- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
24-SAF增强安全配置(仅SE-S5130支持)
本章节下载: 24-SAF增强安全配置(仅SE-S5130支持) (346.02 KB)
目 录
SAF(Security Augment Function,增强安全功能)是一种网络攻击检测和防御手段,它通过分析设备接收到的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的转发行为,例如限制攻击报文的速率、丢弃报文、过滤报文或者直接将某些特征报文加入黑名单列表等等。
SAF增强安全功能主要包括两类基本功能:
· SAF攻击检测:支持检测常见的单包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击,并能对各类型攻击采取合理的防范措施。
· SAF报文过滤:支持过滤具有一定特征的异常报文和非法DHCP应答报文。
SAF攻击检测的攻击类型和机制包括:
· 分片报文攻击检测:IP/ICMP/TCP分片报文可能被判定为分片报文攻击,对于IP/ICMP/TCP分片报文,如果首个分片报文的速率超出了系统定义的报文速率阈值,则判定为攻击。对于TCP报文偏移量和TCP的flag标记满足特定条件也可以被判定为攻击。对于ICMP分片报文的攻击检测目前通过SAF报文过滤的机制来实现。
· ICMP广播攻击检测:攻击者利用假冒的ICMP广播ping进行攻击,攻击者向一个网络的广播地址发送一个欺骗性echo请求报文,并将请求报文的源地址设置为受害者的网络地址,网络中的所有主机接收到这个echo请求后,会向受害者回复echo应答,导致受害者网络被echo应答淹没。如果出现符合设备定义的特征的echo请求且持续时间超过系统设定的时间阈值,则判定为遭受ICMP广播攻击。
· DoS攻击检测:只要协议报文(例如MLD、IGMP报文)的流速率达到系统定义的阈值且持续时间超过系统设定的时间阈值即将该协议报文判定为攻击,对于不同协议报文被判定为攻击的速率阈值各有不同。
· ICMP重定向报文攻击检测:攻击者伪造ICMP重定向报文迫使用户更改路由,使流量攻击者可以截获、提取、分析、修改用户正常的数据包,对用户流量进行嗅探劫持。只要报文类型为ICMP重定向并且持续时间达到一定标准即认定为ICMP重定向报文攻击。
· 端口扫描攻击检测:攻击者获取了活动目标主机的IP地址后,向目标主机发送源IP地址不变,大量目的端口变化的TCP/UDP报文,通过收到的回应报文来确定目标主机开放的服务端口,然后针对活动目标主机开放的服务端口选择合适的攻击方式或攻击工具进行进一步的攻击。如果攻击者发送的这类报文数超过系统自定义的阈值,则认为此源IP存在端口扫描攻击行为。
· IP扫描攻击检测:攻击者使用IP地址扫描工具发送网络请求(如ICMP请求、TCP SYN包等)到特定范围的目标IP地址。根据网络上活跃的IP返回ICMP应答、TCP ACK包或其他形式的响应,攻击者可以确定哪些IP地址是活跃的,并进行后续攻击活动。开启IP扫描攻击的检测功能后,检测并区分出四种类型攻击行为:
¡ IP地址连续扫描攻击(IP scan attack):对于接收到的TCP/UDP/ICMP报文,设备根据报文的源IP地址和目的端口号,在一定时间周期内进行流量统计,如果统计发现该类流量的目的IP地址顺序变化,且达到阈值Th1,则判定该源IP地址存在IP地址连续扫描行为。
¡ IP地址扫描泛洪攻击(IP scan flooding attack):如果IP地址连续扫描攻击的流量超出阈值Th2(Th2>Th1),则判定该源IP地址存在IP地址扫描泛洪攻击。
¡ IP地址随机扫描攻击(IP random attack):对于接收到的TCP/UDP/ICMP报文,设备根据报文的源IP地址和目的端口号,在一定时间周期内进行流量统计,如果统计发现该类流量的目的IP地址随机变化,且达到阈值Th3,则判定该源IP地址存在IP地址随机扫描攻击行为。
· IP欺骗攻击检测:为了获得访问权,或隐藏身份信息,攻击者生成带有伪造源IP地址的报文,并使用该伪造源IP地址访问网络服务,甚至通过伪造的IP源地址向同一个目的地址发送大量请求,以达到攻击服务端的目的。如果短时间内,检测到20条或以上源IP相同但MAC地址不同的流量存在,且流量总速率达到系统阈值时,即将其判定为IP欺骗攻击。
· ARP欺骗检测:系统对ARP应答报文进行检测,当检测到多条ARP应答报文中存在一个IP地址对应多条MAC地址,或者ARP应答报文的IP地址已经存在于设备的ARP表中,则判定该ARP应答报文为ARP欺骗。由于无法判定哪些是攻击者发送的ARP欺骗报文,因此ARP欺骗检测记录的ARP应答报文中,可能存在正常的ARP应答。攻击者通常通过在ARP应答报文的数据包中伪造MAC地址,将去往特定IP的报文劫持到攻击者的主机上,因此伪造的MAC地址可能是攻击者本机的MAC地址。
· ARP攻击检测:系统对ARP请求/应答报文进行检测,当检测到ARP请求/应答报文的速率超过一定的阈值且持续时间超过系统设定的时间阈值时,判定为ARP攻击。
· ND欺骗检测:攻击者仿冒其他用户、网关发送伪造的ND报文,例如,攻击者仿冒网关发送RA报文导致其他用户的IPv6配置参数错误和ND表项被改写。或者攻击者仿冒其他用户的IPv6地址发送NS报文,将会改写网关或者其他用户的ND表项,导致被仿冒用户的报文错误的发送到攻击者的终端上。当设备收到NS报文时,设备会记录报文内的源IP和源MAC作为邻居表项,当设备收到其他NS报文,发现报文内源IP已被记录在邻居表中,则会判断源MAC是否为邻居表中的MAC,若不相同则判断该报文为攻击报文。
· ND攻击检测:系统对NA应答进行检测,当检测到NA应答的速率超过一定的阈值时,判定为ND攻击。(暂不支持)
