如何配置攻击溯源
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
攻击溯源
应用场景
查看上送CPU的报文统计信息,如果某种类型的报文上送或丢弃的数量较大, 则可以初步判断网络中存在这种报文类型的网络攻击。 <HUAWEI> reset cpu-defend statistics //清除上送CPU报文的统计信息,并 等待一段时间…… <HUAWEI> display cpu-defend statistics all //查看上送CPU报文的统计信息
例如黑客通过控制网络中主机发送大量的ping报文(ICMP),造成网络设备 花费大量资源处理攻击报文,CPU占用率高,合法用户业务中断。
那么出现网络攻击时,如何快速定位攻击源呢?
攻击溯源通过对上送CPU的报文进行采样分析,如果报文速率(pps)超过 设置的阈值,则认为是攻击报文。 对攻击报文进行分析,可以找到攻击源的IP地址、MAC地址、接口和VLAN。
操作步骤 <HUAWEI> system-view //进入系统视图 [HUAWEI] cpu-defend policy test //创建防攻击策略,策略名为test [HUAWEI-cpu-defend-policy-test] auto-defend enable //使能攻击溯源功能 [HUAWEI-cpu-defend-policy-test] auto-defend threshold 64 //配置攻击溯源检查阈值 [HUAWEI-cpu-defend-policy-test] auto-defend attack-packet sample 10 //配置攻击溯源采样比 [HUAWEI-cpu-defend-policy-test] auto-defend alarm enable //使能攻击溯源告警功能 [HUAWEI-cpu-defend-policy-test] auto-defend alarm threshold 64 //配置攻击溯源告警阈值 [HUAWEI-cpu-defend-policy-test] auto-defend action deny //配置攻击溯源的惩罚措施 [HUAWEI-cpu-defend-policy-test] quit //返回系统视图 [HUAWEI] cpu-defend-policy test global //应用防攻击策略
报文解析流量分析源自攻击源 识别攻击源 惩罚根据采样比对上送CPU的报文 进行采样并解析
对识别出来的攻击源发送告警,便于管理员查看 通过display auto-defend attack-source命令查看
攻击溯源
配置思路
1.创建防攻击策略 2.配置攻击溯源 (采样比、检查阈值、溯源模式、防范的报文类型、白名单、告警功能、惩罚措施) 3.应用防攻击策略
攻击溯源
实现原理
对采样的报文进行分析,缺省情况下: 分析报文的源IP地址、源MAC地址、源接口+VLAN信息 将攻击报文进行丢弃 将攻击报文进入的接口shutdown (谨慎使用)
分析7种类型的报文:ARP,DHCP,ICMP,IGMP,TCP,Telnet和
TTL-expired
如果报文速率超过了设置的检查阈值,则认为这种类型的报文是攻击报文 其他(配置流策略或者黑名单)