VLAN interface MAC address remain-time(s) ---- -------- ----------- ------------- *1 Gi0/1 0000.0000.0001 110 Total:1 host(s)
上述几个字段分别表示VLAN号、端口、IP地址、MAC地址,以及隔离剩余时间。
? 说明
如果某一行的第一列显示“*”, 表示这台主机目前只是软件监控或者硬件因为资源不足而隔离失败。
63.3.5 DHCPv6抗攻击
63.3.5.1DHCPv6抗攻击简介
DHCPv6协议被广泛地应用在局域网环境里来动态分配IPv6地址。和DHCPv4协议一样,DHCPv6协议存在安全问题,对DHCPv4协议的攻击方法同样适用于DHCPv6协议。网络攻击者可以发出大量DHCPv6请求,在一段时间内耗竭DHCPv6服务器所提供的地址空间,这样当一台合法的主机请求一个IPv6地址的时候无法成功,从而无法访问网络。对于这种攻击,防范措施是一方面对DHCPv6报文限速,另一方面检测出攻击源,对攻击源头采取隔离措施。 DHCPv6攻击识别分为基于主机和基于物理端口两个类别。基于主机方式是采用链路层源MAC地址/虚拟局域网号/端口三者结合来识别的。每种攻击识别都有限速水线和告警水线。当DHCP报文速率超过限速水线时,超限的DHCPv6报文将被丢弃。当DHCPv6报文速率超过告警水线时,将打印警告信息,发送TRAP,基于主机的攻击识别还会对攻击源头采取隔离措施。 DHCPv6抗攻击的配置命令包括:
? 打开DHCPv6抗攻击功能 ? 设置对攻击者的隔离时间 ? 设置对攻击者的监控时间 ? 设置受监控主机的最大数目 ? 基于主机限速和识别攻击 ? 基于端口限速和识别攻击 ? 清除受监控主机
? 查看DHCPv6抗攻击的相关信息
63.3.5.1.1 打开DHCPv6抗攻击功能
管理员可以在nfpp配置模式或者接口配置模式下打开DHCPv6抗攻击功能,缺省情况下就是打开的。
命令 作用 Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9
Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#dhcpv6-guard enable Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#interface interface-name Ruijie(config-if)#nfpp dhcpv6-guard enable Ruijie(config-if)#end Ruijie#show nfpp dhcpv6-guard summary 进入全局配置模式。 进入NFPP配置模式。 打开DHCPv6抗攻击功能,缺省情况下就是打开的。 退回到特权模式。 进入全局配置模式。 进入接口配置模式。 在端口上打开DHCPv6抗攻击功能,缺省情况是端口没有配置局部开关,采用全局开关。 退回到特权模式。 核对配置参数 保存配置。 Step 10 Ruijie#copy running-config startup-config
? 注意
当关闭DHCPv6抗攻击功能时,系统将自动清除已经被监控的主机。
63.3.5.1.2 设置对攻击者的隔离时间
对攻击者的隔离时间分为全局隔离时间和基于端口的隔离时间(即局部隔离时间)。对于某个端口,如果没有配置基于端口的隔离时间,那么采用全局隔离时间;否则,采用基于端口的隔离时间。
Step 1 Step 2 Step 3
Ruijie(config-nfpp)#dhcpv6-guard isolate-period [seconds | permanent] Step 4 Step 5 Step 6
Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#interface interface-name 命令 Ruijie#configure terminal Ruijie(config)#nfpp 进入全局配置模式。 进入NFPP配置模块 配置对攻击者的全局隔离时间。 取值范围为0秒,30秒到86400秒(即一天),缺省值为0秒,表示不隔离;permanent表示永久隔离。 退回到特权模式。 进入全局配置模式。 进入接口配置模式。 作用 Step 7
Ruijie(config-if)#nfpp dhcpv6-guard isolate-period [seconds | permanent] 在端口上配置对攻击者的隔离时间。 取值范围为0秒,180秒到86400秒(即一天),缺省情况是没有配置局部隔离时间,采用全局隔离时间。0秒表示不隔离;permanent表示永久隔离。 退回到特权模式。 核对配置参数 保存配置。 Step 8 Step 9 Step10
