攻击netbios端口
netbios端口 时间:2021-05-17 阅读:()
i目录1攻击检测及防范1-11.
1攻击检测及防范简介·1-11.
2攻击检测及防范的类型·1-11.
2.
1单包攻击1-11.
2.
2扫描攻击1-21.
2.
3泛洪攻击1-31.
3黑名单功能1-41.
4攻击检测及防范配置任务简介1-41.
5配置攻击防范·1-51.
5.
1创建攻击防范策略·1-51.
5.
2配置攻击防范策略·1-51.
5.
3配置攻击防范例外列表1-121.
5.
4在本机应用攻击防范策略·1-121.
5.
5配置单包攻击防范日志的非聚合输出功能·1-131.
6配置黑名单1-131.
7攻击检测及防范显示和维护·1-141.
8攻击检测及防范典型配置举例1-161.
8.
1黑名单配置举例1-161-11攻击检测及防范1.
1攻击检测及防范简介攻击检测及防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施,例如输出告警日志、丢弃报文、加入黑名单或客户端验证列表.
本特性能够检测单包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击,并能对各类型攻击采取合理的防范措施.
1.
2攻击检测及防范的类型1.
2.
1单包攻击单包攻击也称为畸形报文攻击,主要包括以下三种类型:攻击者通过向目标系统发送带有攻击目的的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃;攻击者可以通过发送正常的报文,如ICMP报文、特殊类型的IPoption报文,来干扰正常网络连接或探测网络结构,给目标系统带来损失;攻击者还可通过发送大量无用报文占用网络带宽,造成拒绝服务攻击.
设备可以对表1-1中所列的各单包攻击行为进行有效防范.
表1-1单包攻击类型及说明列表单包攻击类型说明ICMPredirect攻击者向用户发送ICMP重定向报文,更改用户主机的路由表,干扰用户主机正常的IP报文转发.
ICMPunreachable某些系统在收到不可达的ICMP报文后,对于后续发往此目的地的报文判断为不可达并切断对应的网络连接.
攻击者通过发送ICMP不可达报文,达到切断目标主机网络连接的目的.
ICMPtypeICMP报文中,type值的表示不同含义的报文,接收者需要根据不同的类型进行响应,攻击者通过构造特定type类型的ICMP报文来达到影响系统正常处理报文等目的.
ICMPv6typeICMPv6报文中,type值的表示不同含义的报文,接收者需要根据不同的类型进行响应,攻击者通过构造特定type类型的ICMPv6报文来达到影响系统正常处理报文等目的.
Land攻击者向目标主机发送大量源IP地址和目的IP地址都是目标主机自身的TCPSYN报文,使得目标主机的半连接资源耗尽,最终不能正常工作.
LargeICMP某些主机或设备收到超大的报文,会引起内存分配错误而导致协议栈崩溃.
攻击者通过发送超大ICMP报文,让目标主机崩溃,达到攻击目的.
LargeICMPv6某些主机或设备收到超大的报文,会引起内存分配错误而导致协议栈崩溃.
攻击者通过发送超大ICMPv6报文,让目标主机崩溃,达到攻击目的.
1-2单包攻击类型说明IPoption攻击者利用IP报文中的异常选项的设置,达到探测网络结构的目的,也可由于系统缺乏对错误报文的处理而造成系统崩溃.
Fragment攻击者通过向目标主机发送分片偏移小于5的分片报文,导致主机对分片报文进行重组时发生错误而造成系统崩溃.
Impossible攻击者通过向目标主机发送源IP地址和目的IP地址相同的报文,造成主机系统处理异常.
Tinyfragment攻击者构造一种特殊的IP分片来进行微小分片的攻击,这种报文首片很小,未能包含完整的传输层信息,因此能够绕过某些包过滤防火墙的过滤规则,达到攻击目标网络的目的.
Smurf攻击者向目标网络发送ICMP应答请求,该请求包的目的地址设置为目标网络的广播地址,这样该网络中的所有主机都会对此ICMP应答请求作出答复,导致网络阻塞,从而达到令目标网络中主机拒绝服务的攻击目的.
TCPFlag不同操作系统对于非常规的TCP标志位有不同的处理.
攻击者通过发送带有非常规TCP标志的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的.
Traceroute攻击者连续发送TTL从1开始递增的目的端口号较大的UDP报文,报文每经过一个路由器,其TTL都会减1,当报文的TTL为0时,路由器会给报文的源IP设备发送一个TTL超时的ICMP报文,攻击者借此来探测网络的拓扑结构.
Winnuke攻击者向安装(或使用)Windows系统的特定目标的NetBIOS端口(139)发送OOB(Out-Of-Band,带外)数据包,这些攻击报文的指针字段与实际的位置不符,从而引起一个NetBIOS片断重叠,致使已与其他主机建立连接的目标主机在处理这些数据的时候系统崩溃.
UDPBomb攻击者发送畸形的UDP报文,其IP首部中的报文总长度大于IP首部长度与UDP首部中标识的UDP数据长度之和,可能造成收到此报文的系统处理数据时越界访问非法内存,导致系统异常.
UDPSnork攻击者向Windows系统发送目的端口为135(Windows定位服务)源端口为135、7或19(UDPChargen服务)的报文,使被攻击系统不断应答报文,最终耗尽CPU资源.
UDPFraggle攻击者通过向目标网络发送UDP端口为7的ECHO报文或者UDP端口为19的Chargen报文,令网络产生大量无用的应答报文,占满网络带宽,达到攻击目的.
Teardrop攻击者通过发送大量分片重叠的报文,致使服务器对这些报文进行重组时造成重叠,因而丢失有效的数据.
Pingofdeath攻击者构造标志位为最后一片且长度大于65535的ICMP报文发送给目标主机,可能导致系统处理数据时越界访问非法内存,造成系统错误甚至系统崩溃.
1.
2.
2扫描攻击扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和开放的服务端口,为进一步侵入目标系统做准备.
IPSweep攻击攻击者发送大量目的IP地址变化的探测报文,通过收到的回应报文来确定活跃的目标主机,以便针对这些主机进行下一步的攻击.
Portscan攻击1-3攻击者获取了活动目标主机的IP地址后,向目标主机发送大量目的端口变化的探测报文,通过收到的回应报文来确定目标主机开放的服务端口,然后针对活动目标主机开放的服务端口选择合适的攻击方式或攻击工具进行进一步的攻击.
分布式Portscan攻击攻击者控制多台主机,分别向特定目标主机发送探测报文,通过收集所有被控制的主机的回应报文,确定目标主机开启的服务端口,以便进一步实施攻击.
1.
2.
3泛洪攻击泛洪攻击是指攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,从而无法为合法用户提供正常服务,即发生拒绝服务.
设备支持对以下几种泛洪攻击进行有效防范:SYNflood攻击根据TCP协议,服务器收到SYN报文后需要建立半连接并回应SYNACK报文,然后等待客户端的ACK报文来建立正式连接.
由于资源的限制,操作系统的TCP/IP协议栈只能允许有限个TCP连接.
攻击者向服务器发送大量伪造源地址的SYN报文后,由于攻击报文是伪造的,服务器不会收到客户端的ACK报文,从而导致服务器上遗留了大量无效的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时.
ACKflood攻击ACK报文为只有ACK标志位置位的TCP报文,服务器收到ACK报文时,需要查找对应的连接.
若攻击者发送大量这样的报文,服务器需要进行大量的查询工作,消耗正常处理的系统资源,影响正常的报文处理.
SYN-ACKflood攻击由于SYNACK报文为SYN报文的后续报文,服务器收到SYNACK报文时,需要查找对应的SYN报文.
若攻击者发送大量这样的报文,服务器需要进行大量的查询工作,消耗正常处理的系统资源,影响正常的报文处理.
FINflood攻击FIN报文用于关闭TCP连接.
若攻击者向服务器发送大量的伪造的FIN报文,可能会使服务器关闭掉正常的连接.
同时,服务器收到FIN报文时,需要查找对应的连接,大量的无效查询操作会消耗系统资源,影响正常的报文处理.
RSTflood攻击RST报文为TCP连接的复位报文,用于在异常情况下关闭TCP连接.
如果攻击者向服务器发送大量伪造的RST报文,可能会使服务器关闭正常的TCP连接.
另外,服务器收到RST报文时,需要查找对应的连接,大量的无效查询操作会消耗系统资源,影响正常的报文处理.
DNSflood攻击DNS服务器收到任何DNSQuery报文时都会试图进行域名解析并且回复该DNS报文.
攻击者通过构造并向DNS服务器发送大量虚假DNSQuery报文,占用DNS服务器的带宽或计算资源,使得正常的DNSQuery得不到处理.
