• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

08-安全配置指导

目录

15-TCP攻击防御配置

本章节下载 15-TCP攻击防御配置  (114.78 KB)

15-TCP攻击防御配置


1 TCP攻击防御配置

1.1  TCP攻击防御简介

攻击者可以利用TCP连接的建立过程对设备进行攻击。为了避免上述攻击带来的危害,设备提供了SYN Cookie功能和TCP分片攻击防御功能。

下面将详细介绍这些功能的工作原理以及配置过程。

1.2  配置SYN Cookie功能

一般情况下,TCP连接的建立需要经过三次握手,即:

(1)     TCP连接请求的发起者向目标服务器发送SYN报文;

(2)     目标服务器收到SYN报文后,建立处于SYN_RECEIVED状态的TCP半连接,并向发起者回复SYN ACK报文,等待发起者的回应;

(3)     发起者收到SYN ACK报文后,回应ACK报文,这样TCP连接就建立起来了。

利用TCP连接的建立过程,一些恶意的攻击者可以进行SYN Flood攻击。攻击者向服务器发送大量请求建立TCP连接的SYN报文,而不回应服务器的SYN ACK报文,导致服务器上建立了大量的TCP半连接。从而,达到耗费服务器资源,使服务器无法处理正常业务的目的。

SYN Cookie功能用来防止SYN Flood攻击。当服务器收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文。服务器接收到发起者回应的ACK报文后,才建立连接,并进入ESTABLISHED状态。通过这种方式,可以避免在服务器上建立大量的TCP半连接,防止服务器受到SYN Flood攻击。

表1-1 配置SYN Cookie功能

操作

命令

说明

进入系统视图

system-view

-

使能SYN Cookie功能

tcp syn-cookie enable

必选

缺省情况下,SYN Cookie功能处于使能状态

 

说明

使能SYN Cookie功能后,建立TCP连接时只协商最大报文段长度选项,而不协商窗口缩放因子和时间戳选项。

 

1.3  配置TCP分片攻击防御

设备的包过滤功能一般是通过判断TCP首个分片中的五元组(源IP地址、源端口号、目的IP地址、目的端口号、传输层协议号)信息来决定后续TCP分片是否允许通过。RFC1858对TCP分片报文进行了规定,认为TCP分片报文中,首片报文中TCP报文长度小于20字节,或后续分片报文中分片偏移量等于8字节的报文为TCP分片攻击报文。这类报文可以成功绕过上述包过滤功能,对设备造成攻击。

为防止这类攻击,可以在设备上配置TCP分片攻击防御功能,对TCP分片攻击报文进行丢弃。

表1-2 TCP分片攻击防御功能配置

操作

命令

说明

进入系统视图

system-view

-

配置TCP分片攻击防御功能

attack-defense tcp fragment enable

缺省情况下,TCP分片攻击防御功能处于开启状态

 

1.4  TCP攻击防御显示和维护

在任意视图下执行display tcp status命令可以显示所有TCP连接的状态,用户可以通过显示信息随时监控TCP连接。

表1-3 TCP攻击防御显示和维护

操作

命令

显示所有TCP连接的状态

display tcp status [ | { begin | exclude | include } regular-expression ]

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们