• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

03-安全配置指导

目录

22-ND攻击防御配置

本章节下载 22-ND攻击防御配置  (229.64 KB)

22-ND攻击防御配置


1 ND攻击防御

1.1  ND攻击防御简介

ND协议功能强大,但是却没有任何安全机制,容易被攻击者利用。图1-1所示,当Device作为接入设备时,攻击者Host B可以仿冒其他用户、仿冒网关发送伪造的ND报文,对网络进行攻击:

·     如果攻击者仿冒其他用户的IPv6地址发送NS/NA/RS报文,将会改写网关或者其他用户的ND表项,导致被仿冒用户的报文错误的发送到攻击者的终端上。

·     如果攻击者仿冒网关发送RA报文,会导致其他用户的IPv6配置参数错误和ND表项被改写。

图1-1 ND攻击示意图

 

伪造的ND报文具有如下特点:

·     伪造的ND报文中源MAC地址和源链路层选项地址中的MAC地址不一致。

·     伪造的ND报文中源IPv6地址和源MAC地址的映射关系不是合法用户真实的映射关系。

根据上述攻击报文的特点,设备开发了多种功能对ND攻击进行检测,可以有效地防范ND攻击带来的危害。

1.2  vSystem相关说明

非缺省vSystem支持本特性的部分功能,包括配置ND接口攻击抑制功能。

说明

非缺省vSystem对具体命令的支持情况,请见本特性的命令参考。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。

 

1.3  配置源MAC地址固定的ND攻击检测功能

1.3.1  功能简介

本功能用于防止源MAC地址固定的ND报文攻击。在5秒内,如果收到同一源MAC地址的ND报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在开启了ND日志信息功能的情况下(配置ipv6 nd check log enable命令),系统会根据设置的检查模式对存在于攻击检测表项中的MAC地址有如下处理:

·     如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ND报文过滤掉;

·     如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ND报文过滤掉。

对于已添加到源MAC地址固定的ND攻击检测表项中的MAC地址,如果老化时间(固定值300秒)内丢弃的ND报文个数大于或等于一个特定值((阈值/5)×300),则设备会重置该表项的老化时间;如果小于该特定值,则设备删除该源MAC地址固定的ND攻击表项,MAC地址会重新恢复成普通MAC地址。

1.3.2  配置限制和指导

切换源MAC地址固定的ND攻击检查模式时,如果从监控模式切换到过滤模式,过滤模式马上生效;如果从过滤模式切换到监控模式,已生成的攻击检测表项在老化之前还会继续按照过滤模式处理。

1.3.3  配置步骤

(1)     进入系统视图。

system-view

(2)     开启源MAC地址固定的ND攻击检测功能,并指定检查模式。

ipv6 nd source-mac { filter | monitor }

缺省情况下,源MAC地址固定的ND攻击检测功能处于关闭状态。

(3)     配置源MAC地址固定的ND报文攻击检测的阈值。

ipv6 nd source-mac threshold threshold-value

缺省情况下,源MAC地址固定的ND报文攻击检测表项的阈值为30个。

(4)     开启ND日志信息功能。

ipv6 nd check log enable

缺省情况下,ND日志信息功能处于关闭状态。

1.3.4  源MAC地址固定的ND攻击检测显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后源MAC地址固定的ND攻击检测的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,用户可以执行reset命令清除源MAC地址固定的ND攻击检测的统计信息。

表1-1 源MAC地址固定的ND攻击检测显示和维护

操作

命令

显示源MAC地址固定的ND攻击检测参数

display ipv6 nd source-mac configuration

显示源MAC地址固定的ND攻击检测表项

(独立运行模式)

display ipv6 nd source-mac interface interface-type interface-number [ slot slot-number [ cpu cpu-number ] ] [ verbose ]

display ipv6 nd source-mac { mac mac-address | vlan vlan-id } slot slot-number [ cpu cpu-number ] [ verbose ]

display ipv6 nd source-mac slot slot-number [ cpu cpu-number ] [ count | verbose ]