HTTPflood攻击HTTP服务器收到HTTPGET命令时可能进行一系列复杂的操作,包括字符串搜索、数据库遍历、数据组装、格式化转换等等,这些操作会消耗大量系统资源,因此当HTTP请求的速率超过了服务1-4器的处理能力时,服务器就无法正常提供服务.
攻击者通过构造并发送大量虚假HTTPGET请求,使服务器崩溃,无法响应正常的用户请求.
ICMPflood攻击ICMPflood攻击是指,攻击者在短时间内向特定目标发送大量的ICMP请求报文(例如ping报文),使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务.
ICMPv6flood攻击ICMPv6flood攻击是指,攻击者在短时间内向特定目标发送大量的ICMPv6请求报文(例如ping报文),使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务.
UDPflood攻击UDPflood攻击是指,攻击者在短时间内向特定目标发送大量的UDP报文,占用目标主机的带宽,致使目标主机不能处理正常的业务.
1.
3黑名单功能黑名单功能是根据报文的源IP地址进行报文过滤的一种攻击防范特性.
同基于ACL(AccessControlList,访问控制列表)的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤和有效屏蔽.
黑名单可以由设备动态或由用户手工进行添加、删除,具体机制如下:动态添加黑名单是与扫描攻击防范功能配合实现的,动态生成的黑名单表项会在一定的时间之后老化.
当设备根据报文的行为特征检测到某特定IP地址的扫描攻击企图之后,便将攻击者的IP地址自动加入黑名单,之后该IP地址发送的报文会被设备过滤掉.
手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项.
永久黑名单表项建立后,一直存在,除非用户手工删除该表项.
非永久黑名单表项的老化时间由用户指定,超出老化时间后,设备会自动将该黑名单表项删除.
1.
4攻击检测及防范配置任务简介表1-2攻击检测及防范配置任务简介配置任务说明详细配置创建攻击防范策略必选1.
5.
1配置攻击防范策略配置单包攻击防范策略必选各类型的攻击防范功能之间没有先后顺序,可根据实际组网需求,配置其中的一种或多种1.
5.
21.
配置扫描攻击防范策略1.
5.
22.
配置泛洪攻击防范策略1.
5.
23.
配置攻击防范例外列表可选1.
5.
3在本机应用攻击防范策略必选1.
5.
41-5配置任务说明详细配置配置单包攻击防范日志的非聚合输出功能可选1.
5.
5配置黑名单可选可单独使用,也可与扫描攻击防范策略配合使用1.
61.
5配置攻击防范1.
5.
1创建攻击防范策略在配置攻击防范之前,必须首先创建一个攻击防范策略,并进入该攻击防范策略视图.
在该视图下,可以定义一个或多个用于检测攻击的特征项,以及对检测到的攻击报文所采取的防范措施.
表1-3创建攻击防范策略配置步骤命令说明进入系统视图system-view-创建一个攻击防范策略,并进入攻击防范策略视图attack-defensepolicypolicy-number缺省情况下,不存在任何攻击防范策略1.
5.
2配置攻击防范策略在一个攻击防范策略中,可以根据实际的网络安全需求来配置策略中的具体内容,主要包括针对攻击类型指定检测条件及采取的防范措施.
不同类型的攻击防范策略在配置内容上有所不同,下面将按照攻击类型(单包攻击、扫描攻击、泛洪攻击)分别进行介绍.
1.
配置单包攻击防范策略单包攻击防范主要通过分析经过设备的报文特征来判断报文是否具有攻击性.
若设备检测到某报文具有攻击性,则默认会输出告警日志,另外还可以根据配置将检测到的攻击报文做丢弃处理.
表1-4配置单包攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-name-1-6配置步骤命令说明开启指定类型单包攻击报文的特征检测,并设置攻击防范的处理行为signaturedetect{fraggle|fragment|impossible|ip-option-abnormal|land|large-icmp|large-icmpv6|ping-of-death|smurf|snork|tcp-all-flags|tcp-fin-only|tcp-invalid-flags|tcp-null-flag|tcp-syn-fin|teardrop|tiny-fragment|traceroute|udp-bomb|winnuke}[action{{drop|logging}*|none}]signaturedetecticmp-type{icmp-type-value|address-mask-reply|address-mask-request|destination-unreachable|echo-reply|echo-request|information-reply|information-request|parameter-problem|redirect|source-quench|time-exceeded|timestamp-reply|timestamp-request}[action{{drop|logging}*|none}]signaturedetecticmpv6-type{icmpv6-type-value|destination-unreachable|echo-reply|echo-request|group-query|group-reduction|group-report|packet-too-big|parameter-problem|time-exceeded}[action{{drop|logging}*|none}]signaturedetectip-option{option-code|internet-timestamp|loose-source-routing|record-route|route-alert|security|stream-id|strict-source-routing}[action{{drop|logging}*|none}]至少选其一缺省情况下,所有类型的单包攻击的特征检测均处于关闭状态(可选)配置启动LargeICMP攻击防范的ICMP报文长度的最大值signature{large-icmp|large-icmpv6}max-lengthlength缺省情况下,ICMP报文和ICMPv6报文长度的最大值均为4000字节(可选)配置对不同级别的单包攻击报文的处理方式signaturelevel{high|info|low|medium}action{{drop|logging}*|none}缺省情况下,对info和low级别的单包攻击的处理行为是发送日志;对medium和high级别的单包攻击的处理行为是发送日志并丢包(可选)开启指定级别单包攻击报文的特征检测signaturelevel{high|info|low|medium}detect缺省情况下,未开启任何级别的单包攻击报文的特征检测2.
配置扫描攻击防范策略扫描攻击防范主要通过监测网络使用者向目标系统发起连接的速率来检测其探测行为.
若设备监测到某IP地址主动发起的连接速率达到或超过了一定阈值,则可以根据配置输出告警日志、丢弃来自该IP地址的后续报文,或者将检测到的攻击者的源IP地址加入黑名单.
若指定的扫描攻击的处理行为为加入黑名单,则需要开启全局上的黑名单过滤功能来配合.
1-7表1-5配置扫描攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-开启指定级别的扫描攻击防范scandetectlevel{high|low|medium}action{{block-source[timeoutminutes]|drop}|logging}*缺省情况下,扫描攻击防范处于关闭状态3.
配置泛洪攻击防范策略泛洪攻击防范主要用于保护服务器,通过监测向服务器发起连接请求的速率来检测各类泛洪攻击,当它监测到向某服务器发送报文的速率持续达到或超过了指定的触发阈值时,即认为该服务器受到了攻击,则进入攻击防范状态,并根据配置启动相应的防范措施(输出告警日志、对后续新建连接的报文进行丢弃处理或者进行客户端验证).
此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施.
需要注意的是,当设备上安装了多块业务板时,每种泛洪攻击防范策略中配置的全局触发阈值为每块业务板上的全局触发阈值,因而整机的该类泛洪攻击的全局触发阈值即为每块业务板上的全局触发阈值与业务板数目的乘积.
为保护指定IP地址,攻击防范策略中支持基于IP地址的攻击防范配置.
对于所有非受保护IP地址,可以统一开启攻击防范检测,并采用全局的参数设置来进行保护.