· MAC泛洪攻击检测:MAC泛洪攻击就是由攻击者通过攻击工具产生大量的数据帧,这些数据帧中的源MAC地址都是伪造的,并且不断变化。因而设备将在攻击主机所连接的端口上产生大量的MAC地址条目,从而在短时间内将设备的MAC地址表填满,直到再无法接收新的条目。设备会对接口上学习到MAC地址数量进行检测,如果接口学习的MAC数量超出阈值,则判定该接口受到了MAC泛洪攻击,此时将记录MAC泛洪攻击。接口受到MAC地址泛洪攻击不会停止MAC地址学习,只有当学习到的MAC地址达到接口上的MAC地址学习的上限或者全局MAC地址学习的上限时才无法继续学习MAC地址。
· DAD攻击检测:IPv6的地址生成主要有无状态地址自动配置与DHCP服务器分配两种方式,这些生成后的IPv6地址在使用前均需要进行重复地址检测(Duplicate Address Detection)。一种常见的DAD攻击方式就是对重复地址检测过程中的邻居请求消息NS(Neighbor Solicitation)进行应答,声称该地址已经被占用,导致主机无法获取可用地址。接口通过周期性主动发送携带本地链路地址的NS消息来检测是否存在DAD攻击,理论上局域网内不应该有其他设备使用相同的本地链路地址,如果局域网内收到了其他设备对NS消息的NA(Neighbor Advertisement)应答消息,则认为存在DAD攻击,并记录攻击表项信息。
SAF攻击检测还支持自定义白名单列表和黑名单列表,白名单列表和黑名单列表是一系列的报文匹配规则,系统对匹配到白名单列表的协议报文不进行SAF攻击检测,对匹配到黑名单列表的协议报文直接丢弃,无需再进行SAF攻击检测和判定。
SAF报文过滤的机制包括:
· 过滤特定的异常报文:源和目的IP地址相同的报文、源和目的MAC相同的报文、需要分片的超大的ICMP报文、源端口号与目的端口号相等的TCP/UDP报文以及FIN、URG、PSH标记异常的TCP报文等,设备均视之为攻击报文,并将这些异常报文过滤丢弃
· 过滤非法DHCP服务器的响应报文:当网络中存在非法的DHCP服务器时,DHCP客户端可能会从这类DHCP服务器中获取到错误的IP地址,导致IP地址冲突、网关不正确等问题,甚至存在被窃听的风险。设备上预先指定一些接口连接正常DHCP服务器,在除这些接口之外的其他接口下直接过滤DHCP-OFFER和DHCP-ACK报文,避免非法DHCP服务器的对网络造成影响。
仅SE-S5130系列交换机支持配置SAF增强安全。
SAF增强安全配置任务如下:
(1) 配置SAF攻击检测功能
(2) 配置SAF报文过滤功能
(3) (可选)配置ARP欺骗攻击检测的增强功能
(4) (可选)配置MAC地址泛洪攻击检测的增强功能
(5) (可选)开启端口扫描攻击检测的端口范围识别功能
(6) (可选)配置接口为业务上行口
为了避免一些常见的网络攻击,例如ARP欺骗、ICMP重定向和Dos攻击等等,在设备连接用户终端的接口上开启SAF攻击检测功能,可以对多种攻击报文进行检测,并根据具体配置处理攻击报文。
只有在连接用户的接口下开启了本功能后,设备才会对此接口上的流量进行SAF攻击检测。开启本功能后还需要在系统视图或接口视图下执行saf detection命令开启指定类型的攻击检测。
如果同时配置了多种对攻击流量执行的转发行为,则按照如下顺序来处理攻击流量:
(1) 如果攻击流量匹配到saf detection policy命令中的规则,则按照saf detection policy命令指定的转发行为处理攻击流量。如果未匹配SAF策略或者不存在SAF策略,则执行下一步。
(2) 如果接收到攻击流量的接口视图下存在saf detection enable命令,且攻击流量符合saf detection enable命令中的攻击类型定义,则按照saf detection enable命令中的转发行为处理攻击流量。如果不符合上述要求,则执行下一步。
(3) 按照saf detection enable命令定义的转发行为处理攻击流量。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启SAF攻击检测功能。
saf detection enable [ action drop ]
缺省情况下,SAF攻击检测功能处于关闭状态。
SAF模块对设备接收到的所有报文进行SAF的攻击判定,如果符合设备对各类攻击设定的条件,则将这类流量标记为攻击流,并建立和维护一张记录攻击表项的流表,在流表的老化时间内,如果继续接收到符合攻击表项的报文则判定为攻击,执行攻击报文转发行为。如果超过流表的老化时间,未接收到符合攻击表项的报文则将对应的攻击表项老化并删除。
SAF攻击检测功能对不同类型的攻击识别机制如下:
· 分片报文攻击检测:IP/ICMP/TCP分片报文可能被判定为分片报文攻击,对于IP/ICMP/TCP分片报文,如果首个分片报文的速率超出了系统定义的报文速率阈值,则判定为攻击。对于TCP报文偏移量和TCP的flag标记满足特定条件也可以被判定为攻击。对于ICMP分片报文的攻击检测目前通过SAF报文过滤的机制来实现。
· ICMP广播攻击检测:攻击者利用假冒的ICMP广播ping进行攻击,攻击者向一个网络的广播地址发送一个欺骗性echo请求报文,并将请求报文的源地址设置为受害者的网络地址,网络中的所有主机接收到这个echo请求后,会向受害者回复echo应答,导致受害者网络被echo应答淹没。如果出现符合设备定义的特征的echo请求且持续时间超过系统设定的时间阈值,则判定为遭受ICMP广播攻击。
· DoS攻击检测:只要协议报文(例如MLD、IGMP报文)的流速率达到系统定义的阈值即将该协议报文判定为攻击,对于不同协议报文判定为攻击的速率阈值有差异。
· ICMP重定向报文攻击检测:攻击者伪造ICMP重定向报文迫使用户更改路由,使流量攻击者可以截获、提取、分析、修改用户正常的数据包,对用户流量进行嗅探劫持。只要报文类型为ICMP重定向并且持续时间达到一定标准即认定为ICMP重定向报文攻击。
