能处于关闭状态。
可在任意视图下执行以下命令,显示ND Detection丢弃报文的统计信息。
display ipv6 nd detection statistics [ interface interface-type interface-number [ service-instance instance-id ] ]
请在用户视图下执行以下命令,清除ND Detection的统计信息。
reset ipv6 nd detection statistics [ interface interface-type interface-number [ service-instance instance-id ] ]
设备上的ND表项可以通过邻居请求消息NS及邻居通告消息NA来动态创建,但是这个动态创建过程需要流量来触发。接口上开启了ND周期自动扫描功能后,会周期性的向指定范围内的所有ND表项中不存在的IPv6地址发送NS请求报文,从而解决了NS消息的发送依赖流量以及接口ND表项无法及时更新的问题。
接口发送NS请求报文时使用的源地址可选择指定,缺省为配置的接口IPv6地址:
· 如果开启本功能时未指定NS请求报文使用的源地址,则接口将对ND自动扫描区间和接口所在网段的交集进行扫描。如果接口上配置了多个网段的IPv6地址,且这些网段与ND自动扫描区间都有交集,则设备发送的请求消息NS的源IPv6地址为前缀较长的地址;如果前缀长度相同,则选择接口主IPv6地址。
· 如果开启本功能时指定了NS请求报文使用的源地址,则接口将对ND自动扫描区间进行扫描,不判断与接口网段的交集。
为避免影响设备转发性能,建议仅在网络中用户频繁上下线的环境下开启本功能。
(1) 进入系统视图。
system-view
(2) (可选)设置ND表项周期性自动扫描的速率。
ipv6 nd scan auto send-rate { ppm ppm | pps pps }
缺省情况下,ND表项周期性自动扫描速率为每秒发送48个包。
(3) 进入接口视图。
interface interface-type interface-number
(4) 开启ND周期自动扫描功能。
ipv6 nd scan auto enable start-ipv6-address to end-ipv6-address [ source-addr source-ipv6-address ]
缺省情况下,接口上的ND周期性扫描功能处于关闭状态。
用户可根据业务需求开启指定功能的ND模块的告警:
· 当开启了ND模块邻居表项达到阈值的告警功能后,设备会将当前的邻居表项信息记录在告警信息中,生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。
· 当开启了ND模块终端与本机冲突的告警功能后,设备将冲突报文的IPv6地址、MAC地址等信息作为告警信息发送出去,生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。
· 当开启了ND模块ND Miss消息限速的告警功能后,设备将报文速率信息作为告警信息发送出去,生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。当设备收到目标IP地址不能解析的IP报文时,会向CPU上送ND Miss消息。
· 开启了ND模块终端用户间IPv6地址冲突的告警功能后,设备会将冲突报文的发送端IPv6地址和MAC地址、发生冲突的本地表项的MAC地址等信息作为告警信息发送到设备的SNMP模块。
可以通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。有关告警信息的详细描述,请参见“网络管理和监控配置指导”中的“SNMP”。
(1) 进入系统视图。
system-view
(2) 开启ND模块的告警功能。
snmp-agent trap enable nd [ entry-limit | local-conflict | nd-miss | rate-limit | user-ip-conflict ] *
缺省情况下,ND模块的告警功能处于关闭状态。
如果不指定任何参数,则表示打开ND模块的所有告警功能。
在规模较大的组网环境中(比如园区网络),使用ND周期性扫描功能后,如果指定的扫描范围过大,会导致需要较长的时间才能扫描到异常下线的主机。开启本功能后系统可以通过Keepalive表项快速定位异常下线的主机,并在老化时间内对异常下线主机的状态进行监测。
ND的Keepalive表项的老化时间可以在系统视图和接口视图下同时配置,优先使用接口视图下的配置,如果接口视图下为缺省配置则使用系统视图下的配置。
用户上线后,系统会生成动态ND表项和IP Source Guard绑定表项。开启本功能后,系统会根据这些表项建立状态为在线的Keepalive表项。用户下线后其ND表项会被删除,对应的Keepalive表项的状态被置为离线。设备每隔一段时间会向处于离线状态的Keepalive表项对应的IPv6地址发送ND请求报文,直到Keepalive表项的状态恢复成在线或离线状态的Keepalive表项被删除。处于离线状态的Keepalive表项在老化时间内没有恢复成在线便会被删除。对于某处于离线状态的Keepalive表项,设备发送ND请求报文的间隔时间由已经向此Keepalive表项对应的IPv6地址发送的ND请求报文的个数决定。关于IP Source Guard的详细介绍,请参见“安全配置指导”中的“IP Source Guard”。
(1) 进入系统视图。
system-view
(2) (可选)设置ND的Keepalive表项扫描速率。
ipv6 nd scan keepalive send-rate pps
缺省情况下,ND的Keepalive表项扫描速率为每秒发送48个ND请求报文。
(3) (可选)配置ND的Keepalive表项的老化时间
ipv6 nd scan keepalive aging-time time
缺省情况下,系统视图下ND的Keepalive表项的老化时间为60分钟,接口视图下ND的Keepalive表项的老化时间采用系统视图下的配置。
(4) 进入接口视图。
interface interface-type interface-number
(5) 开启ND的Keepalive表项扫描功能。
ipv6 nd scan keepalive enable
缺省情况下,接口上的ND的Keepalive表项扫描功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示ND的Keepalive表项扫描的相关信息。
在用户视图下,用户可以执行reset命令清除接口向异常状态的Keepalive表项发送的ND请求报文的计数信息。
表1-1 ND的Keepalive表项扫描显示信息
|
操作 |
命令 |
|
显示ND的Keepalive表项信息 |
display ipv6 nd scan keepalive entry [ interface interface-type interface-number ] [ count ] |
|
显示接口向异常状态的Keepalive表项发送的NS报文个数 |
display ipv6 nd scan keepalive statistics [ slot slot-number ] [ interface interface-type interface-number ] |
|
清除接口向异常状态的Keepalive表项发送的NS报文的计数信息 |
reset ipv6 nd scan keepalive statistics [ slot slot-number ] |
当网络中的主机向设备发送大量目标IPv6地址不能解析的IPv6数据报文时,设备会频繁发送NS请求报文并反复解析目标IPv6地址,从而导致设备CPU负担加重。
开启ND黑洞路由功能后,一旦接收到目标IPv6地址不能解析的IPv6数据报文,设备立即产生一个黑洞路由,并同时向该IPv6地址发送NS请求报文,如果在黑洞路由老化时间内ND解析成功,则设备马上删除此黑洞路由并开始转发去往该地址的报文,否则设备直接丢弃该报文。在删除黑洞路由之前,后续去往该地址的IPv6数据报文都将被直接丢弃。
(1) 进入系统视图。
system-view
(2) 开启ND黑洞路由功能。
ipv6 nd resolving-route enable
缺省情况下,ND黑洞路由功能为开启。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
