Step 8
配置局部的限速水线和攻击水线,只在该配置所属端口上生效。 rate-limit-pps是限速水线,取值范围是1到9999。 attack-threshold-pps是攻击水线,取值范围是Ruijie(config-if)#nfpp dhcpv6-guard policy per-src-mac rate-limit-pps attack-threshold-pps 1到9999。 缺省情况是端口没有自己的限速水线和攻击水线,采用全局的限速水线和攻击水线。 “per-src-mac”是基于链路层源MAC/VID/端口识别主机。 Step 9
Ruijie(config-if)#end 退回到特权模式。 核对配置参数 保存配置。 Step 10 Ruijie#show nfpp dhcpv6-guard summary Step 11 Ruijie#copy running-config startup-config 63.3.5.1.6 基于端口限速和识别攻击
每个端口都有限速水线和攻击阈值,限速水线必须低于攻击阈值。当某个端口的DHCPv6报文速度超过限速水线时,就丢弃超限DHCPv6报文。如果某个端口的DHCP报文速度超过攻击阈值,将记录到日志中,发送TRAP。 当端口遭受DHCPv6拒绝服务攻击时,打印的警告信息格式如下:
%NFPP_DHCPV6_GUARD-4-PORT_ATTACKED: DHCPv6 DoS attack was detected on port Gi4/1. (2009-07-01 13:00:00) 发送的TRAP报文的数据包含如下描述信息: DHCPv6 DoS attack was detected on port Gi4/1.
管理员可以在nfpp配置模式和接口配置模式下进行配置。
Step 1 Step 2 Step 3 Step 4
命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#dhcpv6-guard rate-limit per-port pps Ruijie(config-nfpp)#dhcpv6-guard attack-threshold per-port pps Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#interface interface-name 进入全局配置模式。 进入NFPP配置模式。 对每个端口的DHCPv6报文速度进行限制。 取值范围是1到9999,缺省值为150个。 配置攻击阈值,当某个端口的DHCPv6报文超过攻击阈值时,记录到日志,发送TRAP。 取值范围是1到9999,缺省值为300个。 退回到特权模式。 进入全局配置模式。 进入接口配置模式。 作用 Step 5 Step 6 Step 7
Step 8
Ruijie(config-if)#nfpp dhcpv6-guard policy per-port rate-limit-pps attack-threshold-pps 配置局部的限速水线和攻击水线,只在该配置所属端口上生效。 rate-limit-pps是限速水线,取值范围是1到9999。 attack-threshold-pps是攻击水线,取值范围是1到9999。 缺省情况是端口没有自己的限速水线和攻击水线,采用全局的限速水线和攻击水线。 Step 9
Ruijie(config-if)#end 退回到特权模式。 核对配置参数 保存配置。 Step 10 Ruijie#show nfpp dhcpv6-guard summary Step 11 Ruijie#copy running-config startup-config
? 注意
基于链路层源MAC地址限速优先于基于端口限速处理。
63.3.5.1.7 清除受监控主机
已被隔离的主机在一段时间后自动恢复,如果管理员要手动清除该主机,可以在特权模式下用以下命令清除。
Step 1
命令 Ruijie#clear nfpp dhcpv6-guard hosts [vlan vid] [interface interface-id] [mac-address] 作用 不带参数表示清除所有已被检测到攻击的主机,带参数表示清除符合条件的主机。 63.3.5.1.8 查看DHCPv6抗攻击的相关信息
? 查看DHCPv6抗攻击的配置参数 ? 查看受监控主机的信息
查看DHCPv6抗攻击的配置参数
使用show nfpp dhcpv6-guard summary查看DHCP抗攻击的配置参数:
Step 1
命令 Ruijie#show nfpp dhcpv6-guard summary 作用 查看DHCP抗攻击配置参数 下面是一个例子:
Ruijie# show nfpp dhcpv6-guard summary
(Format of column Rate-limit and Attack-threshold is per-src-ip/per-src-mac/per-port.)