· IP欺骗攻击检测:为了获得访问权,或隐藏身份信息,攻击者生成带有伪造源IP地址的报文,并使用该伪造源IP地址访问网络服务,甚至通过伪造的IP源地址向同一个目的地址发送大量请求,以达到攻击服务端的目的。如果短时间内,检测到20条或以上源IP相同但MAC地址不同的流量存在,且流量总速率达到系统阈值时,即将其判定为IP欺骗攻击。
· 端口扫描攻击检测:攻击者获取了活动目标主机的IP地址后,向目标主机发送源IP地址不变,大量目的端口变化的TCP/UDP报文,通过收到的回应报文来确定目标主机开放的服务端口,然后针对活动目标主机开放的服务端口选择合适的攻击方式或攻击工具进行进一步的攻击。如果攻击者发送的这类报文数超过系统自定义的阈值,则认为此源IP存在端口扫描攻击行为。
· IP扫描攻击检测:攻击者使用IP地址扫描工具发送网络请求(如ICMP请求、TCP SYN包等)到特定范围的目标IP地址。根据网络上活跃的IP返回ICMP应答、TCP ACK包或其他形式的响应,攻击者可以确定哪些IP地址是活跃的,并进行后续攻击活动。开启IP扫描攻击的检测功能后,检测并区分出四种类型攻击行为:
¡ IP地址连续扫描攻击(IP scan attack):对于接收到的TCP/UDP/ICMP报文,设备根据报文的源IP地址和目的端口号,在一定时间周期内进行流量统计,如果统计发现该类流量的目的IP地址顺序变化,且达到阈值Th1,则判定该源IP地址存在IP地址连续扫描行为。
¡ IP地址扫描泛洪攻击(IP scan flooding attack):如果IP地址连续扫描攻击的流量超出阈值Th2(Th2>Th1),则判定该源IP地址存在IP地址扫描泛洪攻击。
¡ IP地址随机扫描攻击(IP random attack):对于接收到的TCP/UDP/ICMP报文,设备根据报文的源IP地址和目的端口号,在一定时间周期内进行流量统计,如果统计发现该类流量的目的IP地址随机变化,且达到阈值Th3,则判定该源IP地址存在IP地址随机扫描攻击行为。
配置全局开启指定攻击类型的SAF攻击检测功能不仅可以对指定的攻击类型进行SAF攻击检测,同时还会将检测到的攻击记录下来,执行display saf detection record命令可以查看到实时的攻击记录,执行display saf detection record history命令可以查看到SAF攻击检测历史记录。
如果同时配置了多种对攻击流量执行的转发行为,则按照如下顺序来处理攻击流量:
(1) 如果攻击流量匹配到saf detection policy命令中的规则,则按照saf detection policy命令指定的转发行为处理攻击流量。如果未匹配SAF策略或者不存在SAF策略,则执行下一步。
(2) 如果接收到攻击流量的接口视图下存在saf detection enable命令,且攻击流量符合saf detection enable命令中的攻击类型定义,则按照saf detection enable命令中的转发行为处理攻击流量。如果不符合上述要求,则执行下一步。
(3) 按照saf detection enable命令定义的转发行为处理攻击流量。
请先在接口下开启SAF攻击检测功能,本功能才能正常生效。
需要在接口视图下先执行saf filter dhcp命令后,再配置全局开启指定攻击类型的SAF攻击检测功能并指定filter dhcp参数,才能正常记录DHCP报文过滤的信息。
需要在系统视图下先执行saf filter dos-control命令后,再配置全局开启指定攻击类型的SAF攻击检测功能并指定filter dos-control参数,才能正常记录SAF报文过滤的信息。
(1) 进入系统视图。
system-view
(2) 全局开启指定攻击类型的SAF攻击检测功能,并且记录攻击信息。
saf detection { attack-fragment | attack-smurf | dos | filter { dhcp | dos-control } | icmp-redirect | ip-scan | ip-spoofing | port-scan }
缺省情况下,未开启所有指定攻击类型的SAF攻击检测功能。
SAF模块对设备接收到的所有报文进行SAF的攻击判定,如果符合设备对各类攻击设定的条件,则将这类流量标记为攻击流,并建立和维护一张记录攻击表项的流表,在流表的老化时间内,如果继续接收到符合攻击表项的报文则判定为攻击,执行攻击报文转发行为。如果超过流表的老化时间,未接收到符合攻击表项的报文则将对应的攻击表项老化并删除。
SAF攻击检测功能对不同类型的攻击识别机制如下:
· ARP欺骗检测:系统对ARP应答报文进行检测,当检测到多条ARP应答报文中存在一个IP地址对应多条MAC地址,或者ARP应答报文的IP地址已经存在于设备的ARP表中,则判定该ARP应答报文为ARP欺骗。由于无法判定哪些是攻击者发送的ARP欺骗报文,因此ARP欺骗检测记录的ARP应答报文中,可能存在正常的ARP应答。攻击者通常通过在ARP应答报文的数据包中伪造MAC地址,将去往特定IP的报文劫持到攻击者的主机上,因此伪造的MAC地址可能是攻击者本机的MAC地址。
· ARP攻击检测:系统对ARP请求/应答报文进行检测,当检测到ARP请求/应答报文的速率超过一定的阈值且持续时间超过系统设定的时间阈值时,判定为ARP攻击。
· ND欺骗检测:攻击者仿冒其他用户、网关发送伪造的ND报文,例如,攻击者仿冒网关发送RA报文导致其他用户的IPv6配置参数错误和ND表项被改写。或者攻击者仿冒其他用户的IPv6地址发送NS报文,将会改写网关或者其他用户的ND表项,导致被仿冒用户的报文错误的发送到攻击者的终端上。当设备收到NS报文时,设备会记录报文内的源IP和源MAC作为邻居表项,当设备收到其他NS报文,发现报文内源IP已被记录在邻居表中,则会判断源MAC是否为邻居表中的MAC,若不相同则判断该报文为攻击报文。
· MAC泛洪攻击检测:MAC泛洪攻击就是由攻击者通过攻击工具产生大量的数据帧,这些数据帧中的源MAC地址都是伪造的,并且不断变化。因而设备将在攻击主机所连接的端口上产生大量的MAC地址条目,从而在短时间内将设备的MAC地址表填满,直到再无法接收新的条目。设备会对接口上学习到MAC地址数量进行检测,如果接口学习的MAC数量超出阈值,则判定该接口受到了MAC泛洪攻击,此时将记录MAC泛洪攻击。接口受到MAC地址泛洪攻击不会停止MAC地址学习,只有当学习到的MAC地址达到接口上的MAC地址学习的上限或者全局MAC地址学习的上限时才无法继续学习MAC地址。接口学习的MAC地址阈值小于接口上的MAC地址学习的上限。
· DAD攻击检测:IPv6的地址生成主要有无状态地址自动配置与DHCP服务器分配两种方式,这些生成后的IPv6地址在使用前均需要进行重复地址检测(Duplicate Address Detection)。一种常见的DAD攻击方式就是对重复地址检测过程中的邻居请求消息NS(Neighbor Solicitation)进行应答,声称该地址已经被占用,导致主机无法获取可用地址。接口通过周期性主动发送携带本地链路地址的NS消息来检测是否存在DAD攻击,理论上局域网内不应该有其他设备使用相同的本地链路地址,如果局域网内收到了其他设备对NS消息的NA(Neighbor Advertisement)应答消息,则认为存在DAD攻击,并记录攻击表项信息。
MAC泛洪攻击检测不受SAF攻击检测的黑名单/白名单管控,即MAC泛洪攻击检测不被SAF攻击检测的黑名单/白名单影响。
如果同时配置了多种对攻击流量执行的转发行为,则按照如下顺序来处理攻击流量:
(1) 如果攻击流量匹配到saf detection policy命令中的规则,则按照saf detection policy命令指定的转发行为处理攻击流量。如果未匹配SAF策略或者不存在SAF策略,则执行下一步。
(2) 如果接收到攻击流量的接口视图下存在saf detection enable命令,且攻击流量符合saf detection enable命令中的攻击类型定义,则按照saf detection enable命令中的转发行为处理攻击流量。如果不符合上述要求,则执行下一步。
(3) 按照saf detection enable命令定义的转发行为处理攻击流量。
请先在接口下开启SAF攻击检测功能,本功能才能正常生效。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启SAF攻击检测功能。
saf detection enable [ action drop ]
(4) 在接口下开启指定攻击类型的SAF攻击检测功能,并且记录攻击信息。
saf detection { arp-spoofing | dad-attack [ period period-value ] | mac-flooding threshold threshold-value | ndp-spoofing } [ action drop ]
可以通过本功能指定的流量匹配规则,对匹配到SAF策略中定义规则的攻击流量执行对应的转发动作。系统将按照policy-id从小到大的顺序逐条匹配攻击流量,一旦匹配到SAF策略中某一条规则,则不继续进行匹配。
需要注意的是,当本设备对同一个攻击源识别到多条攻击时,会将此攻击源设置为主机防御状态。对于处于主机防御状态的攻击源,其所有流量均被认为是攻击流量。因此,设备会对来自该攻击源的所有流量执行对应的转发动作。
如果同时配置了多种对攻击流量执行的转发行为,则按照如下顺序来处理攻击流量:
(1) 如果攻击流量匹配到saf detection policy命令中的规则,则按照saf detection policy命令指定的转发行为处理攻击流量。如果未匹配SAF策略或者不存在SAF策略,则执行下一步。
(2) 如果接收到攻击流量的接口视图下存在saf detection enable命令,且攻击流量符合saf detection enable命令中的攻击类型定义,则按照saf detection enable命令中的转发行为处理攻击流量。如果不符合上述要求,则执行下一步。
(3) 按照saf detection enable命令定义的转发行为处理攻击流量。
若有多条攻击流命中SAF策略中的匹配规则,这些攻击流量均执行限速操作时,所有攻击流的限速值之和为SAF策略中的限速值。
如果指定了mac参数,则仅当报文协议类型为ARP时,才可以指定destination参数,匹配的对象为ARP报文数据载荷中的目标IP地址。对于其他数据链路层协议(非ARP)无法配置destination、destination-port、source、source-port参数。
仅指定协议类型为TCP/UDP时,才可以配置destination-port、source-port参数。
(1) 进入系统视图。
system-view
saf detection policy [ policy-id ] { { ip protocol | ipv6 protocol | mac protocol } [ destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | dest-mac dest-address dest-mask | source source-address source-wildcard | source-port operator port1 [ port2 ] | source-mac source-address source-mask | vlan vlan-id ] * } action { detect | drop | rate-limit rate-limit | remark-cos cos-value | reset } [ comment comment ]