(1)配置SYNflood攻击防范策略表1-6配置SYNflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启SYNflood攻击防范检测syn-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启SYNflood攻击防范检测配置SYNflood攻击防范的全局触发阈值syn-floodthresholdthreshold-value缺省情况下,SYNflood攻击防范的全局触发阈值为1000配置SYNflood攻击防范的全局处理行为syn-floodaction{drop|logging}*缺省情况下,不对检测到的SYNflood攻击采取任何措施开启对指定IP地址的SYNflood攻击防范检测,并配置触发阈值和处理行为syn-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置SYNflood攻击防范检测1-8(2)配置ACKflood攻击防范策略表1-7配置ACKflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启ACKflood攻击防范检测ack-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启ACKflood攻击防范检测配置ACKflood攻击防范全局触发阈值ack-floodthresholdthreshold-value缺省情况下,ACKflood攻击防范的全局触发阈值为1000配置ACKflood攻击防范的全局处理行为ack-floodaction{drop|logging}*缺省情况下,不对检测到的ACKflood攻击采取任何措施开启对指定IP地址的ACKflood攻击防范检测,并配置触发阈值和处理行为ack-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置ACKflood攻击防范检测(3)配置SYN-ACKflood攻击防范策略表1-8配置SYN-ACKflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启SYN-ACKflood攻击防范检测syn-ack-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启SYN-ACKflood攻击防范检测配置SYN-ACKflood攻击防范的全局触发阈值syn-ack-floodthresholdthreshold-value缺省情况下,SYN-ACKflood攻击防范的全局触发阈值为1000配置SYN-ACKflood攻击防范的全局处理行为syn-ack-floodaction{drop|logging}*缺省情况下,不对检测到的SYN-ACKflood攻击采取任何措施开启对指定IP地址的SYN-ACKflood攻击防范检测,并配置触发阈值和处理行为syn-ack-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置SYN-ACKflood攻击防范检测(4)配置FINflood攻击防范策略1-9表1-9配置FINflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启FINflood攻击防范检测fin-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启FINflood攻击防范检测配置FINflood攻击防范的全局触发阈值fin-floodthresholdthreshold-value缺省情况下,FINflood攻击防范的全局触发阈值为1000配置FINflood攻击防范的全局处理行为fin-floodaction{drop|logging}*缺省情况下,不对检测到的FINflood攻击采取任何措施开启对指定IP地址的FINflood攻击防范检测,并配置触发阈值和处理行为fin-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置FINflood攻击防范检测(5)配置RSTflood攻击防范策略表1-10配置RSTflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启RSTflood攻击防范检测rst-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启RSTflood攻击防范检测配置RSTflood攻击防范的全局触发阈值rst-floodthresholdthreshold-value缺省情况下,RSTflood攻击防范的全局触发阈值为1000配置全局的RSTflood攻击防范的全局处理行为rst-floodaction{drop|logging}*缺省情况下,不对检测到的RSTflood攻击采取任何措施开启对指定IP地址的RSTflood攻击防范检测,并配置触发阈值和处理行为rst-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置RSTflood攻击防范检测(6)配置ICMPflood攻击防范策略表1-11配置ICMPflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-1-10配置步骤命令说明对所有非受保护IPv4地址开启ICMPflood攻击防范检测icmp-flooddetectnon-specific缺省情况下,未对任何非受保护IPv4地址开启ICMPflood攻击防范检测配置ICMPflood攻击防范的全局触发阈值icmp-floodthresholdthreshold-value缺省情况下,ICMPflood攻击防范的全局触发阈值为1000配置ICMPflood攻击防范的全局处理动作icmp-floodaction{drop|logging}*缺省情况下,不对检测到的ICMPflood攻击采取任何措施开启对指定IPv4地址的RSTflood攻击防范检测,并配置触发阈值和处理行为icmp-flooddetectipip-address[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IPv4地址配置ICMPflood攻击防范触发阈值(7)配置ICMPv6flood攻击防范策略表1-12配置ICMPflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IPv6地址开启ICMPv6flood攻击防范检测icmpv6-flooddetectnon-specific缺省情况下,未对任何非受保护IPv6地址开启ICMPv6flood攻击防范检测配置ICMPv6flood攻击防范的全局触发阈值icmpv6-floodthresholdthreshold-value缺省情况下,ICMPv6flood攻击防范的全局触发阈值为1000配置ICMPv6flood攻击防范的全局处理行为icmpv6-floodaction{drop|logging}*缺省情况下,不对检测到的ICMPv6flood攻击采取任何防范措施开启对指定IPv6地址的ICMPv6flood攻击防范检测,并配置触发阈值和处理行为icmpv6-flooddetectipv6ipv6-address[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IPv6地址配置ICMPv6flood攻击防范检测(8)配置UDPflood攻击防范策略表1-13配置UDPflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启UDPflood攻击防范检测udp-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启UDPflood攻击防范检测配置UDPflood攻击防范的全局触发阈值udp-floodthresholdthreshold-value缺省情况下,UDPflood攻击防范的全局触发阈值为10001-11配置步骤命令说明配置UDPflood攻击防范检测的全局处理行为udp-floodaction{drop|logging}*缺省情况下,不对检测到的UDPflood攻击进行任何处理开启对指定IP地址的UDPflood攻击防范检测,并配置触发阈值和处理行为udp-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置UDPflood攻击防范检测(9)配置DNSflood攻击防范策略表1-14配置DNSflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启DNSflood攻击防范检测dns-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启DNSflood攻击防范检测配置DNSflood攻击防范的全局触发阈值dns-floodthresholdthreshold-value缺省情况下,DNSflood攻击防范的全局触发阈值为1000(可选)配置DNSflood攻击防范的全局检测端口号dns-floodportport-list缺省情况下,DNSflood攻击防范的全局检测端口号为53配置对DNSflood攻击防范的全局处理行为dns-floodaction{drop|logging}*缺省情况下,不对检测到的DNSflood攻击采取任何措施开启对指定IP地址的DNSflood攻击防范检测,并配置触发阈值和处理行为dns-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][portport-list][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置DNSflood攻击防范检测(10)配置HTTPflood攻击防范策略表1-15配置HTTPflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启HTTPflood攻击防范检测http-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启HTTPflood攻击防范检测配置HTTPflood攻击防范的全局触发阈值http-floodthresholdthreshold-value缺省情况下,HTTPflood攻击防范的全局触发阈值为10001-12配置步骤命令说明(可选)配置HTTPflood攻击防范的全局检测端口号http-floodportport-list缺省情况下,HTTPflood攻击防范的全局检测端口号为80配置对HTTPflood攻击防范的全局处理行为http-floodaction{drop|logging}*缺省情况下,不对检测到的HTTPflood攻击采取任何措施开启对指定IP地址的HTTPflood攻击防范检测,并配置触发阈值和处理行为http-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][portport-list][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置HTTPflood攻击防范检测1.
5.
3配置攻击防范例外列表攻击防范例外列表用于过滤不需要进行攻击防范检测的主机报文,与指定的ACLpermit规则匹配的报文将不会受到任何类型的攻击防范检测.
该配置用于过滤某些被信任的安全主机发送的报文,可以有效的减小误报率,并提高服务器处理效率.
需要注意的是,例外列表引用的ACL的permit规则中仅源地址、目的地址、源端口、目的端口、协议号、L3VPN和非首片分片标记参数用于匹配报文.
表1-16配置攻击防范例外列表配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-配置攻击防范例外列表exemptacl[ipv6]{acl-number|nameacl-name}缺省情况下,应用了攻击防范策略后,所有接收到目的地址为本机的报文都需要进行攻击防范检测1.
5.
4在本机应用攻击防范策略通过在本机应用攻击防范策略,使已配置的攻击防范策略对目的地址为本机的报文生效.
可以通过在本机上应用攻击方法策略提高对目的地址为本机的攻击报文的处理效率.
表1-17配置在本机应用攻击防范策略配置步骤命令说明进入系统视图system-view-配置在本机应用攻击防范策略attack-defenselocalapplypolicypolicy-number缺省情况下,本机未应用任何攻击防范策略1-131.
5.
5配置单包攻击防范日志的非聚合输出功能对日志进行聚合输出是指,在一定时间内,对在同一个接口上检测到的相同攻击类型、相同攻击防范动作、相同的源/目的地址以及属于相同VPN的单包攻击的所有日志聚合成一条日志输出.
通常不建议开启单包攻击防范的日志非聚合输出功能,因为在单包攻击较为频繁的情况下,它会导致大量日志信息输出,占用控制台的显示资源.
表1-18配置单包攻击防范日志的非聚合输出功能配置步骤命令说明进入系统视图system-view-开启对单包攻击防范日志的非聚合输出功能attack-defensesignaturelognon-aggregate缺省情况下,单包攻击防范的日志信息经系统聚合后再输出1.
6配置黑名单通过配置黑名单功能可以对来自指定IP地址的报文进行过滤.
黑名单的配置包括开启黑名单过滤功能和添加黑名单表项.
若全局的黑名单过滤功能处于开启状态,则所有接口上的黑名单过滤功能均处于开启状态.
若全局的黑名单过滤功能处于关闭状态,则需要开启指定接口上的黑名单过滤功能.
添加黑名单表项的同时可以选择配置黑名单表项的老化时间,若不配置,那么该黑名单表项永不老化,除非用户手动将其删除.
黑名单表项除了可以手工添加之外,还可以通过扫描攻击防范自动添加.
具体来讲就是,在黑名单功能使能的前提下,若配置了扫描攻击防范策略及相应的黑名单添加功能,则可以将检测到的扫描攻击方IP地址添加到黑名单中.
扫描攻击防范添加的黑名单必定会老化,老化时间可配.
关于扫描攻击防范的相关配置请参见"1.
5.
22.
配置扫描攻击防范策略".