Interface Status Isolate-period Rate-limit Attack-threshold
Global Enable 300 -/5/150 -/10/300 G 0/1 Enable 180 -/6/- -/8/-
G 0/2 Disable 200 -/5/30 -/10/50
Maximum count of monitored hosts: 1000 Monitor period:300s
? 字段Interface为Global表示全局配置。 ? 字段Status表示是否打开抗攻击功能。
? 字段Rate-limit的格式为(对源IP地址的限速水线/对源MAC地址的限速水线/端
? 说明 口的限速水线值),字段Attack-threshold的显示格式类似。“-”表示没有配置。举例说明:
(1) “-/5/150”表示对源MAC地址的限速水线是5,对每个端口的限速水线
是150。 (2) G 0/1这一行的字段Rate-limit为“-/6/-”,表示端口G 0/1对源MAC
地址的限速水线是6,没有配置对端口的限速水线。
查看受监控主机的信息
Step 1 Step 2
命令 Ruijie#show nfpp dhcpv6-guard hosts statistics Ruijie#show nfpp dhcpv6-guard hosts [vlan vid] [interface interface-id] [mac-address ] 作用 查看受监控主机表的统计信息,包括主机总数、隔离成功的主机数量和隔离失败的主机数量。 查看已被检测到攻击的主机。 不带参数表示显示所有已被检测到攻击的主机,带参数则只显示符合条件的主机。 Ruijie# show nfpp dhcpv6-guard hosts statistics success fail total ------ ---- ----- 100 20 120 表示:“总共有120台主机被监控,其中100台主机隔离成功,20台主机隔离失败”。
Ruijie# show nfpp dhcpv6-guard hosts If column 1 shows '*', it means \failed to isolate host\VLAN interface MAC address remain-time(s) ---- -------- ----------- ------------- *1 Gi0/1 0000.0000.0001 110 2 Gi0/2 0000.0000.2222 61 Total:2 host(s)
Ruijie# show nfpp dhcpv6-guard hosts vlan 1 interface g 0/1 0000.0000.0001 If column 1 shows '*', it means \failed to isolate host\VLAN interface MAC address remain-time(s) ---- -------- ----------- ------------- *1 Gi0/1 0000.0000.0001 110
Total:1 host(s)
上述几个字段分别表示VLAN号、端口、IP地址、MAC地址,以及隔离剩余时间。
? 说明
如果某一行的第一列显示“*”, 表示这台主机目前只是软件监控或者硬件因为资源不足而隔离失败。
63.3.6 ND抗攻击
63.3.6.1ND抗攻击简介
ND的全称是Neighbor Discovery,翻译成汉语是“邻居发现”,在IPv6网络中主要负责地址解析、路由器发现、前缀发现和重定向。邻居发现使用5类报文:邻居请求、邻居公告、路由器请求、路由器公告和重定向报文,英语名称分别为Neighbor Solicitation、Neighbor Advertisement、Router Solicitation、Router Advertisement和Redirect,前四类报文的英语缩写分别为NS、NA、RS和RA。下文把邻居发现使用的5类报文统称为ND报文。 ND snooping通过监听网络中的ND报文,过滤非法的ND报文,监听网络中的IPv6用户,并将监听到的IPv6用户绑定到端口,防止IPv6地址盗用。ND snooping要求把ND报文送CPU,如果ND报文的速率很高,会造成对CPU的攻击,所以需要实现ND guard,对ND报文进行限速。 ND guard按用途把ND报文分成3类:邻居请求和邻居公告为第一类,路由器请求为第二类,路由器公告和重定向报文为第三类。第一类报文用于地址解析;第二类报文用于主机发现网关;路由器公告用于通告网关和前缀,重定向报文用于通告更优的下一跳,都和路由有关系。所以划分到第三类。 目前仅实现基于物理端口识别ND报文攻击。可以对三类报文分别配置限速水线和告警水线。当ND报文速率超过限速水线时,超限的ND报文将被丢弃。当ND报文速率超过告警水线时,将打印警告信息,发送TRAP。 ND抗攻击的配置命令包括:
? 打开ND抗攻击功能 ? 基于端口限速和识别攻击 ? 查看ND抗攻击的相关信息
63.3.6.1.1 打开ND抗攻击功能
管理员可以在nfpp配置模式或者接口配置模式下打开ND抗攻击功能,缺省情况下就是打开的。
Step 1
命令 Ruijie#configure terminal 进入全局配置模式。 作用 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9
Ruijie(config)#nfpp Ruijie(config-nfpp)#nd-guard enable Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#interface interface-name Ruijie(config-if)#nfpp nd-guard enable Ruijie(config-if)#end Ruijie#show nfpp nd-guard summary 进入NFPP配置模式。 打开ND抗攻击功能,缺省情况下就是打开的。 退回到特权模式。 进入全局配置模式。 进入接口配置模式。 在端口上打开ND抗攻击功能,缺省情况是端口没有配置局部开关,采用全局开关。 退回到特权模式。 核对配置参数 保存配置。 Step 10 Ruijie#copy running-config startup-config 63.3.6.1.2 基于端口限速和识别攻击
每个端口都有限速水线和攻击阈值,限速水线必须低于攻击阈值。当某个端口的ND报文速度超过限速水线时,就丢弃超限ND报文。如果某个端口的ND报文速度超过攻击阈值,将记录到日志中,发送TRAP。
ND snooping把端口划分为非信任端口和信任端口,非信任端口连接主机,信任端口连接网关。由于通常信任端口的流量大于非信任端口的流量,所以信任端口的限速水线应该高于非信任端口的限速水线,开启ND snooping功能时,对于信任端口,ND snooping将通告ND guard把端口的三类报文限速水线都设置成每秒800个,把攻击水线都设置成每秒900个。 ND guard同等对待ND snooping设置的限速水线和管理员配置的限速水线,后配置的值覆盖先配置的值。具体的说,就是:“如果管理员在该端口上先配置限速水线,然后ND snooping设置限速水线,那么ND snooping设置限速水线覆盖管理员配置的限速水线;如果ND snooping先设置限速水线,然后管理员在该端口上配置限速水线,那么管理员配置的限速水线覆盖ND snooping设置的限速水线。” 在管理员保存配置的时候,将把ND snooping设置的限速水线保存到配置文件中。 ND snooping设置的攻击水线和管理员配置的攻击水线的关系类似。
当端口遭受邻居请求/公告拒绝服务攻击时,打印的警告信息格式如下:
%NFPP_ND_GUARD-4-PORT_ATTACKED: NS-NA DoS attack was detected on port Gi4/1. (2009-07-01 13:00:00) 发送的TRAP报文的数据包含如下描述信息: NS-NA DoS attack was detected on port Gi4/1.
当端口遭受路由器请求拒绝服务攻击时,打印的警告信息格式如下: