? 当不监控的可信主机表满时,打印提示信息“%ERROR: Attempt to exceed limit of
500 trusted hosts.”提醒管理员。
? 当受监控主机表中存在与可信主机相匹配的表项(IP地址相同)时,系统将自动
删除此IP地址对应的表项。
? 当删除可信主机失败时,打印提示信息“%ERROR: Failed to delete trusted host
1.1.1.0 255.255.255.0(配置的可信主机).”提醒管理员。
? 注意 ? 当添加可信主机失败时,打印提示信息“%ERROR: Failed to add trusted host
1.1.1.0 255.255.255.0(配置的可信主机).”提醒管理员。
? 当添加的可信主机已经存在时,打印提示信息“%ERROR: Trusted host 1.1.1.0
255.255.255.0(配置的可信主机)has already been configured.”提醒管理员。
? 当要删除的可信主机不存在时,打印提示信息“%ERROR: Trusted host 1.1.1.0
255.255.255.0(配置的可信主机)is not found.”提醒管理员。
? 当无法为可信主机分配内存时,打印提示信息“%ERROR: Failed to alloc
memory.”提醒管理员。
63.3.3.1.8 清除受监控主机
已被隔离的主机在一段时间后自动恢复,如果管理员要手动清除该主机,可以在特权模
式下用以下命令清除。
Step 1
命令 Ruijie#clear nfpp icmp-guard hosts [vlan vid] [interface interface-id] [ip-address] 作用 不带参数表示清除所有已被检测到攻击的主机,带参数表示清除符合条件的主机。 63.3.3.1.9 查看ICMP抗攻击的相关信息
? 查看
ICMP抗攻击的配置参数
? 查看受监控主机的信息 ? 查看不监控的
查看ICMP抗攻击的配置参数
使用show nfpp icmp-guard summary查看ICMP抗攻击的配置参数:
Step 1
命令 Ruijie#show nfpp icmp-guard summary 作用 查看ICMP抗攻击配置参数 下面是一个例子:
Ruijie# show nfpp icmp-guard summary
(Format of column Rate-limit and Attack-threshold is per-src-ip/per-src-mac/per-port.)
Interface Status Isolate-period Rate-limit Attack-threshold Global Enable 300 4/-/60 8/-/100 G 0/1 Enable 180 5/-/- 8/-/-
G 0/2 Disable 200 4/-/60 8/-/100
Maximum count of monitored hosts: 1000 Monitor period:300s
? 字段Interface为Global表示全局配置。 ? 字段Status表示是否打开抗攻击功能。
? 字段Rate-limit的格式为(对源IP地址的限速水线/对源MAC地址的限速水线/端
? 说明 口的限速水线值),字段Attack-threshold的显示格式类似。“-”表示没有配置。举例说明:
(1) “4/-/60”表示对源IP地址的限速水线是4,对每个端口的限速水线是
60。 (2) G 0/1这一行的字段Rate-limit为“5/-/-”,表示端口G 0/1对源IP地址
的限速水线是5,没有配置对端口的限速水线。
查看受监控主机的信息
Step 1 Step 2
命令 Ruijie#show nfpp icmp-guard hosts statistics 作用 查看受监控主机表的统计信息,包括主机总数、隔离成功的主机数量和隔离失败的主机数量。 查看已被检测到攻击的主机。 Ruijie#show nfpp icmp-guard hosts [vlan vid] 不带参数表示显示所有已被检测到攻击的主机,[interface interface-id] [ip-address ] 带参数则只显示符合条件的主机。 Ruijie#show nfpp icmp-guard hosts statistics success fail total ------- ---- ----- 100 20 120 表示:“总共有120台主机被监控,其中100台主机隔离成功,20台主机隔离失败”。
Ruijie# show nfpp icmp-guard hosts If column 1 shows '*', it means \failed to isolate host\VLAN interface IP address remain-time(s) ---- -------- --------- ------------- 1 Gi0/1 1.1.1.1 110 2 Gi0/2 1.1.2.1 61 Total:2 host(s)
Ruijie# show nfpp icmp-guard hosts vlan 1 interface g 0/1 1.1.1.1 If column 1 shows '*', it means \failed to isolate host\VLAN interface IP address remain-time(s) ---- -------- --------- ------------- 1 Gi0/1 1.1.1.1 80 Total:1 host(s)
上述几个字段分别表示VLAN号、端口、IP地址、MAC地址,以及隔离剩余时间。
? 说明
如果某一行的第一列显示“*”, 表示这台主机目前只是软件监控或者硬件因为资源不足而隔离失败。
查看不监控的可信主机
使用show nfpp icmp-guard trusted-host查看不受监控的可信主机:
Step 1
命令 Ruijie#show nfpp icmp-guard trusted-host 作用 查看不受监控的可信主机。 下面是一个例子:
Ruijie# show nfpp icmp-guard trusted-host IP address mask --------- ------