表1-19配置黑名单配置步骤命令说明进入系统视图system-view-(可选)开启全局黑名单过滤功能blacklistglobalenable缺省情况下,全局黑名单功能处于关闭状态进入接口视图interfaceinterface-typeinterface-number-开启接口上的黑名单过滤功能blacklistenable缺省情况下,接口上的黑名单功能处于关闭状态(可选)添加IPv4黑名单表项blacklistipsource-ip-address[vpn-instancevpn-instance-name][ds-lite-peerds-lite-peer-address][timeoutminutes]缺省情况下,无IPv4黑名单表项(可选)添加IPv6黑名单表项blacklistipv6source-ipv6-address[vpn-instancevpn-instance-name][timeoutminutes]缺省情况下,无IPv6黑名单表项(可选)使能黑名单日志功能blacklistloggingenable缺省情况下,黑名单日志功能处于关闭状态1-141.
7攻击检测及防范显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后攻击检测及防范的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,执行reset命令可以清除攻击检测及防范的统计信息.
表1-20攻击检测及防范配置的显示和维护操作命令显示本机攻击防范统计信息(独立运行模式)displayattack-defensestatisticslocal[slotslot-number]显示本机攻击防范统计信息(IRF模式)displayattack-defensestatisticslocal[chassischassis-numberslotslot-number]显示攻击防范策略的配置信息displayattack-defensepolicy[policy-name]显示扫描攻击者的IPv4信息(独立运行模式)displayattack-defensescanattackerip[local[slotslot-number]][count]显示扫描攻击者的IPv4信息(IRF模式)displayattack-defensescanattackerip[local[chassischassis-numberslotslot-number]][count]显示扫描攻击者的IPv6信息(独立运行模式)displayattack-defensescanattackeripv6[local[slotslot-number]][count]显示扫描攻击者的IPv6信息(IRF模式)displayattack-defensescanattackeripv6[local[chassischassis-numberslotslot-number]][count]显示扫描攻击被攻击者的IPv4信息(独立运行模式)displayattack-defensescanvictimip[local[slotslot-number]][count]显示扫描攻击被攻击者的IPv4信息(IRF模式)displayattack-defensescanvictimip[local[chassischassis-numberslotslot-number]][count]显示扫描攻击被攻击者的IPv6信息(独立运行模式)displayattack-defensescanvictimipv6[local[slotslot-number]][count]显示扫描攻击被攻击者的IPv6信息(IRF模式)displayattack-defensescanvictimipv6[local[chassischassis-numberslotslot-number]][count]显示IPv4flood攻击防范统计信息(独立运行模式)displayattack-defense{ack-flood|dns-flood|fin-flood|flood|http-flood|icmp-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}statisticsip[ip-address[vpnvpn-instance-name]][count][local[slotslot-number]][count]显示IPv4flood攻击防范统计信息(IRF模式)displayattack-defense{ack-flood|dns-flood|fin-flood|flood|http-flood|icmp-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}statisticsip[ip-address[vpnvpn-instance-name]][local[chassischassis-numberslotslot-number]][count]显示IPv6flood攻击防范统计信息(独立运行模式)displayattack-defense{ack-flood|dns-flood|fin-flood|flood|http-flood|icmpv6-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}statisticsipv6[ipv6-address[vpnvpn-instance-name]][local[slotslot-number]][count]1-15操作命令显示IPv6flood攻击防范统计信息(IRF模式)displayattack-defense{ack-flood|dns-flood|fin-flood|flood|http-flood|icmpv6-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}statisticsipv6[ipv6-address[vpnvpn-instance-name]][local[chassischassis-numberslotslot-number]][count]显示flood攻击防范的IPv4类型的受保护IP表项(独立运行模式)displayattack-defensepolicypolicy-name{ack-flood|dns-flood|fin-flood|flood|http-flood|icmp-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}ip[ip-address[vpnvpn-instance-name]][slotslot-number][count]显示flood攻击防范的IPv4类型的受保护IP表项(IRF模式)displayattack-defensepolicypolicy-name{ack-flood|dns-flood|fin-flood|flood|http-flood|icmp-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}ip[ip-address[vpnvpn-instance]][chassischassis-numberslotslot-number][count]显示flood攻击防范的IPv6类型的受保护IP表项(独立运行模式)displayattack-defensepolicypolicy-name{ack-flood|dns-flood|fin-flood|flood|http-flood|icmpv6-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}ipv6[ipv6-address[vpnvpn-instance-name]][slotslot-number][count]显示flood攻击防范的IPv6类型的受保护IP表项(IRF模式)displayattack-defensepolicypolicy-name{ack-flood|dns-flood|fin-flood|flood|http-flood|icmpv6-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}ipv6[ipv6-address[vpnvpn-instance-name]][chassischassis-numberslotslot-number][count]显示IPv4黑名单表项(独立运行模式)displayblacklistip[source-ip-address[vpn-instancevpn-instance-name]][slotslot-number][count]显示IPv4黑名单表项(IRF模式)displayblacklistip[source-ip-address[vpn-instancevpn-instance-name]][chassischassis-numberslotslot-number][count]显示IPv6黑名单表项(独立运行模式)displayblacklistipv6[source-ipv6-address[vpn-instancevpn-instance-name]][slotslot-number][count]显示IPv6黑名单表项(IRF模式)displayblacklistipv6[source-ipv6-address[vpn-instancevpn-instance-name]][chassischassis-numberslotslot-number][count]清除本机攻击防范的统计信息resetattack-defensestatisticslocal清除flood攻击防范受保护IP表项的统计信息resetattack-defensepolicypolicy-namefloodprotected{ip|ipv6}statistics清除IPv4动态黑名单表项resetblacklistip{source-ip-address[vpn-instancevpn-instance-name]|all}清除IPv6动态黑名单表项resetblacklistipv6{source-ipv6-address[vpn-instancevpn-instance-name]|all}清除黑名单表项的统计信息resetblackliststatistics1-161.
8攻击检测及防范典型配置举例1.
8.
1黑名单配置举例1.
组网需求网络管理员通过流量分析发现外部网络中存在一个攻击者HostD,需要将来自HostD的报文在Router上永远过滤掉.
另外,网络管理员为了暂时控制内部网络HostC的访问行为,需要将Router上收到的HostC的报文阻止50分钟.
2.
组网图图1-1黑名单配置典型组网图3.
配置步骤#配置各接口的IP地址,略.
#开启全局黑名单过滤功能.
system-view[Router]blacklistglobalenable#将HostD的IP地址5.
5.
5.
5添加到黑名单列表中,老化时间使用缺省情况(永不老化).
[Router]blacklistip5.
5.
5.
5#将HostC的IP地址192.
168.
1.
4添加到黑名单列表中,老化时间为50分钟.
[Router]blacklistip192.
168.
1.
4timeout504.
验证配置完成以上配置后,可以通过displayblacklist命令查看已添加的黑名单信息.
displayblacklistipIPaddressVPNinstanceDS-LitetunnelpeerTypeTTL(sec)Dropped5.
5.
5.
5----ManualNever0192.
168.
1.
4----Manual29890配置生效后,Router对来自HostD的报文一律进行丢弃处理,除非管理员认为HostD不再是攻击者,通过undoblacklistip5.
5.
5.
5将其从黑名单中删除;如果Router接收到来自HostC的报文,则在50分钟之内,一律对其进行丢弃处理,50分钟之后,才进行正常转发.
1攻击检测及防范简介·1-11.
2攻击检测及防范的类型·1-11.
2.
1单包攻击1-11.
2.
2扫描攻击1-21.
2.
3泛洪攻击1-31.
3黑名单功能1-41.
4攻击检测及防范配置任务简介1-41.
5配置攻击防范·1-51.
5.
1创建攻击防范策略·1-51.
5.
2配置攻击防范策略·1-51.
5.
3配置攻击防范例外列表1-121.
5.
4在本机应用攻击防范策略·1-121.
5.
5配置单包攻击防范日志的非聚合输出功能·1-131.
6配置黑名单1-131.
7攻击检测及防范显示和维护·1-141.
8攻击检测及防范典型配置举例1-161.
8.
1黑名单配置举例1-161-11攻击检测及防范1.
1攻击检测及防范简介攻击检测及防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施,例如输出告警日志、丢弃报文、加入黑名单或客户端验证列表.
本特性能够检测单包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击,并能对各类型攻击采取合理的防范措施.
1.
2攻击检测及防范的类型1.
2.
1单包攻击单包攻击也称为畸形报文攻击,主要包括以下三种类型:攻击者通过向目标系统发送带有攻击目的的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃;攻击者可以通过发送正常的报文,如ICMP报文、特殊类型的IPoption报文,来干扰正常网络连接或探测网络结构,给目标系统带来损失;攻击者还可通过发送大量无用报文占用网络带宽,造成拒绝服务攻击.
设备可以对表1-1中所列的各单包攻击行为进行有效防范.
表1-1单包攻击类型及说明列表单包攻击类型说明ICMPredirect攻击者向用户发送ICMP重定向报文,更改用户主机的路由表,干扰用户主机正常的IP报文转发.
ICMPunreachable某些系统在收到不可达的ICMP报文后,对于后续发往此目的地的报文判断为不可达并切断对应的网络连接.
攻击者通过发送ICMP不可达报文,达到切断目标主机网络连接的目的.
ICMPtypeICMP报文中,type值的表示不同含义的报文,接收者需要根据不同的类型进行响应,攻击者通过构造特定type类型的ICMP报文来达到影响系统正常处理报文等目的.
ICMPv6typeICMPv6报文中,type值的表示不同含义的报文,接收者需要根据不同的类型进行响应,攻击者通过构造特定type类型的ICMPv6报文来达到影响系统正常处理报文等目的.
Land攻击者向目标主机发送大量源IP地址和目的IP地址都是目标主机自身的TCPSYN报文,使得目标主机的半连接资源耗尽,最终不能正常工作.
LargeICMP某些主机或设备收到超大的报文,会引起内存分配错误而导致协议栈崩溃.
攻击者通过发送超大ICMP报文,让目标主机崩溃,达到攻击目的.
LargeICMPv6某些主机或设备收到超大的报文,会引起内存分配错误而导致协议栈崩溃.
攻击者通过发送超大ICMPv6报文,让目标主机崩溃,达到攻击目的.
1-2单包攻击类型说明IPoption攻击者利用IP报文中的异常选项的设置,达到探测网络结构的目的,也可由于系统缺乏对错误报文的处理而造成系统崩溃.
Fragment攻击者通过向目标主机发送分片偏移小于5的分片报文,导致主机对分片报文进行重组时发生错误而造成系统崩溃.
Impossible攻击者通过向目标主机发送源IP地址和目的IP地址相同的报文,造成主机系统处理异常.
Tinyfragment攻击者构造一种特殊的IP分片来进行微小分片的攻击,这种报文首片很小,未能包含完整的传输层信息,因此能够绕过某些包过滤防火墙的过滤规则,达到攻击目标网络的目的.
Smurf攻击者向目标网络发送ICMP应答请求,该请求包的目的地址设置为目标网络的广播地址,这样该网络中的所有主机都会对此ICMP应答请求作出答复,导致网络阻塞,从而达到令目标网络中主机拒绝服务的攻击目的.
TCPFlag不同操作系统对于非常规的TCP标志位有不同的处理.
攻击者通过发送带有非常规TCP标志的报文探测目标主机的操作系统类型,若操作系统对这类报文处理不当,攻击者便可达到使目标主机系统崩溃的目的.
Traceroute攻击者连续发送TTL从1开始递增的目的端口号较大的UDP报文,报文每经过一个路由器,其TTL都会减1,当报文的TTL为0时,路由器会给报文的源IP设备发送一个TTL超时的ICMP报文,攻击者借此来探测网络的拓扑结构.
Winnuke攻击者向安装(或使用)Windows系统的特定目标的NetBIOS端口(139)发送OOB(Out-Of-Band,带外)数据包,这些攻击报文的指针字段与实际的位置不符,从而引起一个NetBIOS片断重叠,致使已与其他主机建立连接的目标主机在处理这些数据的时候系统崩溃.
UDPBomb攻击者发送畸形的UDP报文,其IP首部中的报文总长度大于IP首部长度与UDP首部中标识的UDP数据长度之和,可能造成收到此报文的系统处理数据时越界访问非法内存,导致系统异常.
UDPSnork攻击者向Windows系统发送目的端口为135(Windows定位服务)源端口为135、7或19(UDPChargen服务)的报文,使被攻击系统不断应答报文,最终耗尽CPU资源.
UDPFraggle攻击者通过向目标网络发送UDP端口为7的ECHO报文或者UDP端口为19的Chargen报文,令网络产生大量无用的应答报文,占满网络带宽,达到攻击目的.
Teardrop攻击者通过发送大量分片重叠的报文,致使服务器对这些报文进行重组时造成重叠,因而丢失有效的数据.
Pingofdeath攻击者构造标志位为最后一片且长度大于65535的ICMP报文发送给目标主机,可能导致系统处理数据时越界访问非法内存,造成系统错误甚至系统崩溃.
1.
2.
2扫描攻击扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和开放的服务端口,为进一步侵入目标系统做准备.
IPSweep攻击攻击者发送大量目的IP地址变化的探测报文,通过收到的回应报文来确定活跃的目标主机,以便针对这些主机进行下一步的攻击.
Portscan攻击1-3攻击者获取了活动目标主机的IP地址后,向目标主机发送大量目的端口变化的探测报文,通过收到的回应报文来确定目标主机开放的服务端口,然后针对活动目标主机开放的服务端口选择合适的攻击方式或攻击工具进行进一步的攻击.
分布式Portscan攻击攻击者控制多台主机,分别向特定目标主机发送探测报文,通过收集所有被控制的主机的回应报文,确定目标主机开启的服务端口,以便进一步实施攻击.
1.
2.
3泛洪攻击泛洪攻击是指攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,从而无法为合法用户提供正常服务,即发生拒绝服务.
设备支持对以下几种泛洪攻击进行有效防范:SYNflood攻击根据TCP协议,服务器收到SYN报文后需要建立半连接并回应SYNACK报文,然后等待客户端的ACK报文来建立正式连接.
由于资源的限制,操作系统的TCP/IP协议栈只能允许有限个TCP连接.
攻击者向服务器发送大量伪造源地址的SYN报文后,由于攻击报文是伪造的,服务器不会收到客户端的ACK报文,从而导致服务器上遗留了大量无效的半连接,耗尽其系统资源,使正常的用户无法访问,直到半连接超时.
ACKflood攻击ACK报文为只有ACK标志位置位的TCP报文,服务器收到ACK报文时,需要查找对应的连接.
若攻击者发送大量这样的报文,服务器需要进行大量的查询工作,消耗正常处理的系统资源,影响正常的报文处理.
SYN-ACKflood攻击由于SYNACK报文为SYN报文的后续报文,服务器收到SYNACK报文时,需要查找对应的SYN报文.
若攻击者发送大量这样的报文,服务器需要进行大量的查询工作,消耗正常处理的系统资源,影响正常的报文处理.
FINflood攻击FIN报文用于关闭TCP连接.
若攻击者向服务器发送大量的伪造的FIN报文,可能会使服务器关闭掉正常的连接.
同时,服务器收到FIN报文时,需要查找对应的连接,大量的无效查询操作会消耗系统资源,影响正常的报文处理.
RSTflood攻击RST报文为TCP连接的复位报文,用于在异常情况下关闭TCP连接.
如果攻击者向服务器发送大量伪造的RST报文,可能会使服务器关闭正常的TCP连接.
另外,服务器收到RST报文时,需要查找对应的连接,大量的无效查询操作会消耗系统资源,影响正常的报文处理.
DNSflood攻击DNS服务器收到任何DNSQuery报文时都会试图进行域名解析并且回复该DNS报文.
攻击者通过构造并向DNS服务器发送大量虚假DNSQuery报文,占用DNS服务器的带宽或计算资源,使得正常的DNSQuery得不到处理.
HTTPflood攻击HTTP服务器收到HTTPGET命令时可能进行一系列复杂的操作,包括字符串搜索、数据库遍历、数据组装、格式化转换等等,这些操作会消耗大量系统资源,因此当HTTP请求的速率超过了服务1-4器的处理能力时,服务器就无法正常提供服务.
攻击者通过构造并发送大量虚假HTTPGET请求,使服务器崩溃,无法响应正常的用户请求.
ICMPflood攻击ICMPflood攻击是指,攻击者在短时间内向特定目标发送大量的ICMP请求报文(例如ping报文),使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务.
ICMPv6flood攻击ICMPv6flood攻击是指,攻击者在短时间内向特定目标发送大量的ICMPv6请求报文(例如ping报文),使其忙于回复这些请求,致使目标系统负担过重而不能处理正常的业务.
UDPflood攻击UDPflood攻击是指,攻击者在短时间内向特定目标发送大量的UDP报文,占用目标主机的带宽,致使目标主机不能处理正常的业务.
1.
3黑名单功能黑名单功能是根据报文的源IP地址进行报文过滤的一种攻击防范特性.
同基于ACL(AccessControlList,访问控制列表)的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤和有效屏蔽.
黑名单可以由设备动态或由用户手工进行添加、删除,具体机制如下:动态添加黑名单是与扫描攻击防范功能配合实现的,动态生成的黑名单表项会在一定的时间之后老化.
