本机防攻击简介
本机防攻击可保护CPU,解决CPU因处理大量正常上送CPU的报文或者恶意攻击报文造成的业务中断问题。
定义
在网络中,存在着大量针对CPU(Central Processing Unit)的恶意攻击报文以及需要正常上送CPU的各类报文。针对CPU的恶意攻击报文会导致CPU长时间繁忙的处理攻击报文,从而引发其他业务的断续甚至系统的中断;大量正常的报文也会导致CPU占用率过高,性能下降,从而影响正常的业务。
为了保护CPU,保证CPU对正常业务的处理和响应,设备提供了本机防攻击功能。本机防攻击针对的是上送CPU的报文,主要用于保护设备自身安全,保证已有业务在发生攻击时的正常运转,避免设备遭受攻击时各业务的相互影响。
基本原理
本机防攻击包括CPU防攻击和攻击溯源两部分。
CPU防攻击针对上送CPU的报文进行限制和约束,使单位时间内上送CPU报文的数量限制在一定的范围之内,从而保护CPU的安全,保证CPU对业务的正常处理。
多级安全机制,保证设备的安全,实现了对设备的分级保护。
设备通过以下策略实现对设备的分级保护:
第一级:通过黑名单来过滤上送CPU的非法报文。
第二级:CPCAR(Control Plane Committed Access Rate)。对上送CPU的报文按照协议类型进行速率限制,保证每种协议上送CPU的报文不会过多。
第三级:对上送CPU的报文,按照协议优先级进行调度,保证优先级高的协议先得到处理。
第四级:对上送CPU的报文统一限速,对超过统一限速值的报文随机丢弃,保证整体上送CPU的报文不会过多,保护CPU安全。
动态链路保护功能的CPU报文限速,是指当设备检测到SSH Session数据、Telnet Session数据、HTTP Session数据、FTP Session数据以及BGP Session数据建立时,会启动对此Session的动态链路保护功能,后续上送报文如匹配此Session特征信息,此类数据将会享受高速率上送的权利,由此保证了此Session相关业务的运行可靠性、稳定性。
攻击溯源针对DoS攻击进行防御。设备通过对上送CPU的报文进行分析统计,然后对统计的报文设置一定的阈值,将超过阈值的报文判定为攻击报文,再对这些攻击报文根据报文信息找出攻击源用户或者攻击源接口,最后通过日志、告警等方式提醒管理员以便管理员采用一定的措施来保护设备,或者直接丢弃攻击报文以对攻击源进行惩罚。
配置本机防攻击示例组网需求如图7-2所示,位于不同局域网的用户通过RouterA访问Internet。为分析RouterA受攻击情况,需要配置攻击溯源检查功能记录攻击源信息。管理员发现存在以下现象: - 通过攻击溯源检查功能分析可知,Net1网段中的某个用户经常会发生攻击行为。
- 攻击者发送大量的ARP Request报文,影响CPU的正常工作。
- 管理员需要以FTP方式上传文件到RouterA,此时需要建立管理员主机与RouterA之间的数据连接。
- 大多数局域网用户通过DHCP方式动态获取IP地址,但RouterA不优先处理上送CPU的DHCP Client报文。
- RouterA不应用Telnet Server功能,但经常收到大量的Telnet报文。
管理员希望通过在RouterA进行配置,以便解决上述问题。 图7-2 配置本机防攻击组网图
配置思路采用如下的思路配置本机防攻击: - 配置黑名单,将Net1网段中的攻击者列入黑名单,阻止其接入网络。
- 配置ARP Request报文上送CPU的速率限制,使ARP Request报文限制在一个较小的速率范围内,减少对CPU处理正常业务的影响。
- 配置FTP协议的动态链路保护功能,保证文件数据可以在管理员主机与RouterA之间正常传输。
- 配置协议优先级,对DHCP Client报文设置较高的优先级,保证RouterA优先处理上送CPU的DHCP Client报文。
- 关闭Router的Telnet服务器功能,使RouterA丢弃收到的Telnet报文。
操作步骤
配置黑名单使用的ACL
<Huawei> system-view
[Huawei] sysname RouterA
[RouterA] acl number 4001
[RouterA-acl-L2-4001] rule 5 permit source-mac 0001-c0a8-0102
[RouterA-acl-L2-4001] quit
创建防攻击策略
[RouterA] cpu-defend policy devicesafety
配置攻击溯源检查功能
[RouterA-cpu-defend-policy-devicesafety] auto-defend enable
[RouterA-cpu-defend-policy-devicesafety] auto-defend threshold 50
配置黑名单
[RouterA-cpu-defend-policy-devicesafety] blacklist 1 acl 4001
配置ARP Request报文上送CPU的速率限制
[RouterA-cpu-defend-policy-devicesafety] packet-type arp-request rate-limit 64
配置FTP协议动态链路保护功能的速率限制值
[RouterA-cpu-defend-policy-devicesafety] application-apperceive packet-type ftp rate-limit 2000
配置DHCP Client报文的优先级
[RouterA-cpu-defend-policy-devicesafety] packet-type dhcp-client priority 3
[RouterA-cpu-defend-policy-devicesafety] quit
应用防攻击策略
# 使能FTP协议动态链路保护功能
[RouterA] cpu-defend application-apperceive ftp enable
# 应用防攻击策略到主控板
[RouterA] cpu-defend-policy devicesafety
关闭telnet server功能。
[RouterA] undo telnet server enable
