j'ai compris

Défense d'attaque du processeur

publié il y a  2020-9-13 22:43:23 80 0 0 0 0

Salut,

Actuellement, un grand nombre de virus ou d'outils de piratage sont inondés sur le réseau. Ces virus ou outils de piratage sont utilisés pour occuper exclusivement les ressources de l'objet d'attaque, provoquant une panne de service de l'objet d'attaque. 

En général, les périphériques réseau utilisent une structure dans laquelle le contrôle et le transfert sont séparés. Le plan de transmission est généralement mis en œuvre en utilisant une puce dédiée, qui peut implémenter un débit de données relativement élevé. Le plan de contrôle est utilisé pour traiter certaines interactions de protocole et contrôler le plan de transmission. 

Lorsqu'un périphérique est attaqué, si le trafic de données n'est pas limité et envoyé au plan de contrôle pour traitement, le plan de contrôle est surchargé et même le système plante. 

Le périphérique peut limiter le débit de tous les paquets atteignant le processeur, ce qui signifie que seul un nombre spécifié de paquets peut être envoyé au processeur dans une période spécifiée. Cela protège le CPU et garantit son fonctionnement normal.

Le cœur de la défense contre les attaques du processeur est le Control Plane Committed Access Rate (CPCAR)La défense contre les attaques du processeur fournit la protection de liaison dynamique et les fonctions de liste noire.

CPCAR limite le taux de paquets de protocole envoyés au plan de contrôle et planifie les paquets pour protéger le plan de contrôle. CPCAR fournit une protection hiérarchique des périphériques: limitation de débit basée sur les protocoles, planification et limitation de débit basée sur les files d'attente, et limitation de débit pour tous les paquets.


9


Si le volume de trafic d'un protocole est trop important, les autres paquets de protocole ne peuvent pas être traités en temps opportun. L'appareil prend en charge CPCAR pour limiter le débit de paquets de chaque protocole. CPCAR inclut les paramètres de débit d'information engagé (CIR) et de taille de rafale validée (CBS) pour chaque protocole. Le périphérique rejette les paquets de protocole qui dépassent la limite de débit correspondante. Cela garantit que tous les protocoles peuvent être traités et empêche les interférences entre les protocoles.

Une fois les limites de débit définies pour les protocoles, le périphérique alloue une file d'attente à chaque type de protocole. Par exemple, l'appareil alloue une file d'attente aux protocoles de gestion tels que Telnet et SSH et une file d'attente aux protocoles de routage. Les files d'attente sont planifiées en fonction des poids ou des priorités. Les services avec la priorité la plus élevée sont traités en premier. Vous pouvez également définir une limite de débit pour les paquets dans chaque file d'attente envoyés à la CPU.

Une fois les limites de débit définies pour tous les paquets envoyés à la CPU, la CPU peut traiter plus de paquets de protocole sans être submergée.


Par défaut, l'appareil a défini les valeurs appropriées pour divers protocoles. En règle générale,  les paramètres CPCAR par défaut peuvent répondre aux exigences changeantes de la limite supérieure du taux d'envoi de paquets . Exécutez la  commande display cpu-defend configuration pour interroger les limites de débit des paquets de protocole.

Exemple

# Afficher la configuration de la limite de débit sur les paquets de protocole envoyés à la SRU.

<Huawei> display cpu-defend configuration sru

Rate configurations on mainboard.                                              

-----------------------------------------------------------------               

Packet-type            Status      Rate-limit(PPS)  Priority                

-----------------------------------------------------------------               

8021X                    Disabled          160                   2                   

arp-miss                 Enabled            64                   2                   

arp-reply                Enabled           128                  2                   

arp-request            Enabled           128                  2                   

bfd                         Disabled           512                 4                   

bgp                        Enabled            256                 3                   

......

-----------------------------------------------------------------   


Remarque: certains périphériques utilisent le PPS comme unité de la limite de débit de paquets du processeur, tandis que d'autres utilisent le kbps. Le débit kbit / s est converti en débit pps à l'aide de la formule suivante: 

pps = kbps x 1024 / (paquet_longueur + 20) / 8

Parfois, les valeurs par défaut ne peuvent pas répondre aux exigences des spécifications. Par exemple, la perte de paquets se produit dans un certain type de service, la valeur CPCAR de ce type de service doit être augmentée. Cependant, si les valeurs sont définies sur big, le CPCAR ne peut pas protéger le CPU. la commande  display cpu-defender statistics  peut être utilisée pour vérifier le nombre de paquets transférés et rejetés, ce qui nous aide à configurer les politiques de défense contre les attaques.

<Huawei> display cpu-defend statistics

-----------------------------------------------------------------------         

Packet Type               Pass Packets        Drop Packets                      

-----------------------------------------------------------------------         

8021X                                0                       0                      

arp-miss                             5                      0                      

arp-reply                         8090                   0                      

arp-request                    1446576         127773                      

bfd                                  0                         0                      

bgp                                  0                         0                      

bgp4plus                             0                    0                      

dhcp-client                        879                   0                      

dhcp-server                          0                   0                      

dhcpv6-reply                         0                   0                      

dhcpv6-request                       0                   0     

  ......

-------------------------------------------------------------------- 

Exemple de définition de la valeur CPCAR (routeur AR)

<Huawei> system-view

[Huawei] cpu-defend policy test    //créer une politique de défense contre les attaques.

[Huawei-cpu-defend-policy-test]packet-type arp-reply rate-limit 1260    //Définit la limite de débit pour les paquets de réponse ARP à 1260 pps

[Huawei] cpu-defend-policy test global    // appliquer la politique de défense contre les attaques. 


Pour plus de détails, veuillez consulter la documentation du  produit .

Dans certains cas, un grand nombre de paquets de protocole sont envoyés au processeur pour traitement, ce qui entraîne une utilisation élevée du processeur. Par exemple, la valeur CPCAR d'un protocole est trop grande, ou plusieurs paquets de protocole sont envoyés au processeur en même temps avec un trafic important. Dans ce cas, les valeurs CPCAR de ces protocoles doivent diminuer. Cependant, soyez prudent lorsque vous réduisez la valeur CPCAR des paquets de protocole et évaluez pleinement l'impact sur les services. Si le périphérique n'a pas besoin de traiter les paquets de protocole de ce type, définissez la valeur CAR sur une valeur plus petite. En règle générale, les valeurs CPCAR des paquets TCP, TTL expiré et FIB-hit peuvent être réduites autant que possible. 



  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.