更新时间:2024-01-10
1 IP防攻击配置
1.1 概述
为保证网络带宽的合理利用,本公司系列交换机提供了防止恶意IP流量大量占用网络带宽的功能。针对目前最常见的攻击形式,对一段时间内大量发送ICMP、IGMP或者IP报文的主机进行通信限制,不对这些主机提供任何网络服务。使用该功能可以防止恶意报文大量占用网络带宽导致网络拥塞的问题。
1.2 IP防攻击的配置任务列表
当某台主机在任意指定时间间隔内发送的IGMP, ICMP或者IP报文数量超过门限时,我们就认为它对网络造成了攻击。
用户可以选择防止攻击的类型(ICMP, IGMP或者IP)、应用防攻击功能的端口和攻击检测参数。因此用户需要进行的配置任务有:
• 配置IP防攻击类型
• 配置IP攻击检测参数
1.3 IP防攻击配置
1.3.1配置IP攻击检测参数
|
命令
|
目的
|
|
ip verify log-enable
|
开启/关闭攻击检测的系统日志
|
|
ip verify filter time
|
当识别出攻击源后,对攻击源进行停止服务,调整单位是秒,默认时间为180秒
|
1.3.2配置IP攻击检测类型
|
命令
|
目的
|
|
ip verify icmp ping-flood value
|
限制ping包接收,检测门限为value个报文
|
|
ip verify icmp ping-sweep time
|
限制ping扫描,检测周期为time,单位为秒
|
|
ip verify tcp syn-flood value
|
限制tcp syn包接收,检测门限为value个报文
|
|
ip verify tcp syn-sweep time
|
限制tcp syn端口扫描,检测周期为time,单位为秒
|
|
ip verify tcp fin-scan time
|
限制tcp stealth fin扫描,检测周期为time,单位为秒
|
|
ip verify tcp rst-flood value
|
限制tcp rst包接收,检测门限为value个报文
|
|
ip verify udp udp-flood value
|
限制udp包接收,检测门限为value个报文
|
|
ip verify udp udp-sweep time
|
限制udp扫描,检测周期为time,单位为秒
|
|
ip verify attack Xmas-Tree time
|
过滤 Xmas-Tree 扫描攻击,检测周期为time,单位为秒
|
|
ip verify attack Null-scan time
|
过滤Null扫描攻击,检测周期为time,单位为秒
|
|
ip verify attack Land
|
过滤Land攻击
|
|
ip verify attack Smurf
|
过滤Smurf攻击
|
|
ip verify attack WinNuke
|
过滤WinNuke攻击
|
|
ip verify attack TearDrop
|
过滤TearDrop攻击
|
|
ip verify attack Fraggle
|
过滤Fraggle攻击
|
1.3.3启用IP防攻击功能
当防攻击的全部参数配置完毕后,就可以启动防止攻击功能了。需要指出的是,防止攻击功能是需要消耗少量处理器资源的。
|
命令
|
目的
|
|
ip verify enable
|
开启/关闭攻击检测
|
使用该命令的no形式时,关闭攻击检测功能,并且所有被阻塞的攻击源被解除阻塞。
1.4 IP防攻击配置举例
用户希望打开防止端口扫描攻击功能,要求任何主机在任何15秒内扫描端口超过一次扫描单位时就认为是攻击,对攻击源阻塞网络服务10分钟,则应该如下配置:
ip verify icmp ping-sweep 15
ip verify tcp syn-sweep 15
ip verify udp udp-sweep 15
ip verify enable
ip verify log-enable
ip verify filter 600
2 IP防直连网段扫描攻击配置
2.1 概述
为了防止恶意攻击向直连路由发送大量扫描报文,使交换机对直连路由上无法到达的地址创建软件cache,进而为了维护大量软件cache而消耗cpu,使cpu利用率升高的问题,开发了IP防直连网段扫描攻击的功能,针对一段时间内直连网段扫描形式的攻击,对源IP进行处理,降低cpu利用率。
2.2 IP防直连网段扫描攻击的配置任务列表
当交换机某个vlan上的不完整arp超过一定数量后,我们就认为交换机收到了防直连网段扫描的攻击。
当某台主机在任意指定时间间隔内发送的无法到达确定地址的IP报文数量超过门限时,我们就认为这台主机对网络造成了攻击并记录、打印提示用户。
用户可以选择防直连网段扫描攻击功能方式和攻击检测参数。因此用户需要进行的配置任务有:
• 配置IP防直连网段扫描检测参数
• 配置IP防直连网段扫描检测类型
注意:ip verify ip-sweep action rate-limit-attacker命令会覆盖ip verify ip-sweep action rate-limit命令,而反之需要配置no ip verify ip-sweep action rate-limit-attacker后才能配置ip verify ip-sweep action rate-limit。覆盖时time与packet配置参数得到继承。
2.3 IP防直连网段扫描攻击配置
2.3.1配置IP防直连网段扫描检测参数
|
命令
|
目的
|
|
ip verify filter time
|
当识别出攻击源后,对攻击源进行停止服务,调整单位是秒,默认时间为180秒
|
2.3.2配置IP防直连网段扫描检测类型
|
命令
|
目的
|
|
ip verify ip-sweep action rate-limit
|
限制ip报文的报文数量
|
|
ip verify ip-sweep action rate-limit time packets
|
限制ip报文的报文数量,配置限制的时间段与该时间段内允许ip报文的最大数量
|
|
ip verify ip-sweep action rate-limit-attacker
|
只限制定义为攻击者的ip报文的报文数量。
|
|
ip verify ip-sweep action rate-limit-attacker time packets
|
限制定义为攻击者的ip报文的报文数量,配置限制的时间段与该时间段内允许该源地址的ip报文的最大数量
|
|
ip verify ip-sweep action no-cache
|
禁止为直连网段的未明主机创建cache
|
2.3.3启用IP防直连网段扫描攻击功能
当防IP直连网段扫描攻击的全部参数配置完毕后,就可以启动IP防直连网段扫描攻击功能了。需要指出的是,防止攻击功能是需要消耗少量处理器资源的。
|
命令
|
目的
|
|
ip verify ip-sweep detect unknown-host
|
开启/关闭对于直连网络上未明主机的IP扫描的防攻击功能
|
使用该命令的no形式时,关闭攻击检测功能,并且所有被阻塞的攻击源被解除阻塞。
2.4 IP防直连网段扫描攻击配置举例
用户希望打开IP防直连网段扫描攻击功能,要求对检测到的攻击者仅允许每两秒钟转发200个IP报文,并阻止生成未明直连网段主机的cache,此外每10分钟重置整个检测的结果,则应该如下配置:
ip verify filter 600
ip verify ip-sweep detect unknown-host
ip verify ip-sweep action no-cache
ip verify ip-sweep action rate-limit 2 200
2.5 IP防直连网段扫描攻击检测效果举例
Jan 1 00:07:14 Unknown-host (connected network sweep) attack detected
Jan 1 00:07:14 Action rate-limit-attacker is being used.
Jan 1 00:07:14 Action no-cache is being used.
Jan 1 00:07:14 Connected network sweep attacker 100.1.1.2 detected, VLAN 100, port g2/1
Jan 1 00:07:14 [SLOT 2]Connected network sweep attacker 100.1.1.2 detected, VLAN 100, port g2/1
打开了防直连网段扫描攻击以及rate-limit-attacker、action no-cache的防御方式时,收到了端口为vlan 100,物理端口g2/1,IP地址为100.1.1.2的攻击者的IP直连网段扫描攻击,请尽快处理
