• 欢迎访问小诺运维,运维教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站 QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏小诺运维吧

【S系列交换机防攻击专题】5分钟完成本地防攻击推荐配置

网络 xlqywk 2年前 (2018-11-23) 60次浏览 已收录 0个评论

场景介绍

在现网中有各种攻击,而且攻击类型是不断变化的,无法用一种固定的防护方式防御所有攻击,所以需要根据实际的场景变化调整防护方式。下面提供一种使用范围比较广的防护脚本和攻击检测方式,可以防范TTL=1攻击、TCP攻击,并可以及时发现ARP、DHCP、IGMP的攻击用户。

1 框式交换机推荐配置

1.1 脚本部署

# 主控板防攻击脚本部署

cpu-defend policy main-board
car packet-type ttl-expired cir 16
car packet-type tcp cir 32
auto-defend enable
auto-defend attack-packet sample 5
auto-defend threshold 30
undo auto-defend trace-type source-portvlan
undo auto-defend protocol tcp telnet ttl-expired
auto-defend whitelist 1 interface GigabitEthernet x/x/x  #互联口和上行口加入白名单
auto-defend whitelist 2 interface GigabitEthernet x/x/x  #互联口和上行口加入白名单
cpu-defend-policy main-board

# 接口板防攻击脚本部署

cpu-defend policy io-board
car packet-type ttl-expired cir 8
car packet-type tcp cir 16
auto-defend enable
auto-defend attack-packet sample 5
auto-defend threshold 30
undo auto-defend trace-type source-portvlan
undo auto-defend protocol tcp telnet ttl-expired
auto-defend whitelist 1 interface GigabitEthernet x/x/x    #互联口和上行口加入白名单
auto-defend whitelist 2 interface GigabitEthernet x/x/x    #互联口和上行口加入白名单
cpu-defend-policy io-board global

1.2 特别注意事项

1. 上述脚本适用于V200R008版本和V200R008之前版本,V200R009版本以及之后版本攻击溯源功能默认已经使能,不需要特意部署。

2. TCP速率是指针对本机VLANIF/Loopback地址的上送CPU速率,不影响具体路由协议的速率,例如BGP等有单独的速率,不受TCP CPCAR缩小的影响。

3. ttl-expired基本只用于traceRT功能,含TTL字段的路由协议的报文速率不受ttl-expired参数的影响,只取决于各路由协议的CPCAR。

4. 如果客户已经对cpu-defend policy做过配置调整,在配置时不要和客户配置冲突。

2 盒式交换机推荐配置

2.1 脚本部署

cpu-defend policy io-board
car packet-type ttl-expired cir 8
car packet-type tcp cir 16
auto-defend enable
auto-defend attack-packet sample 5
auto-defend threshold 30
undo auto-defend trace-type source-portvlan
undo auto-defend protocol tcp igmp telnet ttl-expired
auto-defend whitelist 1 interface GigabitEthernet x/x/x  #互联口和上行口加入白名单
auto-defend whitelist 2 interface GigabitEthernet x/x/x  #互联口和上行口加入白名单
cpu-defend-policy io-board global

2.2 特别注意事项

1. 上述脚本适用于V200R008版本和V200R008之前版本,V200R009版本以及之后版本攻击溯源功能默认已经使能,不需要特意部署。

2. TCP速率是指针对本机VLANIF/Loopback地址的上送CPU速率,不影响具体路由协议的速率,例如BGP等有单独的速率,不受TCP CPCAR缩小的影响。

3. ttl-expired基本只用于traceRT功能,含TTL字段的路由协议的报文速率不受ttl-expired参数的影响,只取决于各路由协议的CPCAR。

4. 如果客户已经对cpu-defend policy做过配置调整,在配置时不要和客户配置冲突。

3 发现攻击后如何快速业务恢复正常?

以上配置可以防范TTL=1攻击、TCP攻击,并可以及时发现ARP、DHCP、IGMP的攻击用户。那发现攻击后,该如何操作才能快速让业务恢复正常呢?如果不是以上类型攻击,该如何处理呢?请看下周发布的“S交换机防攻击专题 第二章”~

S系列交换机防攻击专题目录

1 本机防攻击推荐配置 (本文)
1.1 框式交换机推荐配置
1.2 盒式交换机推荐配置

2 攻击处理具体操作  (敬请期待)
2.1 如何确定攻击类型
2.2 如何根据攻击类型部署防攻击手段
2.2.1 ARP攻击
2.2.1.1 ARP泛洪攻击
2.2.1.2 ARP欺骗攻击
2.2.2 ARP-Miss攻击
2.2.2.1 网段扫描攻击
2.2.3 DHCP攻击
2.2.3.1 DHCP Server仿冒攻击
2.2.3.2 DHCP泛洪攻击
2.2.3.3 DHCP Server服务拒绝攻击
2.2.3.4 DHCP报文误上送
2.2.3.5 DHCP欺骗
2.2.4 ICMP攻击
2.2.5 TTL攻击
2.2.6 TCP攻击
2.2.7 OSPF攻击
2.2.8 TC攻击
2.2.9 SSH/Telnet攻击
2.2.10 VRRP攻击
2.2.11 IGMP攻击
2.2.12 PIM攻击

3 附录(敬请期待)
3.1 应用防攻击策略


喜欢 (0)
[541885811@qq.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址