Step 11 Ruijie(config-if)#end Step 12 Ruijie#show nfpp arp-guard summary Step 13 Ruijie#copy running-config startup-config 退回到特权模式。 核对配置参数 保存配置。 63.3.1.1.6 基于端口限速和识别攻击
每个端口都有限速水线和攻击阈值,限速水线必须低于攻击阈值。当某个端口的ARP报文速度超过限速水线时,就丢弃ARP报文。如果某个端口的ARP报文速度超过攻击阈值,将记录到日志中,发送TRAP。 当端口遭受ARP拒绝服务攻击时,打印的警告信息格式如下:
%NFPP_ARP_GUARD-4-PORT_ATTACKED: ARP DoS attack was detected on port Gi4/1. (2009-07-01 13:00:00) 发送的TRAP报文的数据包含如下描述信息: ARP DoS attack was detected on port Gi4/1.
管理员可以在nfpp配置模式和接口配置模式下进行配置。
Step 1 Step 2 Step 3 Step 4
命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#arp-guard rate-limit per-port pps Ruijie(config-nfpp)#arp-guard attack-threshold per-port pps Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#interface interface-name Ruijie(config-if)#nfpp arp-guard policy per-port rate-limit-pps attack-threshold-pps 进入全局配置模式。 进入NFPP配置模式 对每个端口的ARP报文速度进行限制。 取值范围是1到9999,缺省值为100个。 配置攻击阈值,当某个端口的ARP报文超过阈值时,记录到日志,发送TRAP。 取值范围是1到9999,缺省值为200个。 退回到特权模式。 进入全局配置模式。 进入接口配置模式。 作用 Step 5 Step 6 Step 7 Step 8
配置局部的限速水线和攻击水线,只在该配置所属端口上生效。 rate-limit-pps是限速水线,取值范围是1到9999。 attack-threshold-pps是攻击水线,取值范围是1到9999。 缺省情况是端口没有自己的限速水线和攻击水线,采用全局的限速水线和攻击水线。 Step 9
Ruijie(config-if)#end 退回到特权模式。 核对配置参数 保存配置。 Step 10 Ruijie#show nfpp arp-guard summary Step 11 Ruijie#copy running-config startup-config
? 基于MAC地址限速的优先级高于基于IP地址限速,而基于IP地址限速又高于基
于端口限速。
? 为了使ARP抗攻击得到最佳的防攻击效果,建议管理员配置基于主机的限速水线
? 注意 和告警水线时遵循以下原则:
基于IP地址的限速水线 < 基于IP地址的告警水线 < 基于源MAC地址的限速水线 < 基于源MAC地址的告警水线。
? 配置端口限速水线时,可以参考这个端口上的主机数量,比如某个端口上有500
台主机,那么可以把端口的限速水线设置成500。
63.3.1.1.7 清除受监控主机
已被隔离的主机在一段时间后自动恢复,如果管理员要手动清除该主机,可以在特权模式下用以下命令清除。
Step 1
命令 Ruijie#clear nfpp arp-guard hosts [vlan vid] [interface interface-id] [ip-address | mac-address] 作用 不带参数表示清除所有已被检测到攻击的主机,带参数表示清除符合条件的主机。 63.3.1.1.8 清除ARP扫描表
如果管理员要手动清除ARP扫描表,可以在特权模式下用以下命令清除。
Step 1
命令 Ruijie#clear nfpp arp-guard scan 清空ARP扫描表 作用 63.3.1.1.9 查看ARP抗攻击的相关信息
? 查看
ARP抗攻击的配置参数 ARP扫描表
? 查看受监控主机的信息 ? 查看
查看ARP抗攻击的配置参数
使用show nfpp arp-guard summary查看ARP抗攻击的配置参数:
Step 1
命令 Ruijie#show nfpp arp-guard summary 作用 查看ARP抗攻击配置参数 下面是一个例子:
Ruijie# show nfpp arp-guard summary
(Format of column Rate-limit and Attack-threshold is per-src-ip/per-src-mac/per-port.)
Interface Status Isolate-period Rate-limit Attack-threshold Scan-threshold
Global Enable 300 4/5/60 8/10/100 15 G 0/1 Enable 180 5/-/- 8/-/- -
G 0/2 Disable 200 4/5/60 8/10/100 20
Maximum count of monitored hosts: 1000 Monitor period:300s ? 字段Interface为Global表示全局配置。 ? 字段Status表示是否打开抗攻击功能。
? 字段Rate-limit的格式为(对源IP地址的限速水线/对源MAC地址的限速水线/端
? 说明
口的限速水线值),字段Attack-threshold的显示格式类似。“-”表示没有配置。举例说明:
? “4/5/60”表示对源IP地址的限速水线是4,对源MAC地址的限速水线是5,
对每个端口的限速水线是60。 ? G 0/1这一行的字段Rate-limit为“5/-/-”,表示端口G 0/1对源IP地址的限
速水线是5,没有配置对源MAC地址的限速水线和端口的限速水线。
查看受监控主机的信息
Step 1 Step 2
命令 Ruijie#show nfpp arp-guard hosts statistics Ruijie#show nfpp arp-guard hosts [vlan vid] [interface interface-id] [ip-address | mac-address] 作用 查看受监控主机表的统计信息,包括主机总数、隔离成功的主机数量和隔离失败的主机数量。 查看已被检测到攻击的主机。 不带参数表示显示所有已被检测到攻击的主机,带参数则只显示符合条件的主机。 Ruijie#show nfpp arp-guard hosts statistics success fail total ------- ---- ----- 100 20 120
意思是:“总共有120台主机被隔离,其中100台主机隔离成功,20台主机隔离失败”。
Ruijie# show nfpp arp-guard hosts
If column 1 shows '*', it means \VLAN interface IP address MAC address remain-time(s) ---- -------- --------- ----------- ------------- 1 Gi0/1 1.1.1.1 - 110 2 Gi0/2 1.1.2.1 - 61
*3 Gi0/3 - 0000.0000.1111 110 4 Gi0/4 - 0000.0000.2222 61 Total:4 hosts
Ruijie# show nfpp arp-guard hosts vlan 1 interface G 0/1 1.1.1.1
If column 1 shows '*', it means \VLAN interface IP address MAC address remain-time(s) ---- -------- --------- ----------- ------------- 1 Gi0/1 1.1.1.1 - 110 Total:1 host
上述几个字段分别表示VLAN号、端口、IP地址、MAC地址,以及隔离剩余时间。
? 说明
如果某一行的第一列显示“*”, 表示这台主机目前只是软件监控或者硬件因为资源不足而隔离失败。
如果“MAC address”栏显示“-”,表示这台主机是以源IP地址标识的;如果“IP address”栏显示“-”,表示这台主机是以源MAC地址标识的。
查看ARP扫描表
Step 1 Step 2
命令 Ruijie#show nfpp arp-guard scan statistic Ruijie#show nfpp arp-guard scan [vlan vid] [interface interface-id] [ip-address] [mac-address] 作用 查看ARP扫描表的记录条数 查看ARP扫描表的记录 不带参数表示查看整张ARP扫描表,带参数表示只查看符合条件的表项。 Ruijie# show nfpp arp-guard scan statistics ARP scan table has 4 record(s). 意思是:“ARP扫描表总共有4条记录”。
Ruijie# show nfpp arp-guard scan
VLAN interface IP address MAC address timestamp ---- -------- ---------- ----------- ---------- 1 Gi0/1 N/A 0000.0000.0001 2008-01-23 16:23:10
2 Gi0/2 1.1.1.1 0000.0000.0002 2008-01-23 16:24:10 3 Gi0/3 N/A 0000.0000.0003 2008-01-23 16:25:10 4 Gi0/4 N/A 0000.0000.0004 2008-01-23 16:26:10 Total:4 record(s)
“timestamp”记录的是检测出ARP扫描的时间,如“2008-01-23 16:23:10”表示在2008年1月23日16点23分10秒检测出ARP扫描。
Ruijie# show nfpp arp-guard scan vlan 1 interface G 0/1 0000.0000.0001
VLAN interface IP address MAC address timestamp ---- -------- ---------- ----------- ---------- 1 Gi0/1 N/A 0000.0000.0001 2008-01-23 16:23:10 Total:1 record(s)
63.3.2 IP防扫描
63.3.2.1IP防扫描简介
众所周知,许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的。因此大量的扫描报文急剧占用了网络带宽,导致网络通讯无法正常进行。 为此,锐捷三层设备提供了防IP攻击的功能,用以防止黑客扫描和类似“冲击波”病毒的攻击,还能减少三层设备的CPU负担。 目前发现的IP攻击主要有两种:
(1) 目的IP地址变化的扫描。这种扫描是最危害网络的,不但消耗网络带宽,增加
设备的负担,而且更是大部分黑客攻击手段的前奏。 (2) 向不存在目的IP地址高速发送IP报文。这种攻击主要是针对设备CPU的负担
来设计。对三层设备来说,如果目的IP地址存在,则报文会被交换芯片直接转发,不会占用设备CPU的资源,而如果目的IP地址不存在,IP报文会送到CPU,由CPU发送ARP请求询问目的IP地址对应的MAC地址,如果送到CPU的报文太多,会消耗CPU资源。当然,这种攻击的危害比第一种小得多了。 对于“向不存在的目的IP地址高速发IP报文”这种IP攻击,防范措施是一方面对IP报文限速,另一方面检测出攻击源,对攻击源头采取隔离措施。 IP攻击识别分为基于主机和基于物理端口两个类别。基于主机是采用源IP地址/VLAN ID/物理端口三者结合识别的。每种攻击识别都有限速水线和告警水线。当IP报文速率超过限速水线时,超限报文将被丢弃。当IP报文速率超过告警水线时,将打印警告信息,发送TRAP,基于主机的攻击识别还会对攻击源头采取隔离措施。
需要特别说明的是,IP防扫描针对的是目的IP地址不是本机IP地址的IP报文攻击。对于目的IP地址是本机IP地址的IP报文,则由CPP(CPU Protect Policy)限速。 二层交换机不支持IP防扫描,仅三层交换机支持IP防扫描。
? 注意
对检测出有IP扫描嫌疑的主机,如果在端口上打开IP防扫描功能,并且配置的隔离时间
是非零值,将采取隔离措施。, IP抗攻击的配置命令包括:
? 打开IP防扫描功能 ? 设置对攻击者的隔离时间 ? 设置对攻击者的监控时间 ? 设置受监控主机的最大数目 ? 基于主机限速和识别攻击 ? 基于端口限速和识别攻击 ? 设置不监控的可信主机 ? 清除受监控主机
? 查看IP防扫描的相关信息