Step 7 Step 8
Ruijie(config)#interface interface-name Ruijie(config-if)#nfpp ip-guard policy per-port rate-limit-pps attack-threshold-pps 进入接口配置模式。 配置局部的限速水线和攻击水线,只在该配置所属端口上生效。 rate-limit-pps是限速水线,取值范围是1到9999。 attack-threshold-pps是攻击水线,取值范围是1到9999。 缺省情况是端口没有自己的限速水线和攻击水线,采用全局的限速水线和攻击水线。 Step 9 Ruijie(config-if)#end 退回到特权模式。 核对配置参数 保存配置。 Step 10 Ruijie#show nfpp ip-guard summary Step 11 Ruijie#copy running-config startup-config
? 注意
基于源IP地址限速优先级高于基于端口限速。
63.3.2.1.7 设置不监控的可信主机
如果管理员希望对某台主机不进行监控,即对该主机表示信任,则可以通过该命令配置。该可信主机发往CPU的IP报文将被允许发往CPU。
Step 1 Step 2 Step 3 Step 4 Step 5 Step 6
命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#ip-guard trusted-host ip mask Ruijie(config-nfpp)#end Ruijie#show nfpp ip-guard trusted-host Ruijie#copy running-config startup-config 进入全局配置模式。 进入NFPP配置模式 作用 配置不进行监控的IP地址范围。 最多能够配置500条。 退回到特权模式。 查看配置的可信主机 保存配置。 在nfpp配置模式下,可以使用该命令的no选项删除一条可信主机表项。使用命令的no 和all选项可以删除所有可信主机。 例如删除所有可信主机:
Ruijie(config-nfpp)# no ip-guard trusted-host all 或删除单条可信主机表项:
Ruijie(config-nfpp)# no ip-guard trusted-host 1.1.1.1 255.255.255.255
? 当不监控的可信主机表满时,打印提示信息“%ERROR: Attempt to exceed limit of
500 trusted hosts.”提醒管理员。
? 当受监控主机表中存在与可信主机相匹配的表项(IP地址相同)时,系统将自动
删除此IP地址对应的表项。
? 当删除可信主机失败时,打印提示信息“%ERROR: Failed to delete trusted host
1.1.1.0 255.255.255.0(配置的可信主机).”提醒管理员。
? 注意 ? 当添加可信主机失败时,打印提示信息“%ERROR: Failed to add trusted host
1.1.1.0 255.255.255.0(配置的可信主机).”提醒管理员。
? 当添加的可信主机已经存在时,打印提示信息“%ERROR: Trusted host 1.1.1.0
255.255.255.0(配置的可信主机)has already been configured.”提醒管理员。
? 当要删除的可信主机不存在时,打印提示信息“%ERROR: Trusted host 1.1.1.0
255.255.255.0(配置的可信主机)is not found.”提醒管理员。
? 当无法为可信主机分配内存时,打印提示信息“%ERROR: Failed to alloc
memory.”提醒管理员。
63.3.2.1.8 清除受监控主机
已被隔离的主机在一段时间后自动恢复,如果管理员要手动清除该主机,可以在特权模
式下用以下命令清除。
Step 1
命令 Ruijie# clear nfpp ip-guard hosts [vlan vid] [interface interface-id] [ip-address] 作用 不带参数表示清除所有已被检测到攻击的主机,带参数表示清除符合条件的主机。 63.3.2.1.9 查看IP防扫描的相关信息
? 查看IP防扫描的配置参数 ? 查看受监控主机的信息 ? 查看不监控的可信主机
查看IP防扫描的配置参数
使用show nfpp ip-guard summary查看IP抗攻击的配置参数:
Step 1
命令 Ruijie#show nfpp ip-guard summary 作用 查看IP抗攻击配置参数 下面是一个例子:
Ruijie# show nfpp ip-guard summary
(Format of column Rate-limit and Attack-threshold is per-src-ip/per-src-mac/per-port.)