(IRF模式)

display ipv6 nd source-mac interface interface-type interface-number [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ]

display ipv6 nd source-mac { mac mac-address | vlan vlan-id } chassis chassis-number slot slot-number [ cpu cpu-number ] [ verbose ]

display ipv6 nd source-mac chassis chassis-number slot slot-number [ cpu cpu-number ] [ count | verbose ]

清除源MAC地址固定的ND攻击表项

(独立运行模式)

reset ipv6 nd source-mac [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

reset ipv6 nd source-mac [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

清除丢弃的源MAC地址固定的ND攻击报文计数统计信息

(独立运行模式)

reset ipv6 nd source-mac statistics [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

reset ipv6 nd source-mac statistics [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

1.4  配置ND接口攻击抑制功能

1.4.1  功能简介

ND接口攻击抑制功能基于接口限制ND请求速率,以防止非法用户构造大量ND请求报文对设备进行ND攻击。本功能只统计设备的三层接口上收到的ND请求报文,在5秒内,如果单个接口收到的ND请求报文个数超过配置的ND接口攻击抑制阈值,则认为该接口受到ND攻击。确定受到ND攻击后,设备会生成ND接口攻击抑制表项,在ND接口攻击抑制表项的抑制时间(固定值300秒)清零之前设备直接丢弃表项对应接口接收的所有ND报文,防止ND攻击报文持续冲击CPU。

ND接口攻击抑制表项的抑制时间清零后,如果抑制时间内丢弃的ND报文个数大于或等于一个特定值((阈值/5)×300),则设备会将ND接口攻击抑制表项抑制时间重置;如果小于该特定值,则设备删除该ND接口攻击抑制表项。

1.4.2  配置限制和指导

建议在网关设备上开启本功能。

1.4.3  配置步骤

(1)     进入系统视图。

system-view

(2)     开启ND接口攻击抑制功能。

ipv6 nd attack-suppression enable per-interface

缺省情况下,ND接口攻击抑制功能处于关闭状态。

(3)     配置ND接口攻击抑制阈值。

ipv6 nd attack-suppression threshold threshold-value

缺省情况下,ND接口攻击抑制阈值为1000。

1.4.4  ND接口攻击抑制显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示ND接口攻击抑制功能的运行情况,通过查看显示信息验证配置的效果。

表1-2 ND接口攻击抑制显示和维护

操作

命令

显示ND接口攻击抑制功能的配置信息

display ipv6 nd attack-suppression configuration

显示ND接口攻击抑制表项

(独立运行模式)

display ipv6 nd attack-suppression per-interface slot slot-number [ cpu cpu-number ] [ count | verbose ]

(IRF模式)

display ipv6 nd attack-suppression per-interface chassis chassis-number slot slot-number [ cpu cpu-number ] [ count | verbose ]

显示指定接口的ND接口攻击抑制表项

display ipv6 nd attack-suppression per-interface interface interface-type interface-number [ verbose ]

清除ND接口攻击抑制表项

(独立运行模式)

reset ipv6 nd attack-suppression per-interface [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

reset ipv6 nd attack-suppression per-interface [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

清除ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息

(独立运行模式)

reset ipv6 nd attack-suppression per-interface statistics [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

reset ipv6 nd attack-suppression per-interface statistics [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

 

1.5  开启ND协议报文源MAC地址一致性检查功能

1. 功能简介

ND协议报文源MAC地址一致性检查功能主要应用于网关设备上,防御ND报文中的源MAC地址和以太网数据帧首部中的源MAC地址不同的ND攻击。

开启本特性后,网关设备会对接收的ND协议报文进行检查。如果ND报文中的源MAC地址和以太网数据帧首部中的源MAC地址不一致,则认为是攻击报文,将其丢弃;否则,继续进行ND学习。

若开启ND日志信息功能,当用户ND报文中的源MAC地址和以太网数据帧首部中的源MAC地址不同时,会有相关的日志信息输出。设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启ND协议报文源MAC地址一致性检查功能。

ipv6 nd mac-check enable

缺省情况下,ND协议报文源MAC地址一致性检查功能处于关闭状态。

(3)     (可选)开启ND日志信息功能。

ipv6 nd check log enable

缺省情况下,ND日志信息功能处于关闭状态。

为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们