Introducción al concepto de defensa de ataque local para un switch de Huawei

37 0 1 0

Definición

 

La defensa de ataque local protege la CPU de un dispositivo y evita la interrupción del servicio causada por ataques de una gran cantidad de paquetes o paquetes maliciosos.

 

Los CPU de los dispositivos deben procesar una gran cantidad de paquetes, incluidos paquetes válidos y paquetes de ataque malicioso en una red. Los paquetes de ataque malicioso abruman a las CPU y, por lo tanto, afectan los servicios y provocan una falla del sistema. Además, los paquetes válidos excesivos también pueden conducir a un alto uso de la CPU, lo que degrada el rendimiento de la CPU e interrumpe los servicios.

 

Para garantizar que la CPU pueda procesar los servicios de manera oportuna, el dispositivo proporciona una función de defensa de ataque local. Cuando un dispositivo está sufriendo un ataque, esta función garantiza la transmisión ininterrumpida del servicio y minimiza el impacto en los servicios de red.


Implementación

El dispositivo admite cuatro tipos de defensa de ataque local: defensa de ataque de CPU, rastreo de fuente de ataque, defensa de ataque de puerto y limitación de velocidad a nivel de usuario.

 

Defensa de ataque de CPU

El dispositivo puede limitar la velocidad de todos los paquetes que llegan a la CPU, lo que significa que solo se puede enviar un número específico de paquetes a la CPU en un período específico. Esto protege la CPU y asegura su funcionamiento normal.

 

La función diseñada para la defensa de ataque de la CPU es el Control Plane Committed Access Rate (CPCAR). La defensa de ataque de la CPU proporciona la protección de enlace dinámico y las funciones de lista negra.


w CPCAR limita la velocidad de los paquetes de protocolo enviados al plano de control y programa los paquetes para proteger el plano de control. CPCAR proporciona protección jerárquica del dispositivo: limitación de velocidad basada en protocolos, programación y limitación de velocidad basada en colas, y limitación de velocidad para todos los paquetes, como se muestra en la Figura 1.

 

Figura 1 Limitación de velocidad para paquetes enviados a la CPU

1


Si el volumen de tráfico de un protocolo es demasiado grande, no se pueden procesar otros paquetes de protocolo de manera oportuna. El dispositivo admite CPCAR para limitar la velocidad de paquetes de cada protocolo. CPCAR incluye la configuración de la tasa de información comprometida o Committed Information Rate (CIR) y el tamaño de ráfaga comprometida o Committed Burst Size (CBS) para cada protocolo. El dispositivo descarta los paquetes de protocolo que exceden el límite de velocidad correspondiente.

 

Esto asegura que todos los protocolos puedan procesarse y evita la interferencia entre protocolos.

 

Después de establecer los límites de velocidad para los protocolos, el dispositivo asigna una cola a cada tipo de protocolo. Por ejemplo, el dispositivo asigna una cola a protocolos de administración como Telnet y SSH y una cola a protocolos de enrutamiento. Las colas se programan en función de pesos o prioridades. Los servicios con la prioridad más alta se procesan primero. También puede establecer un límite de velocidad para los paquetes en cada cola enviada a la CPU.

 

Después de establecer los límites de velocidad para todos los paquetes enviados a la CPU, la CPU puede procesar más paquetes de protocolo sin verse atareado.


2


w La protección de enlace dinámico se refiere a la protección de datos de aplicaciones basadas en sesiones, incluidas las sesiones FTP, las sesiones BGP y las sesiones OSPF. Esta función garantiza que los servicios normales continúen ejecutándose cuando ocurre un ataque. Cuando se configura una sesión FTP, BGP u OSPF, la limitación de velocidad de protocolo no tiene efecto. El dispositivo limita la velocidad de sesión en función de la velocidad establecida en la protección de enlace dinámico, lo que garantiza la fiabilidad y la estabilidad de los servicios relacionados con la sesión.

 

w La defensa de ataque de la CPU proporciona una función de lista negra. Una lista negra hace referencia a una ACL. El dispositivo descarta todos los paquetes que tienen las características definidas en la lista negra. Puede agregar atacantes conocidos a la lista negra.


Rastreo de fuente de ataque

El rastreo de origen de ataque o Attack Source Tracing protege a la CPU contra ataques de denegación de servicio (DoS). El dispositivo habilitado con el rastreo de la fuente de ataque analiza los paquetes enviados a la CPU, recopila estadísticas sobre los paquetes y establece un umbral de velocidad para los paquetes. El dispositivo considera el exceso de paquetes como paquetes de ataque. El dispositivo encuentra la dirección de usuario de origen o la interfaz de origen de los paquetes de ataque y genera registros o alarmas para el ataque.

 

En consecuencia, el administrador de red puede tomar medidas para defenderse de los ataques, por ejemplo, descartar paquetes de la fuente del ataque.

 

El rastreo de fuente de ataque involucra cuatro procesos que se muestran en la Figura 2: análisis de paquetes, análisis de tráfico, identificación de fuente de ataque, registro y generación de alarmas, así como también acciones de castigo.

 

1. Analiza paquetes basados en direcciones IP, direcciones MAC y puertos. Los puertos se identifican por números de puerto físicos e ID de VLAN.

 

2. El sistema cuenta el número de paquetes de protocolo recibidos según las direcciones IP, las direcciones MAC o los números de puerto


3. Cuando la tasa de paquetes enviados a la CPU supera el umbral, el sistema considera que se ha producido un ataque.

 

4. Al detectar un ataque, el sistema informa un registro y una alarma, o toma medidas de castigo. Por ejemplo, el sistema descarta los paquetes.

 

Figura 2 Procesos de rastreo de fuente de ataque


3


El rastreo de origen de ataque proporciona la función de lista blanca. Una vez que se configura una ACL para permitir los paquetes desde un puerto o se agrega un puerto a la lista blanca, el dispositivo no rastrea la fuente de los paquetes desde este puerto. Puede agregar usuarios o puertos autorizados a la lista blanca para asegurarse de que los paquetes de estos usuarios se puedan enviar a la CPU.

 

Defensa de ataque de puerto

La defensa de ataque de puerto o Port Attack Defense es un método de ataque anti-DoS. Si un puerto recibe muchos paquetes de protocolo, los paquetes de protocolo ocupan ancho de banda y los paquetes de protocolo recibidos por otros puertos no pueden enviarse a la CPU. La función de defensa de ataque de puerto previene ataques basados en puertos.

 

El proceso para la defensa del ataque de puerto es el siguiente:

 

1. Analice los paquetes recibidos por cada puerto.

2. Cuente los paquetes de protocolo a los que se aplica la defensa de ataque de puerto en función de los puertos.

3. Tenga en cuenta que se ha producido un ataque cuando la velocidad de los paquetes enviados a la CPU supera el umbral de velocidad.

4. Grabe un registro y mueva los paquetes dentro del límite de velocidad del protocolo a una cola de baja prioridad en espera para su procesamiento en la CPU y descarte los paquetes en exceso. Tenga en cuenta que el S5730SI, S5730S-EI, S5720SI, S5720I-SI, S5720S-SI, S6720S-SI y S6720SI no admiten la función de mover los paquetes dentro del límite de velocidad del protocolo a una cola de baja prioridad, pero conservan el original cola para enviar los paquetes a la CPU para su procesamiento.

 

Las acciones de limitación de velocidad tomadas por la defensa de ataque de puerto tienen un impacto menor en comparación con las acciones de castigo tomadas por el rastreo de la fuente de ataque.

 

La defensa de ataque de puerto proporciona una función de lista blanca. Una vez que se configura una ACL para permitir los paquetes desde un puerto o se agrega un puerto a la lista blanca, el dispositivo no rastrea la fuente ni limita la velocidad de los paquetes desde este puerto. Puede agregar usuarios o puertos autorizados a la lista blanca para asegurarse de que los paquetes de estos usuarios se puedan enviar a la CPU.

 

Limitación de velocidad a nivel de usuario

La limitación de velocidad a nivel de usuario o User-Level Rate Limiting identifica a los usuarios en función de la dirección MAC y califica los límites de los paquetes de protocolo especificados, como ARP, ND, DHCP Request, DHCPV6 Request, IGMP y HTTPS-SYN. Si un usuario sufre un ataque DoS, otros usuarios no se ven afectados. El núcleo de la limitación de velocidad a nivel de usuario es HOST CAR.

 

El procedimiento de limitación de velocidad a nivel de usuario es el siguiente:

 

1. Al recibir los paquetes anteriores, el switch realiza un cálculo de hash en las direcciones MAC de origen y coloca los paquetes en diferentes cubos.

 

2. Cuando el número de paquetes colocados en un depósito dentro de un segundo excede el límite de velocidad, el depósito descarta los paquetes. El switch cuenta la cantidad de paquetes descartados cada 10 minutos. Cuando el número de paquetes descartados en 10 minutos excede 2000, el switch informa un registro de descarte de paquetes para este depósito. Si el número de paquetes descartados en muchos cubos supera los 2000, el switch registra los registros de descarte de paquetes para los 10 cubos superiores.

 

Saludos.

 

FIN

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión