交换机攻防见招拆招
更新时间:2023-04-14 00:19:01 阅读量: 实用文档 文档下载
- 交换机攻防见招拆招推荐度:
- 相关推荐
1 S系列交换机攻击处理
如何确定攻击类型
当设备遭受攻击时,通常伴随着如下现象:
l 用户无法获取ARP。
l 用户上线成功率较低。
l 用户无法访问网络。
当大量用户或固定某个端口下的所有用户出现上述现象时,可以先通过如下定位手段分析是否为攻击问题。
步骤 1 执行命令display cp u-usage查看设备CPU占用率的统计信息,CPU Usage表示的是CPU占用率,TaskName表示的是设备当前正在运行的任务名称。
如果CPU利用率持续较高,并且bcmRX、FTS、SOCK或者VPR任务过高(通常协议报文攻击会导致这些任务过高),则较大可能是收到的报文过多,接下来需要执行步骤2继续判断设备收到的报文类型。
一般情况下,交换机长时间运行时CPU占用率不超过80%,短时间内CPU占用率不超过95%,可认为交换机状态是正常的。
步骤 2 执行命令display cp u-defend statistics all查看相关协议是否有CPCAR丢包、丢包是否多,并确认现网设备是否放大相关协议的CPCAR值。如果CPCAR存在大量丢包,就基本可以确认现网存在攻击,根据丢包的协议,采用相关防攻击措施。具体有哪些常见的丢包协议,请参见表1-1。
表1-1 丢包协议以及相应的防攻击部署手段
Packet Type
可以参考的攻击类型
arp-reply、arp-request
ARP攻击、 TC攻击
arp-miss
ARP-Miss攻击
dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request DHCP攻击
icmp
ICMP攻击
ttl-expired
TTL攻击
tcp
TCP攻击
ospf
OSPF攻击
ssh、telnet
SSH/Telnet攻击
vrrp
VRRP攻击
igmp
IGMP攻击
pim
PIM攻击
V200R003版本以及之后版本支持端口防攻击功能,对于V200R003版本以及之后版本,有可能存在这样的情况:即使Drop计数不再增长,也是有可能存在攻击的。所以对于V200R003版本以及之后版本,还需要继续执行步骤3进一步确认丢包协议。
步骤 3 可以通过如下两种方式确认。
方法一:在诊断视图中执行命令display auto-port-defend statistics [ slot slot -id ]查看是否有对应协议的丢包。具体有哪些常见的丢包协议,请参见表1-2。
表1-2 丢包协议以及相应的防攻击部署手段
Protocol
可以参考的攻击类型
arp-reply、arp-request
ARP攻击、 TC攻击
arp-miss
ARP-Miss攻击
dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request
DHCP攻击
icmp
ICMP攻击
ttl-expired
TTL攻击
tcp
TCP攻击
ospf
OSPF攻击
ssh、telnet
SSH/Telnet攻击
vrrp
VRRP攻击
igmp
IGMP攻击
pim
PIM攻击
方法二:对于历史上曾经触发过端口防攻击也可以通过日志来确定。日志格式如下,其中A ttackProtocol表示的是攻击报文的协议类型。
SECE/4/PORT_ATTACK_OCCUR:Auto port-defend started.(SourceAttackInterface=[STRING], AttackProtocol=[STR ING])
SECE/6/PORT_ATTACK_END:Auto port-defend stop.(SourceAttackInterface=[STRING], AttackProtocol=[STRING]) ----结束
根据攻击类型部署防攻击手段 ARP攻击 ARP泛洪攻击
攻击简介
如下图所示,局域网中用户通过SwitchA和SwitchB接入连接到Gateway访问Internet。当网络中出现过多的ARP报文时,会导致网关设备CPU负载加重,影响设备正常处理用户的其它业务。另一方面,网络中过多的ARP报文会占用大量的网络带宽,引起网络堵塞,从而影响整个网络通信的正常运行。
现象描述
l 网络设备CPU占有率较高,正常用户不能学习ARP甚至无法上网。
l Ping不通。
l 网络设备不能管理。
定位思路
定位手段
命令行
适用版本形态
查看ARP临时表项
display arp
V100R006C05版本以及之后版本