saf detection policy [ policy-id ] host-defense action { detect | drop | rate-limit rate-limit | remark-cos cos-value | reset } [ comment comment ]
缺省情况下,未配置对检测到的指定攻击流量执行的策略。
SAF攻击检测的白名单列表是一系列的报文匹配规则。
为了避免一些流量被误判定为攻击流量,可以由管理员将这些流量添加到SAF攻击检测的白名单列表中,对匹配到白名单列表中规则的协议报文无需进行SAF攻击检测。
通过本功能可以指定多条SAF攻击检测的白名单列表,系统将按照rule-id从小到大的顺序逐条匹配报文流量,一旦匹配到SAF攻击检测的白名单列表中某一条,则不继续进行匹配。
在接口视图和系统视图下都可以配置SAF攻击检测的白名单列表。当接口接收到报文时优先匹配该接口下配置的SAF攻击检测白名单列表。如果未匹配到接口下的SAF攻击检测白名单列表,则会继续匹配系统视图下配置的SAF攻击检测白名单列表。
如果报文同时匹配到了黑名单列表和白名单列表,则白名单列表优先生效。
仅指定协议类型为TCP/UDP时,才可以配置destination-port、source-port参数。
(1) 进入系统视图。
system-view
(2) 配置全局的SAF攻击检测的白名单列表。
命令形式一:
saf allowlist [ rule-id ] { ip | ipv6 } [ protocol protocol ] [ { { ack | fin | psh | rst | syn | urg } * | established } | destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | dest-mac dest-address dest-mask | source source-address source-wildcard | source-port operator port1 [ port2 ] | source-mac source-address source-mask | vlan vlan-id ] * [ rate-limit rate-limit ] [ comment comment ]
命令形式二:
saf allowlist [ rule-id ] mac [ protocol protocol ] [ destination dest-address dest-wildcard | dest-mac dest-address dest-mask | source source-address source-wildcard | source-mac source-address source-mask | vlan vlan-id ] * [ rate-limit rate-limit ] [ comment comment ]
命令形式三:
saf allowlist [ rule-id ] cpu { ip | ipv6 } [ protocol protocol ] [ { { ack | fin | psh | rst | syn | urg } * | established } | source source-address source-wildcard | source-port operator port1 [ port2 ] ] * [ rate-limit rate-limit ] [ comment comment ]
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口下的SAF攻击检测的白名单列表。
命令形式一:
saf allowlist [ rule-id ] { ip | ipv6 } [ protocol protocol ] [ { { ack | fin | psh | rst | syn | urg } * | established } | destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | dest-mac dest-address dest-mask | source source-address source-wildcard | source-port operator port1 [ port2 ] | source-mac source-address source-mask | vlan vlan-id ] * [ rate-limit rate-limit ] [ comment comment ]
命令形式二:
saf allowlist [ rule-id ] mac [ protocol protocol ] [ destination dest-address dest-wildcard | dest-mac dest-address dest-mask | source source-address source-wildcard | source-mac source-address source-mask | vlan vlan-id ] * [ rate-limit rate-limit ] [ comment comment ]
命令形式三:
saf allowlist [ rule-id ] cpu { ip | ipv6 } [ protocol protocol ] [ { { ack | fin | psh | rst | syn | urg } * | established } | source source-address source-wildcard | source-port operator port1 [ port2 ] ] * [ rate-limit rate-limit ] [ comment comment ]
