华为攻击防范简介

定义

攻击防范是一种重要的网络安全特性。它通过分析上送CPU处理的报文的内容和行为,判断报文是否具有攻击特性,并配置对具有攻击特性的报文执行一定的防范措施。

攻击防范主要分为畸形报文攻击防范、分片报文攻击防范和泛洪攻击防范。

目的

目前,网络的攻击日益增多,而通信协议本身的缺陷以及网络部署问题,导致网络攻击造成的影响越来越大。特别是对网络设备的攻击,将会导致设备或者网络瘫痪等严重后果。

攻击防范针对上送CPU的不同类型攻击报文,采用丢弃或者限速的手段,以保障设备不受攻击的影响,使业务正常运行。

攻击防范应用场景

  • 畸形报文攻击防范,防止畸形报文攻击。

  • 分片报文攻击防范,限制分片报文的速率,防止分片报文对CPU造成攻击,占用过多CPU和设备资源。

  • 泛洪攻击防范,包括以下三种:

    • TCP SYN泛洪攻击防范,限制TCP SYN报文的速率,防止CPU处理TCP SYN报文占用过多资源;
    • UDP泛洪攻击防范,对特定端口发送的UDP报文直接丢弃;
    • ICMP泛洪攻击防范,限制ICMP泛洪攻击报文的上送速率,防止CPU处理ICMP泛洪攻击报文占用过多资源。
配置攻击防范示例

实验拓扑:

在R1上配置攻击防范

复制代码
1.使能畸形报文攻击防范。 
<Huawei> system-view
[Huawei] sysname R1
[R1] anti-attack abnormal enable



2.使能分片报文攻击防范,并限制分片报文接收的速率为15000bit/s。 
[R1] anti-attack fragment enable
[R1] anti-attack fragment car cir 15000


3.使能泛洪攻击防范。 

# 使能TCP SYN攻击防范,并限制TCP SYN报文接收的速率为15000bit/s。
[R1] anti-attack tcp-syn enable
[R1] anti-attack tcp-syn car cir 15000


# 使能UDP泛洪攻击防范,对特定端口发送的UDP报文直接丢弃。
[R1] anti-attack udp-flood enable

# 使能ICMP泛洪攻击防范,并限制ICMP泛洪报文接收的速率为15000bit/s。
[R1] anti-attack icmp-flood enable
[R1] anti-attack icmp-flood car cir 15000

验证配置结果:

配置完成后,可以通过执行命令display anti-attack statistics查看报文攻击防范的统计数据。

由显示信息可知,R1上产生了TCP SYN报文的丢弃计数,表明攻击防范功能已经生效。

相关推荐
白帽黑客沐瑶3 天前
【网络安全就业】信息安全专业的就业前景(非常详细)零基础入门到精通,收藏这篇就够了
网络·安全·web安全·计算机·程序员·编程·网络安全就业
christine-rr3 天前
linux常用命令(4)——压缩命令
linux·服务器·redis
東雪蓮☆3 天前
深入理解 LVS-DR 模式与 Keepalived 高可用集群
linux·运维·服务器·lvs
树码小子3 天前
Java网络编程:(socket API编程:TCP协议的 socket API -- 回显程序的服务器端程序的编写)
java·网络·tcp/ip
猫林老师3 天前
HarmonyOS数据持久化:Preferences轻量级存储实战
华为·harmonyos
乌萨奇也要立志学C++3 天前
【Linux】进程概念(二):进程查看与 fork 初探
linux·运维·服务器
绿箭柠檬茶3 天前
Ubuntu 服务器配置转发网络访问
服务器·网络·ubuntu
real 13 天前
传输层协议UDP
网络·网络协议·udp
獭.獭.3 天前
Linux -- 信号【上】
linux·运维·服务器
路由侠内网穿透3 天前
本地部署 GPS 跟踪系统 Traccar 并实现外部访问
运维·服务器·网络·windows·tcp/ip