• 欢迎访问小诺运维,运维教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站 QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏小诺运维吧

【S系列交换机防攻击专题】3步确定攻击类型

网络 xlqywk 2年前 (2018-11-23) 280次浏览 已收录 0个评论

【S系列交换机防攻击专题】3步确定攻击类型

上周推荐给大家的《5分钟完成本地防攻击推荐配置》(点击可跳转)大家都配上了吧,如果上周错过的小伙伴,建议您点击再看看。本周我们一起来聊聊做好基础防攻击配置后,网络还被攻击该怎么办。

当设备遭受攻击时,通常伴随着如下现象:

用户无法获取ARP。

用户上线成功率较低。

用户无法访问网络。

当大量用户或固定某个端口下的所有用户出现上述现象时,可以先通过如下定位手段分析是否为攻击问题。

步骤 1 执行命令display cpu-usage查看设备CPU占用率的统计信息,CPU Usage表示的是CPU占用率,TaskName表示的是设备当前正在运行的任务名称。

如果CPU利用率持续较高,并且bcmRX、FTS、SOCK或者VPR任务过高(通常协议报文攻击会导致这些任务过高),则较大可能是收到的报文过多,接下来需要执行步骤2继续判断设备收到的报文类型。

一般情况下,交换机长时间运行时CPU占用率不超过80%,短时间内CPU占用率不超过95%,可认为交换机状态是正常的。

步骤 2 执行命令display cpu-defend statistics all查看相关协议是否有CPCAR丢包、丢包是否多,并确认现网设备是否放大相关协议的CPCAR值。如果CPCAR存在大量丢包,就基本可以确认现网存在攻击,根据丢包的协议,采用相关防攻击措施。具体有哪些常见的丢包协议,请参见表1-1。

表1-1 丢包协议以及相应的防攻击部署手段

  Packet Type   可以参考的攻击类型
  arp-reply、arp-request   1.2.1 ARP攻击、1.2.8 TC攻击
  arp-miss   1.2.2 ARP-Miss攻击
  dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request   1.2.3 DHCP攻击
  icmp   1.2.4 ICMP攻击
  ttl-expired   1.2.5 TTL攻击
  tcp   1.2.6 TCP攻击
  ospf   1.2.7 OSPF攻击
  ssh、telnet   1.2.9 SSH/Telnet攻击
  vrrp   1.2.10 VRRP攻击
  igmp   1.2.11 IGMP攻击
  pim   1.2.12 PIM攻击

V200R003版本以及之后版本支持端口防攻击功能,对于V200R003版本以及之后版本,有可能存在这样的情况:即使Drop计数不再增长,也是有可能存在攻击的。所以对于V200R003版本以及之后版本,还需要继续执行步骤3进一步确认丢包协议。

步骤 3 可以通过如下两种方式确认。

方法一:在诊断视图中执行命令display auto-port-defend statistics [ slot slot-id ]查看是否有对应协议的丢包。具体有哪些常见的丢包协议,请参见表1-2。

表1-2 丢包协议以及相应的防攻击部署手段

  Protocol   可以参考的攻击类型
  arp-reply、arp-request   1.2.1 ARP攻击、1.3.8 TC攻击
  arp-miss   1.2.2 ARP-Miss攻击
  dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request   1.2.3 DHCP攻击
  icmp   1.2.4 ICMP攻击
  ttl-expired   1.2.5 TTL攻击
  tcp   1.2.6 TCP攻击
  ospf   1.2.7 OSPF攻击
  ssh、telnet   1.2.9 SSH/Telnet攻击
  vrrp   1.2.10 VRRP攻击
  igmp   1.2.11 IGMP攻击
  pim   1.2.12 PIM攻击

方法二:对于历史上曾经触发过端口防攻击也可以通过日志来确定。日志格式如下,其中AttackProtocol表示的是攻击报文的协议类型。

SECE/4/PORT_ATTACK_OCCUR:Auto port-defend started.(SourceAttackInterface=[STRING], AttackProtocol=[STRING])

SECE/6/PORT_ATTACK_END:Auto port-defend stop.(SourceAttackInterface=[STRING], AttackProtocol=[STRING])

确定攻击类型之后,如何找出攻击源,让业务恢复正常呢?

请小伙伴先不要着急,下周我们就来聊聊“如何根据攻击类型部署防攻击手段”~

S系列交换机防攻击专题目录

1 本机防攻击推荐配置 (点我跳转)

1.1 框式交换机推荐配置

1.2 盒式交换机推荐配置

2 攻击处理具体操作

2.1 如何确定攻击类型 (本文)

2.2 如何根据攻击类型部署防攻击手段 (敬请期待)

2.2.1 ARP攻击

2.2.1.1 ARP泛洪攻击

2.2.1.2 ARP欺骗攻击

2.2.2 ARP-Miss攻击

2.2.2.1 网段扫描攻击

2.2.3 DHCP攻击

2.2.3.1 DHCP Server仿冒攻击

2.2.3.2 DHCP泛洪攻击

2.2.3.3 DHCP Server服务拒绝攻击

2.2.3.4 DHCP报文误上送

2.2.3.5 DHCP欺骗

2.2.4 ICMP攻击

2.2.5 TTL攻击

2.2.6 TCP攻击

2.2.7 OSPF攻击

2.2.8 TC攻击

2.2.9 SSH/Telnet攻击

2.2.10 VRRP攻击

2.2.11 IGMP攻击

2.2.12 PIM攻击

3 附录(敬请期待)

3.1 应用防攻击策略


小诺运维 |
转载请注明原文链接:【S系列交换机防攻击专题】3步确定攻击类型
喜欢 (0)
[541885811@qq.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址