SAF攻击检测的黑名单列表是一系列匹配规则。
某些流量默认为攻击流量,可以由管理员定义SAF攻击检测的黑名单列表,对匹配到黑名单列表中规则的协议报文直接丢弃,无需再进行SAF攻击检测和判定。
通过本命令可以指定多条SAF攻击检测的黑名单列表,系统将按照rule-id从小到大的顺序逐条匹配报文流量,一旦匹配到SAF攻击检测的黑名单列表中某一条,则不继续进行匹配。
在接口视图和系统视图下都可以配置SAF攻击检测的黑名单列表。当接口接收到报文时优先匹配该接口下配置的SAF攻击检测黑名单列表。如果未匹配到接口下的SAF攻击检测黑名单列表,则会继续匹配系统视图下配置的SAF攻击检测黑名单列表。
如果报文同时匹配到了黑名单列表和白名单列表,则白名单列表优先生效。
仅指定协议类型为TCP/UDP时,才可以配置destination-port、source-port参数。
(1) 进入系统视图。
system-view
(2) 配置全局的SAF攻击检测的黑名单列表。
命令形式一:
saf denylist [ rule-id ] { ip | ipv6 } [ protocol protocol ] [ { { ack | fin | psh | rst | syn | urg } * | established } | destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | dest-mac dest-address dest-mask | source source-address source-wildcard | source-port operator port1 [ port2 ] | source-mac source-address source-mask | vlan vlan-id ] * [ comment comment ]
命令形式二:
saf denylist [ rule-id ] mac [ protocol protocol ] [ destination dest-address dest-wildcard | dest-mac dest-address dest-mask | source-mac source-address source-mask | vlan vlan-id ] * [ comment comment ]
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口下的SAF攻击检测的黑名单列表。
命令形式一:
saf denylist [ rule-id ] { ip | ipv6 } [ protocol protocol ] [ { { ack | fin | psh | rst | syn | urg } * | established } | destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | dest-mac dest-address dest-mask | source source-address source-wildcard | source-port operator port1 [ port2 ] | source-mac source-address source-mask | vlan vlan-id ] * [ comment comment ]
命令形式二:
saf denylist [ rule-id ] mac [ protocol protocol ] [ destination dest-address dest-wildcard | dest-mac dest-address dest-mask | source-mac source-address source-mask | vlan vlan-id ] * [ comment comment ]
对于一些异常报文,例如,源和目的IP地址相同的报文、源和目的MAC相同的报文和需要分片的超大的ICMP报文,设备均视之为攻击报文,并将这些异常报文过滤丢弃。
配置本命令后,设备将分析报文的数据链路层、网络层、传输层的报文头信息,并过滤指定特征的数据报文。
执行saf detection命令并指定filter dos-control参数后,可以记录SAF报文过滤的相关信息,通过display saf detection record命令则可以查看记录。
(1) 进入系统视图。
system-view
(2) 配置对指定特征的数据报文进行SAF报文过滤。
saf filter dos-control [ all | icmp-fragments | ip-equal | mac-equal | tcp-flags-fup | tcp-flags-sf | tcp-ports-equal | udp-ports-equal ]
缺省情况下,不会对任何报文进行SAF报文过滤。
当网络中存在非法的DHCP服务器时,DHCP客户端可能会从这类DHCP服务器中获取到错误的IP地址,导致IP地址冲突、网关不正确等问题,甚至存在被窃听的风险。
设备上预先指定一些接口连接正常DHCP服务器,在除这些接口之外的其他接口下开启DHCP报文过滤功能可以将这些接口接收到的端口号为67的DHCP报文,即DHCP服务器发送的DHCP-OFFER和DHCP-ACK报文丢弃,以保证非法DHCP服务器无法对网络造成影响。
DHCP过滤适用于IPv4/IPv6的DHCP服务器消息。
执行saf detection命令并指定filter dhcp参数后,可以记录DHCP报文过滤的相关信息,通过display saf detection record命令则可以查看其记录信息。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启接口的DHCP报文过滤功能。