当设备根据报文的行为特征检测到某特定IP地址的扫描攻击企图之后,便将攻击者的IP地址自动加入黑名单,之后该IP地址发送的报文会被设备过滤掉.
手动配置的黑名单表项分为永久黑名单表项和非永久黑名单表项.
永久黑名单表项建立后,一直存在,除非用户手工删除该表项.
非永久黑名单表项的老化时间由用户指定,超出老化时间后,设备会自动将该黑名单表项删除.
1.
4攻击检测及防范配置任务简介表1-2攻击检测及防范配置任务简介配置任务说明详细配置创建攻击防范策略必选1.
5.
1配置攻击防范策略配置单包攻击防范策略必选各类型的攻击防范功能之间没有先后顺序,可根据实际组网需求,配置其中的一种或多种1.
5.
21.
配置扫描攻击防范策略1.
5.
22.
配置泛洪攻击防范策略1.
5.
23.
配置攻击防范例外列表可选1.
5.
3在本机应用攻击防范策略必选1.
5.
41-5配置任务说明详细配置配置单包攻击防范日志的非聚合输出功能可选1.
5.
5配置黑名单可选可单独使用,也可与扫描攻击防范策略配合使用1.
61.
5配置攻击防范1.
5.
1创建攻击防范策略在配置攻击防范之前,必须首先创建一个攻击防范策略,并进入该攻击防范策略视图.
在该视图下,可以定义一个或多个用于检测攻击的特征项,以及对检测到的攻击报文所采取的防范措施.
表1-3创建攻击防范策略配置步骤命令说明进入系统视图system-view-创建一个攻击防范策略,并进入攻击防范策略视图attack-defensepolicypolicy-number缺省情况下,不存在任何攻击防范策略1.
5.
2配置攻击防范策略在一个攻击防范策略中,可以根据实际的网络安全需求来配置策略中的具体内容,主要包括针对攻击类型指定检测条件及采取的防范措施.
不同类型的攻击防范策略在配置内容上有所不同,下面将按照攻击类型(单包攻击、扫描攻击、泛洪攻击)分别进行介绍.
1.
配置单包攻击防范策略单包攻击防范主要通过分析经过设备的报文特征来判断报文是否具有攻击性.
若设备检测到某报文具有攻击性,则默认会输出告警日志,另外还可以根据配置将检测到的攻击报文做丢弃处理.
表1-4配置单包攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-name-1-6配置步骤命令说明开启指定类型单包攻击报文的特征检测,并设置攻击防范的处理行为signaturedetect{fraggle|fragment|impossible|ip-option-abnormal|land|large-icmp|large-icmpv6|ping-of-death|smurf|snork|tcp-all-flags|tcp-fin-only|tcp-invalid-flags|tcp-null-flag|tcp-syn-fin|teardrop|tiny-fragment|traceroute|udp-bomb|winnuke}[action{{drop|logging}*|none}]signaturedetecticmp-type{icmp-type-value|address-mask-reply|address-mask-request|destination-unreachable|echo-reply|echo-request|information-reply|information-request|parameter-problem|redirect|source-quench|time-exceeded|timestamp-reply|timestamp-request}[action{{drop|logging}*|none}]signaturedetecticmpv6-type{icmpv6-type-value|destination-unreachable|echo-reply|echo-request|group-query|group-reduction|group-report|packet-too-big|parameter-problem|time-exceeded}[action{{drop|logging}*|none}]signaturedetectip-option{option-code|internet-timestamp|loose-source-routing|record-route|route-alert|security|stream-id|strict-source-routing}[action{{drop|logging}*|none}]至少选其一缺省情况下,所有类型的单包攻击的特征检测均处于关闭状态(可选)配置启动LargeICMP攻击防范的ICMP报文长度的最大值signature{large-icmp|large-icmpv6}max-lengthlength缺省情况下,ICMP报文和ICMPv6报文长度的最大值均为4000字节(可选)配置对不同级别的单包攻击报文的处理方式signaturelevel{high|info|low|medium}action{{drop|logging}*|none}缺省情况下,对info和low级别的单包攻击的处理行为是发送日志;对medium和high级别的单包攻击的处理行为是发送日志并丢包(可选)开启指定级别单包攻击报文的特征检测signaturelevel{high|info|low|medium}detect缺省情况下,未开启任何级别的单包攻击报文的特征检测2.
配置扫描攻击防范策略扫描攻击防范主要通过监测网络使用者向目标系统发起连接的速率来检测其探测行为.
若设备监测到某IP地址主动发起的连接速率达到或超过了一定阈值,则可以根据配置输出告警日志、丢弃来自该IP地址的后续报文,或者将检测到的攻击者的源IP地址加入黑名单.
若指定的扫描攻击的处理行为为加入黑名单,则需要开启全局上的黑名单过滤功能来配合.
1-7表1-5配置扫描攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-开启指定级别的扫描攻击防范scandetectlevel{high|low|medium}action{{block-source[timeoutminutes]|drop}|logging}*缺省情况下,扫描攻击防范处于关闭状态3.
配置泛洪攻击防范策略泛洪攻击防范主要用于保护服务器,通过监测向服务器发起连接请求的速率来检测各类泛洪攻击,当它监测到向某服务器发送报文的速率持续达到或超过了指定的触发阈值时,即认为该服务器受到了攻击,则进入攻击防范状态,并根据配置启动相应的防范措施(输出告警日志、对后续新建连接的报文进行丢弃处理或者进行客户端验证).
此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施.
需要注意的是,当设备上安装了多块业务板时,每种泛洪攻击防范策略中配置的全局触发阈值为每块业务板上的全局触发阈值,因而整机的该类泛洪攻击的全局触发阈值即为每块业务板上的全局触发阈值与业务板数目的乘积.
为保护指定IP地址,攻击防范策略中支持基于IP地址的攻击防范配置.
对于所有非受保护IP地址,可以统一开启攻击防范检测,并采用全局的参数设置来进行保护.
(1)配置SYNflood攻击防范策略表1-6配置SYNflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启SYNflood攻击防范检测syn-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启SYNflood攻击防范检测配置SYNflood攻击防范的全局触发阈值syn-floodthresholdthreshold-value缺省情况下,SYNflood攻击防范的全局触发阈值为1000配置SYNflood攻击防范的全局处理行为syn-floodaction{drop|logging}*缺省情况下,不对检测到的SYNflood攻击采取任何措施开启对指定IP地址的SYNflood攻击防范检测,并配置触发阈值和处理行为syn-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置SYNflood攻击防范检测1-8(2)配置ACKflood攻击防范策略表1-7配置ACKflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启ACKflood攻击防范检测ack-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启ACKflood攻击防范检测配置ACKflood攻击防范全局触发阈值ack-floodthresholdthreshold-value缺省情况下,ACKflood攻击防范的全局触发阈值为1000配置ACKflood攻击防范的全局处理行为ack-floodaction{drop|logging}*缺省情况下,不对检测到的ACKflood攻击采取任何措施开启对指定IP地址的ACKflood攻击防范检测,并配置触发阈值和处理行为ack-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置ACKflood攻击防范检测(3)配置SYN-ACKflood攻击防范策略表1-8配置SYN-ACKflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启SYN-ACKflood攻击防范检测syn-ack-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启SYN-ACKflood攻击防范检测配置SYN-ACKflood攻击防范的全局触发阈值syn-ack-floodthresholdthreshold-value缺省情况下,SYN-ACKflood攻击防范的全局触发阈值为1000配置SYN-ACKflood攻击防范的全局处理行为syn-ack-floodaction{drop|logging}*缺省情况下,不对检测到的SYN-ACKflood攻击采取任何措施开启对指定IP地址的SYN-ACKflood攻击防范检测,并配置触发阈值和处理行为syn-ack-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置SYN-ACKflood攻击防范检测(4)配置FINflood攻击防范策略1-9表1-9配置FINflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启FINflood攻击防范检测fin-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启FINflood攻击防范检测配置FINflood攻击防范的全局触发阈值fin-floodthresholdthreshold-value缺省情况下,FINflood攻击防范的全局触发阈值为1000配置FINflood攻击防范的全局处理行为fin-floodaction{drop|logging}*缺省情况下,不对检测到的FINflood攻击采取任何措施开启对指定IP地址的FINflood攻击防范检测,并配置触发阈值和处理行为fin-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置FINflood攻击防范检测(5)配置RSTflood攻击防范策略表1-10配置RSTflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启RSTflood