攻击防范简介
定义
攻击防范是一种重要的网络安全特性。它通过分析上送CPU处理的报文的内容和行为,判断报文是否具有攻击特性,并配置对具有攻击特性的报文执行一定的防范措施。
攻击防范主要分为畸形报文攻击防范、分片报文攻击防范和泛洪攻击防范。
目的
目前,网络的攻击日益增多,而通信协议本身的缺陷以及网络部署问题,导致网络攻击造成的影响越来越大。特别是对网络设备的攻击,将会导致设备或者网络瘫痪等严重后果。
攻击防范针对上送CPU的不同类型攻击报文,采用丢弃或者限速的手段,以保障设备不受攻击的影响,使业务正常运行。
畸形报文攻击防范
畸形报文攻击是通过向目标设备发送有缺陷的IP报文,使得目标设备在处理这样的IP报文时出错和崩溃,给目标设备带来损失。畸形报文攻击防范是指设备实时检测出畸形报文并予以丢弃,实现对本设备的保护。
分片报文攻击防范
分片报文攻击是通过向目标设备发送分片出错的报文,使得目标设备在处理分片错误的报文时崩溃、重启或消耗大量的CPU资源,给目标设备带来损失。分片报文攻击防范是指设备实时检测出分片报文并予以丢弃或者限速处理,实现对本设备的保护。
泛洪攻击防范
泛洪攻击是指攻击者在短时间内向目标设备发送大量的虚假报文,导致目标设备忙于应付无用报文,而无法为用户提供正常服务。
泛洪攻击防范是指设备实时检测出泛洪报文并予以丢弃或者限速处理,实现对本设备的保护。
泛洪攻击主要分为TCP SYN泛洪攻击、UDP泛洪攻击和ICMP泛洪攻击。
配置攻击防范示例
组网需求
如图1所示,如果局域网内存在Hacker向SwitchA发起畸形报文攻击、分片报文攻击和泛洪攻击,将会造成SwitchA瘫痪。为了预防这种情况,管理员希望通过在SwitchA上部署各种攻击防范措施来为用户提供安全的网络环境,保障正常的网络服务。
配置思路
采用如下思路在SwitchA上配置攻击防范:
-
使能畸形报文攻击防范功能,避免畸形报文攻击。
-
使能分片报文攻击防范功能,避免分片报文攻击。
-
使能泛洪攻击防范功能,避免泛洪攻击。
配置步骤
1.使能畸形报文击防范
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname S1
[S1]undo info-center enable
Info: Information center is disabled.[S1]anti-attack abnormal enable
2.使能分片报文攻击防范,并限制分片报文接收的速率为15000bit/s
[S1]anti-attack fragment enable
[S1]anti-attack fragment car cir 15000
3.使能泛洪攻击防范
# 使能TCP SYN攻击防范,并限制TCP SYN报文接收的速率为15000bit/s。
[S1]anti-attack tcp-syn enable
[S1]anti-attack tcp-syn car cir 15000
# 使能UDP泛洪攻击防范,对特定端口发送的UDP报文直接丢弃。
[S1]anti-attack udp-flood enable# 使能ICMP泛洪攻击防范,并限制ICMP泛洪报文接收的速率为15000bit/s。
[S1]anti-attack icmp-flood enable
[S1]anti-attack icmp-flood car cir 15000
4.检查配置结果
# 配置完成后,可以通过执行命令display anti-attack statistics查看报文攻击防范的统计数据。