saf filter dhcp
缺省情况下,接口未开启DHCP报文过滤功能,即不会对DHCP服务器发送的报文进行过滤。
开启ARP欺骗的SAF攻击检测功能后,如果ARP应答报文的IP地址已存在于ARP表项中,则可能存在一个IP地址对应多条MAC地址的情况,此时,判定为ARP欺骗。但对于某些终端设备一个IP地址对应多条MAC地址为正常情况,为了避免误判,可以开启ARP欺骗检测的MAC占用检查功能。ARP应答报文的IP已存在于ARP表项中时,进一步检查该ARP应答报文中的MAC地址。如果该MAC地址被其他IP地址占用才判定为ARP欺骗,否则认为该IP对应的多条MAC为正常情况。
例如,本地的ARP表项中已有{IP1,MAC1}条目。如果又接收到新的ARP应答报文的IP地址为IP1,MAC地址为MAC2。此时如果开启了ARP欺骗检测的MAC占用检查功能,则不认定为ARP欺骗。
ARP欺骗检测的MAC占用检查功能可以指定MAC地址的范围,当ARP应答报文回应的MAC地址位于本命令中指定范围内,才会进行MAC占用检查,否则不会行MAC占用检查。
(1) 进入系统视图。
system-view
(2) 开启ARP欺骗检测的MAC占用检查功能。
saf arp-spoofing mac-owner-check { any | mac-address mac-address-mask }
缺省情况下,ARP欺骗检测的MAC占用检查功能处于关闭状态。
在接口视图下配置本接口为ARP欺骗检测的信任接口后,对于该接口接收的所有ARP应答报文不进行ARP欺骗检测,但仍然将该报文中携带的ARP信息记录到SAF ARP表中,可以通过display saf arp-table查看学习到SAF的ARP表项详细信息。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置ARP欺骗检测的信任接口。
saf arp-spoofing trust
缺省情况下,未配置ARP欺骗检测信任接口。
对于ARP应答报文,如果报文回应的目的IP地址位于本命令指定的IP地址网段范围内,或者报文携带的VLAN值属于本命令指定的VLAN列表中,则不进行ARP欺骗检测,但仍然将该报文中携带的ARP信息记录到SAF ARP表中,可以通过display saf arp-table查看学习到SAF的ARP表项详细信息。
(1) 进入系统视图。
system-view
(2) 配置ARP欺骗检测的信任表项。
saf arp-spoofing trust { ip { local address-mask-len | ip-address { mask | mask-len } } | vlan vlan-list }
缺省情况下,不存在ARP欺骗检测信任表项。
开启ARP攻击和ARP欺骗的SAF攻击检测功能后,系统将创建一个独立的SAF ARP表项,该表项仅用于SAF攻击检测判定,不会被用于指导报文的转发。
SAF ARP表的结构和内容与普通ARP表项类似,其中存在两类ARP条目:
· 动态ARP表项:通过ARP协议动态学习到的表项信息。
· 静态ARP表项:通过saf arp-spoofing arp-table命令手工指定的ARP表项。
SAF ARP表项均被认为是可信任的ARP信息,通过display saf arp-table命令可以查看该表项的详细信息。
手工指定的静态ARP表项不会被动态ARP表项覆盖。
配置静态ARP表项时,每个IP只能关联一个MAC地址,每个MAC可以关联多个IP地址。
(1) 进入系统视图。
system-view
(2) 配置ARP欺骗检测的信任表项。
saf arp-spoofing arp-table ip-address mac-address
缺省情况下,SAF ARP表中不存在静态ARP表项。
配置SAF全局MAC地址数学习上限后,所有开启MAC泛洪攻击的SAF攻击检测功能的接口上学习到的MAC地址之和不能超过本命令指定的全局MAC地址数学习上限。如果所有接口上学习到的MAC地址数达到上限,则这些接口无法继续学习新的MAC地址。
(1) 进入系统视图。
system-view
(2) 配置SAF全局MAC地址数学习上限。
saf mac-flooding max-mac-count count
缺省情况下,未配置MAC地址数学习上限。
当接口开启MAC泛洪攻击的SAF攻击检测功能,即接口视图下开启saf detection命令,并指定了mac-flooding参数,在该接口配置本命令后,该接口上MAC地址学习的上限及速率受本命令的限制。如果学习的MAC地址数超出上限或者一段时间内学习MAC地址的速率超出上限,则该接口无法继续正常学习新的MAC地址。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置SAF接口MAC地址数学习上限。
saf mac-flooding max-mac-count count [ rate-limit limit-value ]
缺省情况下,未配置MAC地址数学习上限。
配置本命令后,接口上接收到的MAC地址如果位于本命令指定的MAC地址范围内,则被认为是信任的MAC地址,不会被识别为MAC泛洪攻击。
即使是信任的MAC地址接口也会记录MAC地址数量,一旦超出接口MAC地址数学习上限或者全局MAC地址数学习上限也无法继续学习MAC地址。
系统视图下配置的MAC泛洪检测的信任表项,对所有开启MAC泛洪攻击的SAF攻击检测功能的接口都生效。接口下配置的的MAC泛洪检测的信任表项,仅对本接口有效。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置SAF接口MAC地址数学习上限。
