• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-安全配置指导

目录

19-攻击检测及防范配置

本章节下载 19-攻击检测及防范配置  (102.32 KB)

19-攻击检测及防范配置


1 攻击检测及防范

说明

本文中提到的EC1类和EF类单板指的是丝印后缀分别为EC1、EF的单板。

 

1.1  攻击检测及防范简介

攻击检测及防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施,例如输出告警日志、丢弃报文或加入黑名单。

设备仅支持TCP分片攻击防范。

1.2  TCP分片攻击防范

设备的包过滤功能一般是通过判断TCP首个分片中的五元组(源IP地址、源端口号、目的IP地址、目的端口号、传输层协议号)信息来决定后续TCP分片是否允许通过。RFC1858对TCP分片报文进行了规定,认为TCP分片报文中,首片报文中TCP报文长度小于20字节,或后续分片报文中分片偏移量等于8字节的报文为TCP分片攻击报文。这类报文可以成功绕过上述包过滤功能,对设备造成攻击。

例如攻击者可构造极小的TCP首个分片报文,将TCP报文头(通常为20字节)分布在2个分片中,这样一来,构造报文中的非法TCP标记位将包含在第二个分片中,从而逃过包过滤系统的检查,对设备造成攻击。同样,攻击者通过构造片偏移量等于8字节的TCP分片报文,也可以绕过包过滤系统,而当这些TCP分片在目的主机上进行报文重组时,携带非法TCP标记位的报文将替换TCP首片中的合法标记位,对设备造成攻击。

为防止这类攻击,可以在设备上配置TCP分片攻击防范功能,对TCP分片攻击报文进行丢弃。

1.3  配置TCP分片攻击防范

说明

仅EC1/EF类单板支持TCP分片攻击防范功能,且必须先配置acl ipv6 enable命令,本功能才生效。有关acl ipv6 enable命令的介绍,请参见“ACL和QoS命令参考”中的“ACL

 

表1-1 配置TCP分片攻击防范

操作

命令

说明

进入系统视图

system-view

-

配置TCP分片攻击防范功能

attack-defense tcp fragment enable

缺省情况下,TCP分片攻击防范功能处于开启状态

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们