交换机攻防见招拆招
- 格式:doc
- 大小:641.19 KB
- 文档页数:71
1 S系列交换机攻击处理
1.1 如何确定攻击类型
当设备遭受攻击时,通常伴随着如下现象:
l 用户无法获取ARP。
l 用户上线成功率较低。
l 用户无法访问网络。
当大量用户或固定某个端口下的所有用户出现上述现象时,可以先通过如下定位手段分析是否为攻击问题。
步骤1 执行命令display cpu-usage查看设备CPU占用率的统计信息,CPU Usage表示的是CPU占用率,TaskName表示的是设备当前正在运行的任务名称。
如果CPU利用率持续较高,并且bcmRX、FTS、SOCK或者VPR任务过高(通常协议报文攻击会导致这些任务过高),则较大可能是收到的报文过多,接下来需要执行步骤2继续判断设备收到的报文类型。
一般情况下,交换机长时间运行时CPU占用率不超过80%,短时间内CPU占用率不超过95%,可认为交换机状态是正常的。
步骤2 执行命令display cpu-defend statistics all查看相关协议是否有CPCAR丢包、丢包是否多,并确认现网设备是否放大相关协议的CPCAR值。如果C PCAR存在大量丢包,就基本可以确认现网存在攻击,根据丢包的协议,采用相关防攻击措施。具体有哪些常见的丢包协议,请参见表1-1。
表1-1 丢包协议以及相应的防攻击部署手段
Packet Type
可以参考的攻击类型
arp-reply、arp-request
1.2.1 ARP攻击、1.2.8 TC攻击
arp-miss
1.2.2 ARP-Miss攻击
dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request 1.2.3 DHCP攻击
icmp
1.2.4 ICMP攻击
ttl-expired
1.2.5 TTL攻击
tcp
1.2.6 TCP攻击
ospf
1.2.7 OSPF攻击
ssh、telnet
1.2.9 SSH/Telnet攻击
vrrp
1.2.10 VRRP攻击
igmp
1.2.11 IGMP攻击
pim
1.2.12 PIM攻击
V200R003版本以及之后版本支持端口防攻击功能,对于V200R003版本以及之后版本,有可能存在这样的情况:即使Drop计数不再增长,也是有可能存在攻击的。所以对于V200 R003版本以及之后版本,还需要继续执行步骤3进一步确认丢包协议。
步骤3 可以通过如下两种方式确认。
方法一:在诊断视图中执行命令display auto-port-defend statistics [ slot slot-id ]查看是否有对应协议的丢包。具体有哪些常见的丢包协议,请参见表1-2。
表1-2 丢包协议以及相应的防攻击部署手段
Protocol
可以参考的攻击类型
arp-reply、arp-request
1.2.1 ARP攻击、1.3.8 TC攻击
arp-miss
1.2.2 ARP-Miss攻击
dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request
1.2.3 DHCP攻击
icmp
1.2.4 ICMP攻击
ttl-expired
1.2.5 TTL攻击
1.2.6 TCP攻击
ospf
1.2.7 OSPF攻击
ssh、telnet
1.2.9 SSH/Telnet攻击
vrrp
1.2.10 VRRP攻击
igmp
1.2.11 IGMP攻击
pim
1.2.12 PIM攻击
方法二:对于历史上曾经触发过端口防攻击也可以通过日志来确定。日志格式如下,其中A ttackProtocol表示的是攻击报文的协议类型。
SECE/4/PORT_ATTACK_OCCUR:Auto port-defend started.(SourceAttackInterface=[STRING], AttackProtocol=[STRING]) SECE/6/PORT_ATTACK_END:Auto port-defend stop.(SourceAttackInterface=[STRING], AttackProtocol=[STRING])
----结束
1.2 根据攻击类型部署防攻击手段1.
2.1 ARP攻击1.2.1.1 ARP泛洪攻击
攻击简介
如下图所示,局域网中用户通过SwitchA和SwitchB接入连接到Gateway访问Internet。当网络中出现过多的ARP报文时,会导致网关设备CPU负载加重,影响设备正常处理用户的其它业务。另一方面,网络中过多的ARP报文会占用大量的网络带宽,引起网络堵塞,从而影响整个网络通信的正常运行。
现象描述
l 网络设备CPU占有率较高,正常用户不能学习ARP甚至无法上网。
l Ping不通。
l 网络设备不能管理。
定位思路
定位手段
命令行
适用版本形态
查看ARP临时表项
display arp
V100R006C05版本以及之后版本
查看arp-request的CPCAR计数
display cpu-defend statistics packet-type arp-request all
V100R006C05版本以及之后版本
查看攻击溯源结果
display auto-defend attack-source [ slot slot-id ]
V200R003版本以及之后版本
步骤1 执行命令display arp查看受影响用户的ARP是否学习不到。如果MAC ADDRESS字段显示为Incomplete,表示有ARP学习不到,有可能设备遭受AR P攻击。