查看arp-request的CPCAR计数
display cpu-defend statistics packet-type arp-request all
V100R006C05版本以及之后版本
查看攻击溯源结果
display auto-defend attack-source[ slot slot-id ]
V200R003版本以及之后版本
步骤 1 执行命令display ar p查看受影响用户的ARP是否学习不到。
如果MAC ADDRESS字段显示为Incomplete,表示有ARP学习不到,有可能设备遭受ARP攻击。
步骤 2 由于有未学习到的AR P表项,执行命令display cpu-defend statistics packet-type arp-request all查看上送CPU的ARP-Request
报文统计信息,判断设备是否遭受攻击,下述回显发现4号单板上存在大量
ARP-Request报文丢包。
该命令可以查看多次,比如1秒执行一次,查看多次执行的结果。如上显示,如果Drop(Packets)计数增加很快,比如1秒钟Drop上百个,这说明设备正在遭受ARP攻击,上送的ARP报文已经超过了设备配置的CPCAR范围,攻击ARP报文可能已经挤掉了正常ARP报文,则部分ARP可能学习不到。
步骤 3 确认攻击源,通过攻击溯源功能识别攻击源。
首先在系统视图下配置防攻击策略:
[HUAWEI] cpu-defend policy policy1
[HUAWEI-cpu-defend-policy-policy1] auto-defend enable
[HUAWEI-cpu-defend-policy-policy1] auto-defend attack-packet sample 5
[HUAWEI-cpu-defend-policy-policy1] auto-defend threshold 30
[HUAWEI-cpu-defend-policy-policy1] undo auto-defend trace-type source-portvlan
正在阅读:
交换机攻防见招拆招04-14
废旧电子物资安全处置(回收)合同书07-28
识别冲突产生原因03-05
这样的人让我敬佩_初中写人作文600字_初一写人作文07-31
酒店总经理的答谢词05-03
NACE TM0177-96中文10-11
小升初·数论发散(数学)08-24
YH732双极性霍尔开关08-29
系统概要设计说明书(内部版)模板05-25
- 教学能力大赛决赛获奖-教学实施报告-(完整图文版)
- 互联网+数据中心行业分析报告
- 2017上海杨浦区高三一模数学试题及答案
- 招商部差旅接待管理制度(4-25)
- 学生游玩安全注意事项
- 学生信息管理系统(文档模板供参考)
- 叉车门架有限元分析及系统设计
- 2014帮助残疾人志愿者服务情况记录
- 叶绿体中色素的提取和分离实验
- 中国食物成分表2020年最新权威完整改进版
- 推动国土资源领域生态文明建设
- 给水管道冲洗和消毒记录
- 计算机软件专业自我评价
- 高中数学必修1-5知识点归纳
- 2018-2022年中国第五代移动通信技术(5G)产业深度分析及发展前景研究报告发展趋势(目录)
- 生产车间巡查制度
- 2018版中国光热发电行业深度研究报告目录
- (通用)2019年中考数学总复习 第一章 第四节 数的开方与二次根式课件
- 2017_2018学年高中语文第二单元第4课说数课件粤教版
- 上市新药Lumateperone(卢美哌隆)合成检索总结报告
- 攻防
- 交换机
- 机关财务处工作总结
- 2022年河北师范大学金融(专业学位)专业综合之微观部分复试仿真模
- 2022年会主持词:公司年会主持词
- 电脑售后服务承诺书
- 新校区规划简介课件.doc
- 资产专用性的博弈分析
- 全新版大学英语综合教程5课文原文及翻译@1和2单元
- 最新导购人员礼仪素养提升训练培训
- 广州到泉州物流怎么收费 广州到泉州物流要几天
- 平凡的世界读后感及摘录
- 人教版八年级语文下册全册教案
- H3C S10500 系列交换机 安装手册-6PW104-整本手册
- 星光学校第一个教师例会
- 2000t综合利用电石渣水泥熟料生产线可行性研究报告
- 作为一个优秀的销售代表,应当具备那些心态呢
- 备战2022年高考理数一轮复习第五节 三角恒等变换
- 保险诈骗罪的立案标准、司法解释、量刑标准(2022年)
- 网络脱口秀的话语表达
- 2022年中国政法大学政治与公共管理学院844政治学综合二之西方政
- 四年级英语下学期学困生帮扶计划