Interface Status Isolate-period Rate-limit Attack-threshold Scan-threshold
Global Enable 300 4/-/60 8/-/100 15
G 0/1 Enable 180 5/-/- 8/-/- -
G 0/2 Disable 200 4/-/60 8/-/100 20
Maximum count of monitored hosts: 1000 Monitor period:300s ? 字段Interface为Global表示全局配置。 ? 字段Status表示是否打开抗攻击功能。
? 字段Rate-limit的格式为(对源IP地址的限速水线/对源MAC地址的限速水线/端
? 说明
口的限速水线值),字段Attack-threshold的显示格式类似。“-”表示没有配置。举例说明:
? “4/-/60”表示对源IP地址的限速水线是4,对每个端口的限速水线是60。 ? G 0/1这一行的字段Rate-limit为“5/-/-”,表示端口G 0/1对源IP地址的限
速水线是5,没有配置对端口的限速水线。
查看受监控主机的信息
Step 1 Step 2
命令 Ruijie#show nfpp ip-guard hosts statistics Ruijie#show nfpp ip-guard hosts [vlan vid] [interface interface-id] [ip-address | mac-address] 作用 查看受监控主机表的统计信息,包括主机总数、隔离成功的主机数量和隔离失败的主机数量。 查看已被检测到攻击的主机。 不带参数表示显示所有已被检测到攻击的主机,带参数则只显示符合条件的主机。 Ruijie#show nfpp ip-guard hosts statistics success fail total ------- ---- ----- 100 20 120
意思是:“总共有120台主机被隔离,其中100台主机隔离成功,20台主机隔离失败”。
Ruijie#show nfpp ip-guard hosts
If column 1 shows '*', it means \VLAN interface IP address Reason remain-time(s) ---- -------- --------- ------- ------------- 1 Gi0/1 1.1.1.1 ATTACK 110 2 Gi0/2 1.1.2.1 SCAN 61 Total:2 host(s)
Ruijie#show nfpp ip-guard hosts vlan 1 interface g 0/1 1.1.1.1 If column 1 shows '*', it means \VLAN interface IP address Reason remain-time(s) ---- -------- --------- ------- ------------- 1 Gi0/1 1.1.1.1 ATTACK 110 Total:1 host(s)
上述几个字段分别表示VLAN号、端口、IP地址、被监控原因,以及隔离剩余时间。
? 说明
如果某一行的第一列显示“*”, 表示这台主机目前只是软件监控或者硬件因为资源不足而隔离失败。
第四个字段“Reason”描述主机被监控的原因,“ATTACK”表示主机发送IP报文的速度超过攻击水线,“SCAN”表示主机在扫描某个网段。
查看不监控的可信主机
Step 1
命令 Ruijie# show nfpp ip-guard trusted-host 作用 查看不受监控的可信主机 下面是一个例子: Ruijie#show nfpp ip-guard trusted-host IP address mask --------- ------
1.1.1.0 255.255.255.0 1.1.2.0 255.255.255.0 Total:2 record(s)
63.3.3 ICMP抗攻击
63.3.3.1ICMP抗攻击简介
ICMP协议作为诊断网络故障的常用手段,它的基本原理是主机发出ICMP回音请求报文(ICMP echo request),路由器或者交换机接收到这个请求报文后会回应一个ICMP 回音应答(ICMP echo reply)报文。在上述这个处理过程中需要设备的CPU进行处理,这样就必然需要消耗CPU的一部分资源。如果攻击者向目标设备发送大量的ICMP回音请求,这样势必会导致设备的CPU资源被大量消耗,严重的情况可能导致设备无法正常工作,这种攻击方式也被人们命名为“ICMP洪水”。对于这种攻击,防范措施是一方面对ICMP报文限速,另一方面检测出攻击源,对攻击源头采取隔离措施。 ICMP攻击识别分为基于主机和基于物理端口两个类别。基于主机方式是采用源IP地址/虚拟局域网号/端口三者结合来识别的。每种攻击识别都有限速水线和告警水线。当ICMP报文速率超过限速水线时,将被丢弃。当ICMP报文速率超过告警水线时,将打印警告信息,发送TRAP,基于主机的攻击识别还会对攻击源头采取隔离措施。 63.3.3.1.1 打开ICMP抗攻击功能
管理员可以在nfpp配置模式或者接口配置模式下打开ICMP抗攻击功能,缺省情况下就是打开的。
Step 1
命令 Ruijie#configure terminal 进入全局配置模式。 作用 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9
Ruijie(config)#nfpp Ruijie(config-nfpp)#icmp-guard enable Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#interface interface-name Ruijie(config-if)#nfpp icmp-guard enable Ruijie(config-if)#end Ruijie#show nfpp icmp-guard summary 进入NFPP配置模式。 打开ICMP抗攻击功能,缺省情况下启动。 退回到特权模式。 进入全局配置模式。 进入接口配置模式。 在端口上打开ICMP抗攻击功能,缺省情况是端口没有配置局部开关,采用全局开关。 退回到特权模式。 核对配置参数 保存配置。 Step 10 Ruijie#copy running-config startup-config
? 注意
当关闭ICMP抗攻击功能时,系统将自动清除已经被监控的主机。
63.3.3.1.2 设置对攻击者的隔离时间
对攻击者的隔离时间分为全局隔离时间和基于端口的隔离时间(即局部隔离时间)。对于某个端口,如果没有配置基于端口的隔离时间,那么采用全局隔离时间;否则,采用基于端口的隔离时间。
Step 1 Step 2 Step 3
Ruijie(config-nfpp)#icmp-guard isolate-period [seconds | permanent] Step 4 Step 5 Step 6 Step 7
Ruijie(config-if)#nfpp icmp-guard isolate-period[seconds | permanent] Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#interface interface-name 命令 Ruijie#configure terminal Ruijie(config)#nfpp 进入全局配置模式。 进入NFPP配置模式 配置对攻击者的全局隔离时间。 取值范围为0秒,30秒到86400秒(即一天),缺省值为0秒,表示不隔离;permanent表示永久隔离。 退回到特权模式。 进入全局配置模式。 进入接口配置模式。 在端口上配置对攻击者的隔离时间。 取值范围为0秒,180秒到86400秒(即一天),缺省情况是没有配置局部隔离时间,采用全局隔离时间。0秒表示不隔离;permanent表示永久隔离。 退回到特权模式。 作用 Step 8
Ruijie(config-if)#end