攻击防范检测rst-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启RSTflood攻击防范检测配置RSTflood攻击防范的全局触发阈值rst-floodthresholdthreshold-value缺省情况下,RSTflood攻击防范的全局触发阈值为1000配置全局的RSTflood攻击防范的全局处理行为rst-floodaction{drop|logging}*缺省情况下,不对检测到的RSTflood攻击采取任何措施开启对指定IP地址的RSTflood攻击防范检测,并配置触发阈值和处理行为rst-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置RSTflood攻击防范检测(6)配置ICMPflood攻击防范策略表1-11配置ICMPflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-1-10配置步骤命令说明对所有非受保护IPv4地址开启ICMPflood攻击防范检测icmp-flooddetectnon-specific缺省情况下,未对任何非受保护IPv4地址开启ICMPflood攻击防范检测配置ICMPflood攻击防范的全局触发阈值icmp-floodthresholdthreshold-value缺省情况下,ICMPflood攻击防范的全局触发阈值为1000配置ICMPflood攻击防范的全局处理动作icmp-floodaction{drop|logging}*缺省情况下,不对检测到的ICMPflood攻击采取任何措施开启对指定IPv4地址的RSTflood攻击防范检测,并配置触发阈值和处理行为icmp-flooddetectipip-address[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IPv4地址配置ICMPflood攻击防范触发阈值(7)配置ICMPv6flood攻击防范策略表1-12配置ICMPflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IPv6地址开启ICMPv6flood攻击防范检测icmpv6-flooddetectnon-specific缺省情况下,未对任何非受保护IPv6地址开启ICMPv6flood攻击防范检测配置ICMPv6flood攻击防范的全局触发阈值icmpv6-floodthresholdthreshold-value缺省情况下,ICMPv6flood攻击防范的全局触发阈值为1000配置ICMPv6flood攻击防范的全局处理行为icmpv6-floodaction{drop|logging}*缺省情况下,不对检测到的ICMPv6flood攻击采取任何防范措施开启对指定IPv6地址的ICMPv6flood攻击防范检测,并配置触发阈值和处理行为icmpv6-flooddetectipv6ipv6-address[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IPv6地址配置ICMPv6flood攻击防范检测(8)配置UDPflood攻击防范策略表1-13配置UDPflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启UDPflood攻击防范检测udp-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启UDPflood攻击防范检测配置UDPflood攻击防范的全局触发阈值udp-floodthresholdthreshold-value缺省情况下,UDPflood攻击防范的全局触发阈值为10001-11配置步骤命令说明配置UDPflood攻击防范检测的全局处理行为udp-floodaction{drop|logging}*缺省情况下,不对检测到的UDPflood攻击进行任何处理开启对指定IP地址的UDPflood攻击防范检测,并配置触发阈值和处理行为udp-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置UDPflood攻击防范检测(9)配置DNSflood攻击防范策略表1-14配置DNSflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启DNSflood攻击防范检测dns-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启DNSflood攻击防范检测配置DNSflood攻击防范的全局触发阈值dns-floodthresholdthreshold-value缺省情况下,DNSflood攻击防范的全局触发阈值为1000(可选)配置DNSflood攻击防范的全局检测端口号dns-floodportport-list缺省情况下,DNSflood攻击防范的全局检测端口号为53配置对DNSflood攻击防范的全局处理行为dns-floodaction{drop|logging}*缺省情况下,不对检测到的DNSflood攻击采取任何措施开启对指定IP地址的DNSflood攻击防范检测,并配置触发阈值和处理行为dns-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][portport-list][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置DNSflood攻击防范检测(10)配置HTTPflood攻击防范策略表1-15配置HTTPflood攻击防范策略配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-对所有非受保护IP地址开启HTTPflood攻击防范检测http-flooddetectnon-specific缺省情况下,未对所有非受保护IP地址开启HTTPflood攻击防范检测配置HTTPflood攻击防范的全局触发阈值http-floodthresholdthreshold-value缺省情况下,HTTPflood攻击防范的全局触发阈值为10001-12配置步骤命令说明(可选)配置HTTPflood攻击防范的全局检测端口号http-floodportport-list缺省情况下,HTTPflood攻击防范的全局检测端口号为80配置对HTTPflood攻击防范的全局处理行为http-floodaction{drop|logging}*缺省情况下,不对检测到的HTTPflood攻击采取任何措施开启对指定IP地址的HTTPflood攻击防范检测,并配置触发阈值和处理行为http-flooddetect{ipip-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][portport-list][thresholdthreshold-value][action{drop|logging}*]缺省情况下,未对任何指定IP地址配置HTTPflood攻击防范检测1.
5.
3配置攻击防范例外列表攻击防范例外列表用于过滤不需要进行攻击防范检测的主机报文,与指定的ACLpermit规则匹配的报文将不会受到任何类型的攻击防范检测.
该配置用于过滤某些被信任的安全主机发送的报文,可以有效的减小误报率,并提高服务器处理效率.
需要注意的是,例外列表引用的ACL的permit规则中仅源地址、目的地址、源端口、目的端口、协议号、L3VPN和非首片分片标记参数用于匹配报文.
表1-16配置攻击防范例外列表配置步骤命令说明进入系统视图system-view-进入攻击防范策略视图attack-defensepolicypolicy-number-配置攻击防范例外列表exemptacl[ipv6]{acl-number|nameacl-name}缺省情况下,应用了攻击防范策略后,所有接收到目的地址为本机的报文都需要进行攻击防范检测1.
5.
4在本机应用攻击防范策略通过在本机应用攻击防范策略,使已配置的攻击防范策略对目的地址为本机的报文生效.
可以通过在本机上应用攻击方法策略提高对目的地址为本机的攻击报文的处理效率.
表1-17配置在本机应用攻击防范策略配置步骤命令说明进入系统视图system-view-配置在本机应用攻击防范策略attack-defenselocalapplypolicypolicy-number缺省情况下,本机未应用任何攻击防范策略1-131.
5.
5配置单包攻击防范日志的非聚合输出功能对日志进行聚合输出是指,在一定时间内,对在同一个接口上检测到的相同攻击类型、相同攻击防范动作、相同的源/目的地址以及属于相同VPN的单包攻击的所有日志聚合成一条日志输出.
通常不建议开启单包攻击防范的日志非聚合输出功能,因为在单包攻击较为频繁的情况下,它会导致大量日志信息输出,占用控制台的显示资源.
表1-18配置单包攻击防范日志的非聚合输出功能配置步骤命令说明进入系统视图system-view-开启对单包攻击防范日志的非聚合输出功能attack-defensesignaturelognon-aggregate缺省情况下,单包攻击防范的日志信息经系统聚合后再输出1.
6配置黑名单通过配置黑名单功能可以对来自指定IP地址的报文进行过滤.
黑名单的配置包括开启黑名单过滤功能和添加黑名单表项.
若全局的黑名单过滤功能处于开启状态,则所有接口上的黑名单过滤功能均处于开启状态.
若全局的黑名单过滤功能处于关闭状态,则需要开启指定接口上的黑名单过滤功能.
添加黑名单表项的同时可以选择配置黑名单表项的老化时间,若不配置,那么该黑名单表项永不老化,除非用户手动将其删除.
黑名单表项除了可以手工添加之外,还可以通过扫描攻击防范自动添加.
具体来讲就是,在黑名单功能使能的前提下,若配置了扫描攻击防范策略及相应的黑名单添加功能,则可以将检测到的扫描攻击方IP地址添加到黑名单中.
扫描攻击防范添加的黑名单必定会老化,老化时间可配.
关于扫描攻击防范的相关配置请参见"1.
5.
22.
配置扫描攻击防范策略".
表1-19配置黑名单配置步骤命令说明进入系统视图system-view-(可选)开启全局黑名单过滤功能blacklistglobalenable缺省情况下,全局黑名单功能处于关闭状态进入接口视图interfaceinterface-typeinterface-number-开启接口上的黑名单过滤功能blacklistenable缺省情况下,接口上的黑名单功能处于关闭状态(可选)添加IPv4黑名单表项blacklistipsource-ip-address[vpn-instancevpn-instance-name][ds-lite-peerds-lite-peer-address][timeoutminutes]缺省情况下,无IPv4黑名单表项(可选)添加IPv6黑名单表项blacklistipv6source-ipv6-address[vpn-instancevpn-instance-name][timeoutminutes]缺省情况下,无IPv6黑名单表项(可选)使能黑名单日志功能blacklistloggingenable缺省情况下,黑名单日志功能处于关闭状态1-141.
7攻击检测及防范显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后攻击检测及防范的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,执行reset命令可以清除攻击检测及防范的统计信息.