1.1.1.0 255.255.255.0 1.1.2.0 255.255.255.0 Total:2 record(s)
63.3.4 DHCP抗攻击
63.3.4.1DHCP抗攻击简介
DHCP协议被广泛地应用在局域网环境里来动态分配IP地址。DHCP协议对网络安全起着非常重要的意义。目前,存在的最广泛的DHCP攻击就是称为“DHCP耗竭”的攻击,这种攻击通过伪造的MAC地址来广播DHCP请求的方式进行。目前网络上存在多种这样的攻击工具都可以很容易地实现上述攻击。如果发出的DHCP请求足够多的话,网络攻击者就可以在一段时间内耗竭DHCP服务器所提供的地址空间,这样当一台合法的主机请求一个DHCP IP地址的时候无法成功,从而无法访问网络。对于这种攻击,防范措施是一方面对DHCP报文限速,另一方面检测出攻击源,对攻击源头采取隔离措施。 DHCP攻击识别分为基于主机和基于物理端口两个类别。基于主机方式是采用链路层源MAC地址/虚拟局域网号/端口三者结合来识别的。每种攻击识别都有限速水线和告警水线。当DHCP报文速率超过限速水线时,超限的DHCP报文将被丢弃。当DHCP报文速率超过告警水线时,将打印警告信息,发送TRAP,基于主机的攻击识别还会对攻击源头采取隔离措施。 DHCP抗攻击的配置命令包括:
? 63.3.4.1.1 打开DHCP抗攻击功能 ? 63.3.4.1.2 设置对攻击者的隔离时间 ? 63.3.4.1.3 设置对攻击者的监控时间 ? 63.3.4.1.4 设置受监控主机的最大数目 ? 63.3.4.1.5 基于主机限速和识别攻击
? 63.3.4.1.6 基于端口限速和识别攻击 ? 63.3.4.1.7 清除
? 63.3.4.1.8 查看DHCP抗攻击的相关信息
63.3.4.1.1 打开DHCP抗攻击功能
管理员可以在nfpp配置模式或者接口配置模式下打开DHCP抗攻击功能,缺省情况下就是打开的。
Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9
命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#dhcp-guard enable Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#interface interface-name Ruijie(config-if)#nfpp dhcp-guard enable Ruijie(config-if)#end Ruijie#show nfpp dhcp-guard summary 进入全局配置模式。 进入NFPP配置模式。 打开DHCP抗攻击功能,缺省情况下就是打开的。 退回到特权模式。 进入全局配置模式。 进入接口配置模式。 在端口上打开DHCP抗攻击功能,缺省情况是端口没有配置局部开关,采用全局开关。 退回到特权模式。 核对配置参数 保存配置。 作用 Step 10 Ruijie#copy running-config startup-config
? 注意
当关闭DHCP抗攻击功能时,系统将自动清除已经被监控的主机。
63.3.4.1.2 设置对攻击者的隔离时间
对攻击者的隔离时间分为全局隔离时间和基于端口的隔离时间(即局部隔离时间)。对于某个端口,如果没有配置基于端口的隔离时间,那么采用全局隔离时间;否则,采用基于端口的隔离时间。
Step 1 Step 2
命令 Ruijie#configure terminal Ruijie(config)#nfpp 进入全局配置模式。 进入NFPP配置模块 作用 Step 3
Ruijie(config-nfpp)#dhcp-guard isolate-period [seconds | permanent] Step 4 Step 5 Step 6 Step 7
Ruijie(config-if)#nfpp dhcp-guard isolate-period [seconds | permanent] Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#interface interface-name 配置对攻击者的全局隔离时间。 取值范围为0秒,30秒到86400秒(即一天),缺省值为0秒,表示不隔离;permanent表示永久隔离。 退回到特权模式。 进入全局配置模式。 进入接口配置模式。 在端口上配置对攻击者的隔离时间。 取值范围为0秒,180秒到86400秒(即一天),缺省情况是没有配置局部隔离时间,采用全局隔离时间。0秒表示不隔离;permanent表示永久隔离。 退回到特权模式。 核对配置参数 保存配置。 Step 8 Step 9 Step10
Ruijie(config-if)#end Ruijie#show nfpp dhcp-guard summary Ruijie#copy running-config startup-config 如果要把全局隔离时间恢复成缺省值,在nfpp配置模式执行命令“no dhcp-guard isolate-period”。如果一个端口原来配置了局部隔离时间,现在想采用全局隔离时间,那么在接口配置模式下执行命令“no nfpp dhcp-guard isolate-period”把局部隔离时间配置删除。 63.3.4.1.3 设置对攻击者的监控时间
如果隔离时间为0(即不隔离),防攻击模块将自动根据配置的监控时间对攻击者进行软件监控,提供当前系统中存在哪些攻击者的信息。当把隔离时间配置成非零值后,防攻击模块将自动对软件监控的主机采取硬件隔离。
Step 1 Step 2 Step 3
命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#dhcp-guard monitor-period seconds Ruijie(config-nfpp)#end Ruijie#show nfpp dhcp-guard summary Ruijie#copy running-config startup-config 进入全局配置模式。 进入NFPP配置模式 配置对攻击者的监控时间。 取值范围为180秒到86400秒(即一天),缺省值为600秒。 退回到特权模式。 核对配置参数 保存配置。 作用 Step 4 Step 5 Step 6
如果要把监控时间恢复成缺省值,在nfpp配置模式执行命令“no dhcp-guard monitor-period”。