如何配置攻击溯源?

• 2019 年 11 月 29 日
• 筆記

查看上送CPU的报文统计信息，如果某种类型的报文上送或丢弃的数量较大，则可以初步判断网络中存在这种报文类型的网络攻击。

<HUAWEI> reset cpu-defend statistics      //清除上送CPU报文的统计信息，并等待一段时间……  <HUAWEI> display cpu-defend statistics all  //查看上送CPU报文的统计信息  

例如黑客通过控制网络中主机发送大量的ping报文（ICMP），造成网络设备花费大量资源处理攻击报文，CPU占用率高，合法用户业务中断。

那么出现网络攻击时，如何快速定位攻击源呢？

攻击溯源通过对上送CPU的报文进行采样分析，如果报文速率（pps）超过设置的阈值，则认为是攻击报文。

对攻击报文进行分析，可以找到攻击源的IP地址、MAC地址、接口和VLAN。

实现原理

报文解析

根据采样比对上送CPU的报文进行采样并解析

流量分析

• 对采样的报文进行分析，缺省情况下： a. 分析报文的源IP地址、源MAC地址、源接口+VLAN信息 b. 分析7种类型的报文：ARP，DHCP，ICMP，IGMP，TCP，Telnet和TTL-expired
• 如果报文速率超过了设置的检查阈值，则认为这种类型的报文是攻击报文

攻击源识别

对识别出来的攻击源发送告警，便于管理员查看 通过display auto-defend attack-source命令查看

攻击源惩罚

• 将攻击报文进行丢弃
• 将攻击报文进入的接口shutdown （谨慎使用）
• 其他（配置流策略或者黑名单）

配置思路

1. 创建防攻击策略
2. 配置攻击溯源 （采样比、检查阈值、溯源模式、防范的报文类型、白名单、告警功能、惩罚措施）
3. 应用防攻击策略

操作步骤

<HUAWEI> system-view  //进入系统视图  [HUAWEI] cpu-defend policy test    //创建防攻击策略，策略名为test  [HUAWEI-cpu-defend-policy-test] auto-defend enable   //使能攻击溯源功能  [HUAWEI-cpu-defend-policy-test] auto-defend threshold 64   //配置攻击溯源检查阈值  [HUAWEI-cpu-defend-policy-test] auto-defend attack-packet sample 10  //配置攻击溯源采样比  [HUAWEI-cpu-defend-policy-test] auto-defend alarm enable                 //使能攻击溯源告警功能  [HUAWEI-cpu-defend-policy-test] auto-defend alarm threshold  64  //配置攻击溯源告警阈值  [HUAWEI-cpu-defend-policy-test] auto-defend action deny             //配置攻击溯源的惩罚措施  [HUAWEI-cpu-defend-policy-test] quit   //返回系统视图  [HUAWEI] cpu-defend-policy test  global   //应用防攻击策略