saf mac-flooding trust mac-address mac-address-mask
缺省情况下,接口下未配置MAC泛洪检测的信任表项
(1) 进入系统视图。
system-view
(2) 配置SAF接口MAC地址数学习上限。
saf mac-flooding trust mac-address mac-address-mask
缺省情况下,全局未配置MAC泛洪检测的信任表项
端口扫描攻击检测是指攻击者获取了活动目标主机的IP地址后,向目标主机发送源IP地址不变,大量目的端口变化的TCP/UDP报文,通过收到的回应报文来确定目标主机开放的服务端口,然后针对活动目标主机开放的服务端口选择合适的攻击方式或攻击工具进行进一步的攻击。如果攻击者发送的这类报文数超过系统自定义的阈值,则认为此源IP存在端口扫描攻击行为。对于该源IP的报文有两种处理方式:
· 如果端口扫描攻击检测的端口范围识别功能处于关闭状态,SAF攻击检测到端口扫描攻击后,会将该源IP地址发送的所有TCP或UDP报文都会被标识为端口扫描攻击,并且根据接口上配置的saf detection enable命令对攻击报文进行转发处理。
· 如果端口扫描攻击检测的端口范围识别功能处于开启状态,SAF攻击检测到端口扫描攻击后,仅当该源IP地址发送的TCP或UDP报文目的端口属于系统定义的端口范围内才会被标识为端口扫描攻击;其他报文都会被当做正常报文转发。
在接口视图下执行saf detection enable命令开启SAF攻击检测功能,系统视图下再执行saf detection命令并指定port-scan参数后,saf port-scan port-range-identify命令的才能生效。
(1) 进入系统视图。
system-view
(2) 开启端口扫描攻击检测的端口范围识别功能。
saf port-scan port-range-identify
缺省情况下,端口扫描攻击检测的端口范围识别功能处于关闭状态。
设备的某些接口作为业务上行口连接的是骨干网络中的设备,并未连接用户,这类接口默认无需开启SAF攻击检测功能,为了避免这些业务上行口误配置SAF攻击检测功能,可以在业务上行口上配置本功能将指定接口配置为业务上行接口。
接口配置为业务上行口之后,无法再执行saf detection enable命令开启SAF攻击检测功能,也无法执行saf filter dhcp命令。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口为业务上行口。
saf uplink
缺省情况下,接口未指定为业务上行口。
在完成上述配置后,在任意视图下执行display命令可以显示配置后SAF增强安全的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除SAF增强安全的统计信息。
表1-1 SAF增强安全显示和维护
|
操作 |
命令 |
|
显示SAF ARP表项 |
display saf arp-table [ dynamic | static ] |
|
显示SAF攻击检测的白名单列表 |
display saf allowlist [ cpu | ip | ipv6 | mac ] { global | interface [ interface-type interface-number ] } |
|
显示SAF攻击检测的黑名单列表 |
display saf denylist [ ip | ipv6 | mac ] { global | interface [ interface-type interface-number ] } |
|
显示不同攻击类型的SAF攻击检测功能状态 |
display saf detection [ attack-type attack-type | interface interface-type interface-number ] |
|
显示SAF策略 |
display saf detection policy |
|
显示SAF攻击检测实时记录的简要信息 |
display saf detection record brief |
|
显示SAF攻击检测的实时记录 |
display saf detection record [ verbose index ] |
|
显示SAF攻击检测的历史记录 |
display saf detection record history [ verbose index ] |
|
显示DHCP报文过滤功能和SAF报文过滤功能状态 |
display saf filter [ interface interface-type interface-number ] |
|
显示SAF的MAC地址表 |
display saf mac-address [ trust ] |
|
显示SAF的IPv6 ND列表 |
display saf ipv6 neighbors |
|
清除SAF ARP表项 |
reset saf arp-table [ { dynamic | static } [ ip-address ] ] |
|
清除SAF攻击检测的实时记录 |
reset saf detection record [ index ] |
|
清除SAF攻击检测的历史记录 |
reset saf detection record history |
|
清除SAF的MAC地址表项 |
reset saf mac-address [ trust | mac-address vlan vlan-id ] |
|
清除SAF攻击检测的黑名单列表及白名单列表的统计信息 |
reset saf statistics [ denylist | allowlist ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
