【S系列交换机防攻击专题】第一章 本地防攻击推荐配置

[复制链接]
交换机在江湖
交换机在江湖   钻石会员    发表于 2017-8-2 17:08:59   最新回复:2017-08-02 17:08:59

场景介绍

在现网中有各种攻击,而且攻击类型是不断变化的,无法用一种固定的防护方式防御所有攻击,所以需要根据实际的场景变化调整防护方式。下面提供一种使用范围比较广的防护脚本和攻击检测方式,可以防范TTL=1攻击、TCP攻击,并可以及时发现ARP、DHCP、IGMP的攻击用户。


1 框式交换机推荐配置

1.1 脚本部署

# 主控板防攻击脚本部署

cpu-defend policy main-board 
car packet-type ttl-expired cir 16 
car packet-type tcp cir 32 
auto-defend enable 
auto-defend attack-packet sample 5 
auto-defend threshold 30 
undo auto-defend trace-type source-portvlan 
undo auto-defend protocol tcp telnet ttl-expired 
auto-defend whitelist 1 interface GigabitEthernet x/x/x  #互联口和上行口加入白名单 
auto-defend whitelist 2 interface GigabitEthernet x/x/x  #互联口和上行口加入白名单 
cpu-defend-policy main-board

# 接口板防攻击脚本部署

cpu-defend policy io-board 
car packet-type ttl-expired cir 8 
car packet-type tcp cir 16 
auto-defend enable 
auto-defend attack-packet sample 5 
auto-defend threshold 30 
undo auto-defend trace-type source-portvlan 
undo auto-defend protocol tcp telnet ttl-expired 
auto-defend whitelist 1 interface GigabitEthernet x/x/x    #互联口和上行口加入白名单 
auto-defend whitelist 2 interface GigabitEthernet x/x/x    #互联口和上行口加入白名单 
cpu-defend-policy io-board global


1.2 特别注意事项

1. 上述脚本适用于V200R008版本和V200R008之前版本,V200R009版本以及之后版本攻击溯源功能默认已经使能,不需要特意部署。

2. TCP速率是指针对本机VLANIF/Loopback地址的上送CPU速率,不影响具体路由协议的速率,例如BGP等有单独的速率,不受TCP CPCAR缩小的影响。

3. ttl-expired基本只用于traceRT功能,含TTL字段的路由协议的报文速率不受ttl-expired参数的影响,只取决于各路由协议的CPCAR。

4. 如果客户已经对cpu-defend policy做过配置调整,在配置时不要和客户配置冲突。


2 盒式交换机推荐配置

2.1 脚本部署

cpu-defend policy io-board 
car packet-type ttl-expired cir 8 
car packet-type tcp cir 16 
auto-defend enable 
auto-defend attack-packet sample 5 
auto-defend threshold 30 
undo auto-defend trace-type source-portvlan 
undo auto-defend protocol tcp igmp telnet ttl-expired 
auto-defend whitelist 1 interface GigabitEthernet x/x/x  #互联口和上行口加入白名单 
auto-defend whitelist 2 interface GigabitEthernet x/x/x  #互联口和上行口加入白名单 
cpu-defend-policy io-board global


2.2 特别注意事项

1. 上述脚本适用于V200R008版本和V200R008之前版本,V200R009版本以及之后版本攻击溯源功能默认已经使能,不需要特意部署。

2. TCP速率是指针对本机VLANIF/Loopback地址的上送CPU速率,不影响具体路由协议的速率,例如BGP等有单独的速率,不受TCP CPCAR缩小的影响。

3. ttl-expired基本只用于traceRT功能,含TTL字段的路由协议的报文速率不受ttl-expired参数的影响,只取决于各路由协议的CPCAR。

4. 如果客户已经对cpu-defend policy做过配置调整,在配置时不要和客户配置冲突。


3 发现攻击后如何快速业务恢复正常?

以上配置可以防范TTL=1攻击、TCP攻击,并可以及时发现ARP、DHCP、IGMP的攻击用户。那发现攻击后,该如何操作才能快速让业务恢复正常呢?如果不是以上类型攻击,该如何处理呢?请看下周发布的“S交换机防攻击专题 第二章”~


S系列交换机防攻击专题目录

1 本机防攻击推荐配置 (本文)
1.1 框式交换机推荐配置 
1.2 盒式交换机推荐配置


2 攻击处理具体操作  (敬请期待)
2.1 如何确定攻击类型 
2.2 如何根据攻击类型部署防攻击手段 
2.2.1 ARP攻击 
2.2.1.1 ARP泛洪攻击 
2.2.1.2 ARP欺骗攻击 
2.2.2 ARP-Miss攻击 
2.2.2.1 网段扫描攻击 
2.2.3 DHCP攻击 
2.2.3.1 DHCP Server仿冒攻击 
2.2.3.2 DHCP泛洪攻击 
2.2.3.3 DHCP Server服务拒绝攻击 
2.2.3.4 DHCP报文误上送 
2.2.3.5 DHCP欺骗 
2.2.4 ICMP攻击 
2.2.5 TTL攻击 
2.2.6 TCP攻击 
2.2.7 OSPF攻击 
2.2.8 TC攻击 
2.2.9 SSH/Telnet攻击 
2.2.10 VRRP攻击 
2.2.11 IGMP攻击 
2.2.12 PIM攻击 
 
3 附录(敬请期待) 
3.1 应用防攻击策略

跳转到指定楼层
快速回复 返回顶部