交换机攻防见招拆招Word格式文档下载.docx
《交换机攻防见招拆招Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《交换机攻防见招拆招Word格式文档下载.docx(59页珍藏版)》请在冰豆网上搜索。
执行命令displaycpu-usage查看设备CPU占用率的统计信息,CPUUsage表示的是CPU占用率,TaskName表示的是设备当前正在运行的任务名称。
如果CPU利用率持续较高,并且bcmRX、FTS、SOCK或者VPR任务过高(通常协议报文攻击会导致这些任务过高),则较大可能是收到的报文过多,接下来需要执行步骤2继续判断设备收到的报文类型。
一般情况下,交换机长时间运行时CPU占用率不超过80%,短时间内CPU占用率不超过95%,可认为交换机状态是正常的。
步骤2
执行命令displaycpu-defendstatisticsall查看相关协议是否有CPCAR丢包、丢包是否多,并确认现网设备是否放大相关协议的CPCAR值。
如果CPCAR存在大量丢包,就基本可以确认现网存在攻击,根据丢包的协议,采用相关防攻击措施。
具体有哪些常见的丢包协议,请参见表1-1。
表1-1丢包协议以及相应的防攻击部署手段
PacketType
可以参考的攻击类型
arp-reply、arp-request
1.2.1ARP攻击、1.2.8TC攻击
arp-miss
1.2.2ARP-Miss攻击
dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request
1.2.3DHCP攻击
icmp
1.2.4ICMP攻击
ttl-expired
1.2.5TTL攻击
tcp
1.2.6TCP攻击
ospf
1.2.7OSPF攻击
ssh、telnet
1.2.9SSH/Telnet攻击
vrrp
1.2.10VRRP攻击
igmp
1.2.11IGMP攻击
pim
1.2.12PIM攻击
V200R003版本以及之后版本支持端口防攻击功能,对于V200R003版本以及之后版本,有可能存在这样的情况:
即使Drop计数不再增长,也是有可能存在攻击的。
所以对于V200R003版本以及之后版本,还需要继续执行步骤3进一步确认丢包协议。
步骤3
可以通过如下两种方式确认。
方法一:
在诊断视图中执行命令displayauto-port-defendstatistics
[
slot
slot-id
]查看是否有对应协议的丢包。
具体有哪些常见的丢包协议,请参见表1-2。
表1-2丢包协议以及相应的防攻击部署手段
Protocol
1.2.1ARP攻击、1.3.8TC攻击
方法二:
对于历史上曾经触发过端口防攻击也可以通过日志来确定。
日志格式如下,其中AttackProtocol表示的是攻击报文的协议类型。
SECE/4/PORT_ATTACK_OCCUR:
Autoport-defendstarted.(SourceAttackInterface=[STRING],
AttackProtocol=[STRING])
SECE/6/PORT_ATTACK_END:
Autoport-defendstop.(SourceAttackInterface=[STRING],AttackProtocol=[STRING])
----结束
1.2
根据攻击类型部署防攻击手段1.2.1ARP攻击1.2.1.1ARP泛洪攻击
攻击简介
如下图所示,局域网中用户通过SwitchA和SwitchB接入连接到Gateway访问Internet。
当网络中出现过多的ARP报文时,会导致网关设备CPU负载加重,影响设备正常处理用户的其它业务。
另一方面,网络中过多的ARP报文会占用大量的网络带宽,引起网络堵塞,从而影响整个网络通信的正常运行。
现象描述
网络设备CPU占有率较高,正常用户不能学习ARP甚至无法上网。
Ping不通。
网络设备不能管理。
定位思路
定位手段
命令行
适用版本形态
查看ARP临时表项
displayarp
V100R006C05版本以及之后版本
查看arp-request的CPCAR计数
displaycpu-defendstatisticspacket-typearp-requestall
查看攻击溯源结果
displayauto-defendattack-source
]
V200R003版本以及之后版本
执行命令displayarp查看受影响用户的ARP是否学习不到。
如果MACADDRESS字段显示为Incomplete,表示有ARP学习不到,有可能设备遭受ARP攻击。
由于有未学习到的ARP表项,执行命令displaycpu-defendstatisticspacket-typearp-requestall查看上送CPU的ARP-Request报文统计信息,判断设备是否遭受攻击,下述回显发现4号单板上存在大量ARP-Request报文丢包。
该命令可以查看多次,比如1秒执行一次,查看多次执行的结果。
如上显示,如果Drop(Packets)计数增加很快,比如1秒钟Drop上百个,这说明设备正在遭受ARP攻击,上送的ARP报文已经超过了设备配置的CPCAR范围,攻击ARP报文可能已经挤掉了正常ARP报文,则部分ARP可能学习不到。
确认攻击源,通过攻击溯源功能识别攻击源。
首先在系统视图下配置防攻击策略:
[HUAWEI]
cpu-defendpolicypolicy1
[HUAWEI-cpu-defend-policy-policy1]
auto-defendenable
auto-defendattack-packetsample5
auto-defendthreshold30
undoauto-defendtrace-typesource-portvlan
undoauto-defendprotocoldhcpicmpigmptcptelnetttl-expiredudp
接下来应用防攻击策略policy1,关于防攻击策略的应用,请参见3.1应用防攻击策略。
最后通过命令displayauto-defendattack-source
4查看攻击源的MAC地址。
识别的MAC中可能包含网关的MAC地址或互连网络设备的MAC,需要注意剔除。
问题根因
1.
由于终端中毒频繁发送大量ARP报文。
2.
下挂网络成环产生大量的ARP报文。
处理步骤
在接口下配置ARP表项限制。
设备支持接口下的ARP表项限制,如果接口已经学习到的ARP表项数目超过限制值,系统不再学习新的ARP表项,但不会清除已经学习到的ARP表项,会提示用户删除超出的ARP表项。
配置命令如下:
<
HUAWEI>
system-view
interfacegigabitethernet1/0/1
[HUAWEI-GigabitEthernet1/0/1]
arp-limitvlan10maximum20
配置针对源IP地址的ARP报文速率抑制的功能。
在一段时间内,如果设备收到某一源IP地址的ARP报文数目超过设定阈值,则不处理超出阈值部分的ARP请求报文。
arpspeed-limitsource-ip10.0.0.1maximum50
缺省情况下,对ARP报文进行时间戳抑制的抑制速率为5pps,即每秒处理5个ARP报文。
根据排查出的攻击源MAC配置黑名单过滤掉攻击源发出的ARP报文。
acl4444
[HUAWEI-acl-L2-4444]
rulepermitl2-protocolarpsource-mac0-0-1vlan-id3
quit
blacklist1acl4444
quit
步骤4
如果上述配置无法解决,比如源MAC变化或源IP变化的ARP攻击源来自某台接入设备下挂用户,在接入侧交换机上配置流策略限速,不让该接入侧设备下的用户影响整个网络。
acl4445
[HUAWEI-acl-L2-4445]
rulepermitl2-protocolarp
trafficclassifierpolicy1
[HUAWEI-classifier-policy1]
if-matchacl4445
trafficbehaviorpolicy1
[HUAWEI-behavior-policy1]
carcir32
trafficpolicy
升级会员 