• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C 园区盒式交换机典型配置举例-6W100

目录

52-攻击防御典型配置举例

本章节下载 52-攻击防御典型配置举例  (493.75 KB)

52-攻击防御典型配置举例


1  简介

本文档介绍了链路层、ARP、IP层以及传输层攻击防御的配置举例。

本文档涉及的主要攻击防御类型见表1

表1 攻击防御类型简介

攻击防御分类

攻击防御措施

功能描述

链路层攻击防御

MAC地址防攻击

设定端口可以学习到的最大MAC地址数目,避免被大量源MAC地址频繁变化或者VLAN频繁变化的报文攻击

STP的防攻击

主要的防护措施有BPDU保护、根保护、环路保护、防TC-BPDU攻击保护

ARP攻击防御

ARP源抑制功能

用于防止设备被固定源发送的IP报文攻击

ARP黑洞路由功能

用于防止设备被不固定的源发送的IP报文攻击

ARP主动确认功能

用于防止攻击者仿冒用户欺骗设备

源MAC地址固定的ARP攻击检测

用于防止设备被同一MAC地址源发送的攻击报文攻击

ARP报文源MAC一致性检查功能

用于防止设备被以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的报文攻击

IP层攻击防御

uRPF检查

用于防止基于源地址欺骗的网络攻击行为

TTL报文防攻击

通过关闭ICMP超时报文发送功能来避免被攻击者恶意攻击

传输层攻击防御

防止Syn-flood攻击

当服务器收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文,可以避免在服务器上建立大量的TCP半连接,防止服务器受到SYN Flood攻击

 

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解本文档中涉及的攻击防御特性。

3  链路层攻击防御配置举例

3.1  组网需求

图1所示,Device A、Device B、Device C均运行了MSTP协议,网络拓扑稳定后Device B为根桥,Device C的GE1/0/1为阻塞端口。

·            通过配置根保护、环路保护和BPDU保护功能,维持Device A、Device B和Device C的端口角色以及网络拓扑的稳定。

·            在Device A、Device B和Device C上使能防TC-BPDU攻击保护,避免发生短时间内大量TC(Topology Change)-BPDU冲击设备的情况。

·            在Device A和Device C的接入侧端口上配置端口最大学习MAC数目,避免设备因受到大量源MAC地址不同的报文攻击,而导致MAC地址表过于庞大、转发性能下降的情况。

·            在Device B的用户网络侧端口以及Device A和Device C的所有端口上配置组播速率抑制和广播速率抑制功能。端口上的广播或组播流量超过6400 pps(packets per second,每秒转发的报文数)后,系统将丢弃超出广播和组播流量限制的报文,从而使接口广播、组播流量所占的比例降低到限定的范围。

图1 链路层攻击防御组网配置图

 

3.2  配置思路

根据端口角色来确定需要配置根保护、环路保护和BPDU保护的设备端口。

·            网络中根桥Device B可能会收到伪造的优先级更高的BPDU,导致Device B失去根桥的地位。为防止这种情况发生,可在根桥与叶子节点相连的端口GE1/0/1、GE1/0/2上配置根保护功能,使它们只能作为指定端口来转发BPDU,并在收到优先级更高的BPDU时暂时停止转发BPDU。

·            Device C通过接收根桥发送的BPDU来维持GE1/0/1的端口角色为阻塞端口,如果链路发生拥塞或故障,Device C会因为没有收到根桥的BPDU而重新选择端口角色,使其所有端口变为指定端口并迁移到转发状态,导致环路。因此在Device C的根端口GE1/0/2上使能环路保护,使该端口在没有收到BPDU时使其所有MSTI处于Discarding状态以避免环路产生。

·            Device A和Device C是接入层设备,将其连接用户终端的端口(如GE1/0/3)设置为边缘端口(相关命令为stp edged-port),以便快速迁移到转发状态。这些连接用户的端口正常情况下是不会收到BPDU的,要避免它们因收到伪造的BPDU而引发生成树重新计算,在边缘端口上配置BPDU保护功能,使它们在收到BPDU时暂时关闭。

3.3  适用产品及版本

表2 适用产品及版本

产品

软件版本

S5560X-EI系列

Release 63xx系列

S5560X-HI系列

Release 63xx系列

S5500V2-EI系列

Release 63xx系列

MS4520V2-30F

Release 63xx系列

S6520X-HI系列

S6520X-EI系列

Release 63xx系列

S6520X-SI系列

S6520-SI系列

Release 63xx系列

S5000-EI系列

Release 63xx系列

MS4600系列

Release 63xx系列

S5560S-EI系列

S5560S-SI系列

Release 63xx系列

S5130S-HI系列

S5130S-EI系列

S5130S-SI系列

S5130S-LI系列

Release 63xx系列

S5120V2-SI系列

S5120V2-LI系列

Release 63xx系列

S3100V3-EI系列

S3100V3-SI系列

Release 63xx系列

S5110V2系列

Release 63xx系列

S5110V2-SI系列

Release 63xx系列

S5000V3-EI系列

Release 63xx系列

S5000E-X系列

Release 63xx系列

E128C

E152C

E500C系列

E500D系列

Release 63xx系列

MS4520V2系列(除MS4520V2-30F)

Release 63xx系列

MS4320V2系列

MS4300V2系列

MS4320系列

MS4200系列

Release 63xx系列

WS5850-WiNet系列

Release 63xx系列

WS5820-WiNet系列

WS5810-WiNet系列

Release 63xx系列

WAS6000系列

Release 63xx系列

 

3.4  配置注意事项

·            在同一个端口上,不允许同时配置边缘端口和环路保护功能,或者同时配置根保护功能和环路保护功能。

·            请不要在连接用户终端的端口上使能环路保护功能,否则该端口会因收不到BPDU而导致其所有MSTI将一直处于Discarding状态。

3.5  配置步骤

3.5.1  Device B(根桥)的配置

# 配置各接口的IP地址(略)。

# 在指定端口上配置根保护。

<DeviceB> system-view

[DeviceB] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2

[DeviceB-if-range] stp root-protection

[DeviceB-if-range] quit

# 配置防TC-BPDU攻击保护。

[DeviceB] stp tc-protection

[DeviceB] stp tc-protection threshold 10

# 在端口上设置广播速率抑制和组播速率抑制。

[DeviceB] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2

[DeviceB-if-range] broadcast-suppression pps 6400

[DeviceB-if-range] multicast-suppression pps 6400

[DeviceB-if-range] quit

3.5.2  Device A的配置

# 配置各接口的IP地址(略)。

# 配置STP BPDU保护,并将接入侧端口(以GE1/0/3为例)设置为边缘端口。

<DeviceA> system-view

[DeviceA] stp bpdu-protection

[DeviceA] interface gigabitethernet 1/0/3

[DeviceA-GigabitEthernet1/0/3] stp edged-port

[DeviceA-GigabitEthernet1/0/3] quit

# 配置防TC-BPDU攻击保护。

[DeviceA] stp tc-protection

[DeviceA] stp tc-protection threshold 10

# 配置接入侧端口最大学习MAC数目,以GE1/0/3为例。

[DeviceA] interface gigabitethernet 1/0/3

[DeviceA-GigabitEthernet1/0/3] mac-address max-mac-count 1024

[DeviceA-GigabitEthernet1/0/3] quit

# 在所有端口上设置广播速率抑制和组播速率抑制(其中连接用户终端的端口以GE1/0/3为例)。

[DeviceA] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/3

[DeviceA-if-range] broadcast-suppression pps 6400

[DeviceA-if-range] multicast-suppression pps 6400

[DeviceA-if-range] quit

3.5.3  Device C的配置

# 配置各接口的IP地址(略)。

# 配置STP BPDU保护,并将接入侧端口(以GE1/0/3为例)设置为边缘端口。。

<DeviceC> system-view

[DeviceC] stp bpdu-protection

[DeviceC] interface gigabitethernet 1/0/3

[DeviceC-GigabitEthernet1/0/3] stp edged-port

[DeviceC-GigabitEthernet1/0/3] quit

# 在指定端口上进行配置根保护。

[DeviceC] interface gigabitethernet 1/0/1

[DeviceC-GigabitEthernet1/0/1] stp root-protection

[DeviceC-GigabitEthernet1/0/1] quit

# 在根端口上配置环路保护。

[DeviceC] interface gigabitethernet 1/0/2

[DeviceC-GigabitEthernet1/0/2] stp loop-protection

[DeviceC-GigabitEthernet1/0/2] quit

# 配置防TC-BPDU攻击保护。

[DeviceC] stp tc-protection

[DeviceC] stp tc-protection threshold 10

# 配置端口最大学习MAC数目,以XG1/0/3为例。

[DeviceC] interface gigabitethernet 1/0/3

[DeviceC-GigabitEthernet1/0/3] mac-address max-mac-count 1024

[DeviceC-GigabitEthernet1/0/3] quit

# 在所有端口上设置广播速率抑制和组播速率抑制(其中连接用户终端的端口以GE1/0/3为例)。

[DeviceC] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/3

[DeviceC-if-range] broadcast-suppression pps 6400

[DeviceC-if-range] multicast-suppression pps 6400

[DeviceC-if-range] quit

3.6  验证配置

·            向Device A或Device C的边缘端口GE1/0/3发送STP BPDU报文,会导致收到报文的端口被shutdown,在shutdown之后可以通过手动的undo shutdown恢复端口的UP状态;

·            向指定端口发送优先级更高的STP报文,根端口不会发生变化,STP拓扑状态保持稳定;

·            向Device A、Device B、Device C频繁发送大量变化的TC报文,设备不会频繁重复刷新FIB(Forwarding Information Base),不会导致严重的转发丢包;

·            向Device A或Device C的边缘端口GE1/0/3发送大量广播报文,设备的上行端口上广播报文不会泛滥。

3.7  配置文件

说明

部分交换机的配置文件中会显示port link-mode bridge命令,请以实际情况为准。

 

·            DeviceA

#

stp bpdu-protection

stp tc-protection threshold 10

#

interface GigabitEthernet 1/0/1

 port link-mode bridge

 broadcast-suppression pps 6400

 multicast-suppression pps 6400

#

interface GigabitEthernet 1/0/2

 port link-mode bridge

 broadcast-suppression pps 6400

 multicast-suppression pps 6400

#

interface GigabitEthernet 1/0/3

 port link-mode bridge

 mac-address max-mac-count 1024

 stp edged-port

 broadcast-suppression pps 6400

 multicast-suppression pps 6400

#

·            DeviceB

#

stp tc-protection threshold 10

#

interface GigabitEthernet 1/0/1

 port link-mode bridge

 stp root-protection

 broadcast-suppression pps 6400

 multicast-suppression pps 6400

#

interface GigabitEthernet 1/0/2

 port link-mode bridge

 stp root-protection

 broadcast-suppression pps 6400

 multicast-suppression pps 6400

#

·            DeviceC

#

stp bpdu-protection

stp tc-protection threshold 10

#

interface GigabitEthernet 1/0/1

 port link-mode bridge

 stp root-protection

 broadcast-suppression pps 6400

 multicast-suppression pps 6400

#

interface GigabitEthernet 1/0/2

 port link-mode bridge

 stp loop-protection

 broadcast-suppression pps 6400

 multicast-suppression pps 6400

#

interface GigabitEthernet 1/0/3

 port link-mode bridge

 stp edged-port

 mac-address max-mac-count 1024

 broadcast-suppression pps 6400

 multicast-suppression pps 6400

#

4  ARP攻击防御配置举例

4.1  组网需求

图2所示,要求在网关Device上配置防御功能来抵御各种常见ARP攻击。

图2 ARP攻击防御组网图

 

4.2  使用产品及版本

表3 适用产品及版本

产品

软件版本

S5560X-EI系列

Release 63xx系列

S5560X-HI系列

Release 63xx系列

S5500V2-EI系列

Release 63xx系列

MS4520V2-30F

Release 63xx系列

S6520X-HI系列

S6520X-EI系列

Release 63xx系列

S6520X-SI系列

S6520-SI系列

Release 63xx系列

S5000-EI系列

Release 63xx系列

MS4600系列

Release 63xx系列

S5560S-EI系列

S5560S-SI系列

Release 63xx系列

S5130S-HI系列

S5130S-EI系列

S5130S-SI系列

S5130S-LI系列

Release 63xx系列

S5120V2-SI系列

S5120V2-LI系列

Release 63xx系列

S3100V3-EI系列

S3100V3-SI系列

Release 63xx系列

S5110V2系列

Release 63xx系列

S5110V2-SI系列

Release 63xx系列

S5000V3-EI系列

Release 63xx系列

S5000E-X系列

Release 63xx系列

E128C

E152C

E500C系列

E500D系列

Release 63xx系列

MS4520V2系列(除MS4520V2-30F)

Release 63xx系列

MS4320V2系列

MS4300V2系列

MS4320系列

MS4200系列

Release 63xx系列

WS5850-WiNet系列

Release 63xx系列

WS5820-WiNet系列

WS5810-WiNet系列

Release 63xx系列

WAS6000系列

Release 63xx系列

 

4.3  配置步骤

4.3.1  Device的配置

# 配置各接口的IP地址(略)。

# 配置ARP源抑制功能,并配置ARP源抑制的阈值为8,以避免设备被固定源发送的IP报文攻击。

<Device> system-view

[Device] arp source-suppression enable

[Device] arp source-suppression limit 8

# 配置ARP黑洞路由功能,以避免设备被不固定的源发送的IP报文攻击。

[Device] arp resolving-route enable

# 配置ARP主动确认功能,以避免攻击者仿冒用户欺骗设备。

[Device] arp active-ack enable

# 配置源MAC地址固定的ARP攻击检测功能,过滤非法报文,以避免设备被同一MAC地址源发送的攻击报文攻击。

[Device] arp source-mac filter

[Device] arp source-mac threshold 25

# 配置ARP报文源MAC一致性检查功能,以避免设备被以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的报文攻击。

[Device] arp valid-check enable

4.4  验证配置

用PC向设备发送各种ARP攻击报文,设备不会出现CPU利用率偏高的情况,不影响其他业务模块运行。

以ARP源抑制功能为例,伪造20个源IP地址固定,目标IP地址不能解析的IP报文,同时发送给设备,由这些IP报文触发的ARP请求报文超过8个后,对于由此IP地址发出的IP报文,设备不允许其触发ARP请求。

# 显示当前ARP源抑制的配置信息。

[Device] display arp source-suppression

 ARP source suppression is enabled

 Current suppression limit: 8

4.5  配置文件

说明

部分交换机的配置文件中会显示port link-mode bridge命令,请以实际情况为准。

 

#

 arp valid-check enable

 arp source-mac filter

 arp source-mac threshold 25

 arp active-ack enable

 arp source-suppression enable

 arp source-suppression limit 8

#

5  IP层攻击防御配置举例

5.1  组网需求

图3所示,Device A作为用户网络连接外网的网关,可能会遭受来自用户侧或者是网络侧的IP报文攻击,要求在Device A上配置防御功能以避免设备被IP报文攻击。

·            为防止基于源地址的欺骗,要求在Device A上对接收到的报文进行严格型uRPF检查。

·            为防止被大量TTL等于1的报文攻击,要求确保设备关闭ICMP超时报文发送功能。

图3 IP层攻击防御基础配置组网图

 

5.2  使用产品及版本

表4 适用产品及版本

产品

软件版本

S5560X-EI系列

Release 63xx系列

S5560X-HI系列

Release 63xx系列

S5500V2-EI系列

Release 63xx系列

MS4520V2-30F

Release 63xx系列

S6520X-HI系列

S6520X-EI系列

Release 63xx系列

S6520X-SI系列

S6520-SI系列

Release 63xx系列

S5000-EI系列

Release 63xx系列

MS4600系列

Release 63xx系列

S5560S-EI系列

S5560S-SI系列

Release 63xx系列

S5130S-HI系列

S5130S-EI系列

S5130S-SI系列

S5130S-LI系列

不支持

S5120V2-SI系列

S5120V2-LI系列

不支持

S3100V3-EI系列

S3100V3-SI系列

不支持

S5110V2系列

不支持

S5110V2-SI系列

不支持

S5000V3-EI系列

不支持

S5000E-X系列

不支持

E128C

E152C

E500C系列

E500D系列

不支持

MS4520V2系列(除MS4520V2-30F)

Release 63xx系列

MS4320V2系列

MS4300V2系列

MS4320系列

MS4200系列

不支持

WS5850-WiNet系列

Release 63xx系列

WS5820-WiNet系列

WS5810-WiNet系列

不支持

WAS6000系列

不支持

 

5.3  配置注意事项

·            在关闭ICMP超时报文发送功能后,Tracert功能将不可用。

·            当交换机开启uRPF功能时,会出现路由规格减半情况(路由规格减半情况为:交换机支持的最大可容纳的路由数,在开启uRPF功能后变为开启前的一半)。

·            当交换机的路由数超过该交换机可最大容纳的路由数一半时,uRPF功能将不能开启,避免了路由表项丢失以及由其引起的数据包丢失。

5.4  配置步骤

 # 配置各接口的IP地址(略)。

# 在Device A上配置严格型uRPF检查。

[DeviceA] ip urpf strict

# 关闭ICMP超时报文发送功能(缺省为关闭),以避免设备被大量TTL等于1的报文攻击。

[DeviceA] undo ip ttl-expires enable

5.5  验证配置

1. 源地址欺骗防御验证

# 用PC对设备发送一系列带有伪造源地址的报文,这些报文被过滤,设备没有遭到源地址欺骗攻击。

# 显示Device A上uRPF的应用情况。
[DeviceA] display ip urpf

Global uRPF configuration information:

   Check type: strict

2. TTL等于1的报文攻击防御验证

(1)       打开设备上的ICMP调试信息开关(配置debugging ip icmp命令)。

(2)       用PC对设备发送TTL为1的报文。

(3)       查看设备上是否显示调试信息:

·            ICMP超时报文发送功能关闭时,可以看到设备上没有显示调试信息,即设备没有响应接收到的攻击报文,PC端不会收到TTL超时的ICMP报文。

·            ICMP超时报文发送功能开启时,可以看到设备显示调试信息,即设备响应了接收到的攻击报文。调试信息如下:

<DeviceA> *Aug 14 16:43:31:068 2016 NM-3 SOCKET/7/ICMP: Slot=2;

Time(s):1371221011  ICMP Output:

 ICMP Packet: src = 6.0.0.1, dst = 202.101.0.2

              type = 11, code = 0 (ttl-exceeded)

 Original IP: src = 202.101.0.2, dst = 192.168.0.2

              proto = 253, first 8 bytes = 00000000 00000000

5.6  配置文件

说明

部分交换机的配置文件中会显示port link-mode bridge命令,请以实际情况为准。

 

#

ip urpf strict

#

6  传输层攻击防御配置举例

6.1  组网需求

图4所示,Device作为用户网络的网关,可能会遭受来自传输层的Syn-flood攻击,使设备无法处理正常业务。要求在Device上配置SYN Cookie功能,使设备可以抵御此类攻击。

图4 传输层攻击防御基础配置图

 

6.2  使用产品及版本

表5 适用产品及版本

产品

软件版本

S5560X-EI系列

Release 63xx系列

S5560X-HI系列

Release 63xx系列

S5500V2-EI系列

Release 63xx系列

MS4520V2-30F

Release 63xx系列

S6520X-HI系列

S6520X-EI系列

Release 63xx系列

S6520X-SI系列

S6520-SI系列

Release 63xx系列

S5000-EI系列

Release 63xx系列

MS4600系列

Release 63xx系列

S5560S-EI系列

S5560S-SI系列

Release 63xx系列

S5130S-HI系列

S5130S-EI系列

S5130S-SI系列

S5130S-LI系列

Release 63xx系列

S5120V2-SI系列

S5120V2-LI系列

Release 63xx系列

S3100V3-EI系列

S3100V3-SI系列

Release 63xx系列

S5110V2系列

Release 63xx系列

S5110V2-SI系列

Release 63xx系列

S5000V3-EI系列

Release 63xx系列

S5000E-X系列

Release 63xx系列

E128C

E152C

E500C系列

E500D系列

Release 63xx系列

MS4520V2系列(除MS4520V2-30F)

Release 63xx系列

MS4320V2系列

MS4300V2系列

MS4320系列

MS4200系列

Release 63xx系列

WS5850-WiNet系列

Release 63xx系列

WS5820-WiNet系列

WS5810-WiNet系列

Release 63xx系列

WAS6000系列

Release 63xx系列

 

6.3  配置步骤

# 配置各接口的IP地址(略)。

# 使能SYN Cookie功能。当服务器收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文。服务器接收到发起者回应的ACK报文后,才建立连接。

<Device> system-view

[Device] tcp syn-cookie enable

6.4  验证配置

设备在建立TCP连接时,不再建立处于SYN_RECEIVED状态的TCP半连接,而是在建立连接后直接进入ESTABLISHED状态。

[Device] display tcp

 *: TCP connection with authentication

 Local Addr:port       Foreign Addr:port     State       Slot  PCB

 0.0.0.0:21            0.0.0.0:0             LISTEN      1     0xffffffffffffff9

d

 0.0.0.0:23            0.0.0.0:0             LISTEN      1     0xffffffffffffff9

f

 192.168.2.88:23       192.168.2.79:2197     ESTABLISHED 1     0xffffffffffffffa

3

 192.168.2.88:23       192.168.2.89:2710     ESTABLISHED 1     0xffffffffffffffa

2

 192.168.2.88:23       192.168.2.110:50199   ESTABLISHED 1     0xffffffffffffffa

5

6.5  配置文件

说明

部分交换机的配置文件中会显示port link-mode bridge命令,请以实际情况为准。

 

#

   tcp syn-cookie enable

#

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们