表1-20攻击检测及防范配置的显示和维护操作命令显示本机攻击防范统计信息(独立运行模式)displayattack-defensestatisticslocal[slotslot-number]显示本机攻击防范统计信息(IRF模式)displayattack-defensestatisticslocal[chassischassis-numberslotslot-number]显示攻击防范策略的配置信息displayattack-defensepolicy[policy-name]显示扫描攻击者的IPv4信息(独立运行模式)displayattack-defensescanattackerip[local[slotslot-number]][count]显示扫描攻击者的IPv4信息(IRF模式)displayattack-defensescanattackerip[local[chassischassis-numberslotslot-number]][count]显示扫描攻击者的IPv6信息(独立运行模式)displayattack-defensescanattackeripv6[local[slotslot-number]][count]显示扫描攻击者的IPv6信息(IRF模式)displayattack-defensescanattackeripv6[local[chassischassis-numberslotslot-number]][count]显示扫描攻击被攻击者的IPv4信息(独立运行模式)displayattack-defensescanvictimip[local[slotslot-number]][count]显示扫描攻击被攻击者的IPv4信息(IRF模式)displayattack-defensescanvictimip[local[chassischassis-numberslotslot-number]][count]显示扫描攻击被攻击者的IPv6信息(独立运行模式)displayattack-defensescanvictimipv6[local[slotslot-number]][count]显示扫描攻击被攻击者的IPv6信息(IRF模式)displayattack-defensescanvictimipv6[local[chassischassis-numberslotslot-number]][count]显示IPv4flood攻击防范统计信息(独立运行模式)displayattack-defense{ack-flood|dns-flood|fin-flood|flood|http-flood|icmp-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}statisticsip[ip-address[vpnvpn-instance-name]][count][local[slotslot-number]][count]显示IPv4flood攻击防范统计信息(IRF模式)displayattack-defense{ack-flood|dns-flood|fin-flood|flood|http-flood|icmp-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}statisticsip[ip-address[vpnvpn-instance-name]][local[chassischassis-numberslotslot-number]][count]显示IPv6flood攻击防范统计信息(独立运行模式)displayattack-defense{ack-flood|dns-flood|fin-flood|flood|http-flood|icmpv6-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}statisticsipv6[ipv6-address[vpnvpn-instance-name]][local[slotslot-number]][count]1-15操作命令显示IPv6flood攻击防范统计信息(IRF模式)displayattack-defense{ack-flood|dns-flood|fin-flood|flood|http-flood|icmpv6-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}statisticsipv6[ipv6-address[vpnvpn-instance-name]][local[chassischassis-numberslotslot-number]][count]显示flood攻击防范的IPv4类型的受保护IP表项(独立运行模式)displayattack-defensepolicypolicy-name{ack-flood|dns-flood|fin-flood|flood|http-flood|icmp-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}ip[ip-address[vpnvpn-instance-name]][slotslot-number][count]显示flood攻击防范的IPv4类型的受保护IP表项(IRF模式)displayattack-defensepolicypolicy-name{ack-flood|dns-flood|fin-flood|flood|http-flood|icmp-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}ip[ip-address[vpnvpn-instance]][chassischassis-numberslotslot-number][count]显示flood攻击防范的IPv6类型的受保护IP表项(独立运行模式)displayattack-defensepolicypolicy-name{ack-flood|dns-flood|fin-flood|flood|http-flood|icmpv6-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}ipv6[ipv6-address[vpnvpn-instance-name]][slotslot-number][count]显示flood攻击防范的IPv6类型的受保护IP表项(IRF模式)displayattack-defensepolicypolicy-name{ack-flood|dns-flood|fin-flood|flood|http-flood|icmpv6-flood|rst-flood|syn-ack-flood|syn-flood|udp-flood}ipv6[ipv6-address[vpnvpn-instance-name]][chassischassis-numberslotslot-number][count]显示IPv4黑名单表项(独立运行模式)displayblacklistip[source-ip-address[vpn-instancevpn-instance-name]][slotslot-number][count]显示IPv4黑名单表项(IRF模式)displayblacklistip[source-ip-address[vpn-instancevpn-instance-name]][chassischassis-numberslotslot-number][count]显示IPv6黑名单表项(独立运行模式)displayblacklistipv6[source-ipv6-address[vpn-instancevpn-instance-name]][slotslot-number][count]显示IPv6黑名单表项(IRF模式)displayblacklistipv6[source-ipv6-address[vpn-instancevpn-instance-name]][chassischassis-numberslotslot-number][count]清除本机攻击防范的统计信息resetattack-defensestatisticslocal清除flood攻击防范受保护IP表项的统计信息resetattack-defensepolicypolicy-namefloodprotected{ip|ipv6}statistics清除IPv4动态黑名单表项resetblacklistip{source-ip-address[vpn-instancevpn-instance-name]|all}清除IPv6动态黑名单表项resetblacklistipv6{source-ipv6-address[vpn-instancevpn-instance-name]|all}清除黑名单表项的统计信息resetblackliststatistics1-161.
8攻击检测及防范典型配置举例1.
8.
1黑名单配置举例1.
组网需求网络管理员通过流量分析发现外部网络中存在一个攻击者HostD,需要将来自HostD的报文在Router上永远过滤掉.
另外,网络管理员为了暂时控制内部网络HostC的访问行为,需要将Router上收到的HostC的报文阻止50分钟.
2.
组网图图1-1黑名单配置典型组网图3.
配置步骤#配置各接口的IP地址,略.
#开启全局黑名单过滤功能.
system-view[Router]blacklistglobalenable#将HostD的IP地址5.
5.
5.
5添加到黑名单列表中,老化时间使用缺省情况(永不老化).
[Router]blacklistip5.
5.
5.
5#将HostC的IP地址192.
168.
1.
4添加到黑名单列表中,老化时间为50分钟.
[Router]blacklistip192.
168.
1.
4timeout504.
验证配置完成以上配置后,可以通过displayblacklist命令查看已添加的黑名单信息.
displayblacklistipIPaddressVPNinstanceDS-LitetunnelpeerTypeTTL(sec)Dropped5.
5.
5.
5----ManualNever0192.
168.
1.
4----Manual29890配置生效后,Router对来自HostD的报文一律进行丢弃处理,除非管理员认为HostD不再是攻击者,通过undoblacklistip5.
5.
5.
5将其从黑名单中删除;如果Router接收到来自HostC的报文,则在50分钟之内,一律对其进行丢弃处理,50分钟之后,才进行正常转发.
- 攻击netbios端口相关文档
- 报文netbios端口
- 报文netbios端口
- 攻击netbios端口
- 线程基于多线程的端口程序课程设计报告
- 端口多线程端口器java课程设计报告源代码
- 甲方短信端口合作协议书(渠道)
特网云-新上线香港五区补货资源充足限时抢 虚拟主机6折,低至38元!
官方网站:点击访问特网云官网活动方案:===========================香港云限时购==============================支持Linux和Windows操作系统,配置都是可以自选的,非常的灵活,宽带充足新老客户活动期间新购活动款产品都可以享受续费折扣(只限在活动期间购买活动款产品才可享受续费折扣 优惠码:AADE01),购买折扣与续费折扣不叠加,都是在原价...
Buyvm:VPS/块存储补货1Gbps不限流量/$2起/月
BuyVM测评,BuyVM怎么样?BuyVM好不好?BuyVM,2010年成立的国外老牌稳定商家,Frantech Solutions旗下,主要提供基于KVM的VPS服务器,数据中心有拉斯维加斯、纽约、卢森堡,付费可选强大的DDOS防护(月付3美金),特色是1Gbps不限流量,稳定商家,而且卢森堡不限版权。1G或以上内存可以安装Windows 2012 64bit,无需任何费用,所有型号包括免费的...
Asiayun:枣庄电信Asiayun美国Cera葵湾VPSvps月付,美国CERA VPS月付26元/年
亚洲云Asiayun怎么样?亚洲云成立于2021年,隶属于上海玥悠悠云计算有限公司(Yyyisp),是一家新国人IDC商家,且正规持证IDC/ISP/CDN,商家主要提供数据中心基础服务、互联网业务解决方案,及专属服务器租用、云服务器、云虚拟主机、专属服务器托管、带宽租用等产品和服务。Asiayun提供源自大陆、香港、韩国和美国等地骨干级机房优质资源,包括BGP国际多线网络,CN2点对点直连带宽以...
netbios端口为你推荐
-
桥面163Anthemmy支持ipad支持ipad请务必阅读正文之后的免责条款部分您的iphone化学品安全技术说明书tracerouteLinux 下traceroute的工作原理是什么 !ipad上网为什么ipad网速特别慢tcpip上的netbiostcp 协议里的 netbios . 在哪,找不到