应用层联动不需要使能,只要关闭Router的Telnet服务器功能,Router会丢弃收到的Telnet报文。
验证配置结果
# 查看配置的防攻击策略的信息。
[RouterA] display cpu-defend policy devicesafety
Related slot : <0>
BlackList Status :
Slot<0> : Success
Configuration :
Blacklist 1 ACL number : 4001
Packet-type arp-request rate-limit : 64(pps)
Packet-type dhcp-client priority : 3
Rate-limit all-packets : 2000(pps)(default)
Application-apperceive packet-type ftp : 2000(pps)
Application-apperceive packet-type tftp : 2000(pps)
# 查看主控板上配置的限速信息,显示结果表明,Telnet的应用层联动、对arp-request报文的限制速率和dhcp-client报文优先级的配置成功。
<Huawei> display cpu-defend configuration sru
Rate configurations on main board.
-----------------------------------------------------------------
Packet-type Status Rate-limit(PPS) Priority
-----------------------------------------------------------------
8021X Disabled 160 2
arp-miss Enabled 64 2
arp-reply Enabled 128 2
arp-request Enabled 64 2
bfd Disabled 512 4
bgp Enabled 256 3
bgp4plus Enabled 256 3
capwap Enabled 512 1
dhcp-client Enabled 128 3
......
telnet-server Disabled 128 4
ttl-expired Enabled 256 1
udp-helper Disabled 32 2
unknown-multicast Enabled 128 1
unknown-packet Enabled 256 1
voice Enabled 256 4
vrrp Disabled 256 3
wapi Enabled 1024 2
x25 Enabled 4096 1
-----------------------------------------------------------------
# 配置攻击溯源检查功能后,对Net1网段中的攻击者进行溯源的日志信息显示,攻击溯源检查功能生效。
Dec 18 2010 09:55:50-05:13 device %%01SECE/4/USER_ATTACK(l)[0]:User attack
occurred.(Slot=MPU, SourceAttackInterface=Ethernet2/0/1, OuterVlan/
InnerVlan=0/0, UserMacAddress=0001-c0a8-0102, AttackPackets=48 packets per
second)
# 查看上送到主控板的报文的统计信息,丢弃的报文表明设备对arp-request进行了速率限制。
<Huawei> display cpu-defend statistics
-----------------------------------------------------------------------
Packet Type Pass Packets Drop Packets
-----------------------------------------------------------------------
8021X 0 0
arp-miss 5 0
arp-reply 8090 0
arp-request 1446576 127773
bfd 0 0
bgp 0 0
bgp4plus 0 0
dhcp-client 879 0
dhcp-server 0 0
dhcpv6-reply 0 0
dhcpv6-request 0 0
dns 4 0
fib-hit 0 0
ftp-client 0 0
ftp-server 0 0
……
udp-helper 0 0
unknown-multicast 0 0
unknown-packet 66146 0
voice 0 0
vrrp 0 0
---------------------------------------------------------------------
配置文件
RouterA的配置文件
#
sysname RouterA
#
acl number 4001
rule 5 permit source-mac 0001-c0a8-0102
#
cpu-defend policy devicesafety
blacklist 1 acl 4001
packet-type arp-request rate-limit 64
packet-type dhcp-client priority 3
application-apperceive packet-type ftp rate-limit 2000
auto-defend enable
auto-defend threshold 50
#
cpu-defend-policy devicesafety
#
return
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 63415
发表于 2022-5-10 10:08:06
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2022-5-10 12:25:25
