如何配置攻击溯源?
如何配置攻击溯源?
网络技术联盟站
发布于 2019-11-29 14:23:25
发布于 2019-11-29 14:23:25
代码可运行
运行总次数:0
代码可运行
查看上送CPU的报文统计信息,如果某种类型的报文上送或丢弃的数量较大,则可以初步判断网络中存在这种报文类型的网络攻击。
<HUAWEI> reset cpu-defend statistics //清除上送CPU报文的统计信息,并等待一段时间……
<HUAWEI> display cpu-defend statistics all //查看上送CPU报文的统计信息
例如黑客通过控制网络中主机发送大量的ping报文(ICMP),造成网络设备花费大量资源处理攻击报文,CPU占用率高,合法用户业务中断。
那么出现网络攻击时,如何快速定位攻击源呢?
攻击溯源通过对上送CPU的报文进行采样分析,如果报文速率(pps)超过设置的阈值,则认为是攻击报文。
对攻击报文进行分析,可以找到攻击源的IP地址、MAC地址、接口和VLAN。
实现原理
报文解析
根据采样比对上送CPU的报文进行采样并解析
流量分析
- 对采样的报文进行分析,缺省情况下: a. 分析报文的源IP地址、源MAC地址、源接口+VLAN信息 b. 分析7种类型的报文:ARP,DHCP,ICMP,IGMP,TCP,Telnet和TTL-expired
- 如果报文速率超过了设置的检查阈值,则认为这种类型的报文是攻击报文
攻击源识别
对识别出来的攻击源发送告警,便于管理员查看
通过display auto-defend attack-source命令查看
攻击源惩罚
- 将攻击报文进行丢弃
- 将攻击报文进入的接口shutdown (谨慎使用)
- 其他(配置流策略或者黑名单)
配置思路
- 创建防攻击策略
- 配置攻击溯源 (采样比、检查阈值、溯源模式、防范的报文类型、白名单、告警功能、惩罚措施)
- 应用防攻击策略
操作步骤
<HUAWEI> system-view //进入系统视图
[HUAWEI] cpu-defend policy test //创建防攻击策略,策略名为test
[HUAWEI-cpu-defend-policy-test] auto-defend enable //使能攻击溯源功能
[HUAWEI-cpu-defend-policy-test] auto-defend threshold 64 //配置攻击溯源检查阈值
[HUAWEI-cpu-defend-policy-test] auto-defend attack-packet sample 10 //配置攻击溯源采样比
[HUAWEI-cpu-defend-policy-test] auto-defend alarm enable //使能攻击溯源告警功能
[HUAWEI-cpu-defend-policy-test] auto-defend alarm threshold 64 //配置攻击溯源告警阈值
[HUAWEI-cpu-defend-policy-test] auto-defend action deny //配置攻击溯源的惩罚措施
[HUAWEI-cpu-defend-policy-test] quit //返回系统视图
[HUAWEI] cpu-defend-policy test global //应用防攻击策略本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-11-23,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