Ruijie(config-if)#end Ruijie#show nfpp dhcpv6-guard summary Ruijie#copy running-config startup-config 如果要把全局隔离时间恢复成缺省值,在nfpp配置模式执行命令“no dhcpv6-guard isolate-period”。如果一个端口原来配置了局部隔离时间,现在想采用全局隔离时间,那么在接口配置模式下执行命令“no nfpp dhcpv6-guard isolate-period”把局部隔离时间配置删除。 63.3.5.1.3 设置对攻击者的监控时间
如果隔离时间为0(即不隔离),防攻击模块将自动根据配置的监控时间对攻击者进行软件监控,提供当前系统中存在哪些攻击者的信息。当把隔离时间配置成非零值后,防攻击模块将自动对软件监控的主机采取硬件隔离。
Step 1 Step 2 Step 3
命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#dhcpv6-guard monitor-period seconds Ruijie(config-nfpp)#end Ruijie#show nfpp dhcpv6-guard summary Ruijie#copy running-config startup-config 进入全局配置模式。 进入NFPP配置模式 配置对攻击者的监控时间。 取值范围为180秒到86400秒(即一天),缺省值为600秒。 退回到特权模式。 核对配置参数 保存配置。 作用 Step 4 Step 5 Step 6
如果要把监控时间恢复成缺省值,在nfpp配置模式执行命令“no dhcpv6-guard monitor-period”。
? 检测出攻击者的时候,如果隔离时间为0,将对攻击者进行软件监控,超时为监控
? 注意
时间。在软件监控过程中,当隔离时间被配置为非零值时,将自动对软件监控的攻击者采取硬件隔离,并且把超时设置为隔离时间。监控时间在隔离时间为0的情况下才有意义。
? 如果把隔离时间从非零值改成零,将直接把相关端口的攻击者删除,而不是进行
软件监控。
63.3.5.1.4 设置受监控主机的最大数目
Step 1 Step 2 Step 3
命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#dhcpv6-guard monitored-host-limit number Ruijie(config-nfpp)#end Ruijie#show nfpp dhcpv6-guard summary Ruijie#copy running-config startup-config 进入全局配置模式。 作用 进入NFPP配置模式。 配置受监控主机的最大数目。 取值范围为1到4294967295,缺省情况下受监控主机的最大数目为1000个。 退回到特权模式。 核对配置参数 保存配置。 Step 4 Step 5 Step 6
如果要把配置的最大受监控主机数恢复成缺省值,在nfpp配置模式执行命令“no dhcpv6-guard monitored-host-limit”。 如果受监控主机数已经达到默认的1000个,此时管理员把受监控主机的最大数目设置成小于1000,不会删除已有的受监控主机,而是打印信息“%ERROR:The value that you configured is smaller than current monitored hosts 1000(配置的受监控主机数) ,please clear a part of monitored hosts.”来提醒管理员配置没有生效,需要删除部分已经被监控的主机。
? 注意 当受监控主机表满时,打印日志“% NFPP_DHCPV6_GUARD-4-SESSION_LIMIT: Attempt to exceed limit of 1000(配置的受监控主机数) monitored hosts.”提醒管
理员。
63.3.5.1.5 基于主机限速和识别攻击
识别主机的方法为链路层源MAC/VID/端口。每台主机都有限速水线和攻击阈值(也称为告警水线),限速水线必须低于攻击阈值。当单台主机的DHCPv6报文速度超过限速水线时,就丢弃超限的DHCPv6报文。如果单台主机的DHCPv6报文速度超过攻击阈值,将采取隔离措施,记录到日志中,发送TRAP。 如果检测到攻击行为,打印的日志信息格式如下:
%NFPP_DHCPV6_GUARD-4-DOS_DETECTED: Host
DHCPv6 DoS attack from host
如果管理员把隔离时间配置成非零值,当硬件隔离成功时,打印的日志信息格式如下所示:
%NFPP_DHCPV6_GUARD-4-ISOLATED:Host
Host
当硬件隔离失败(原因通常是内存不足或者硬件资源不足)时,打印的日志信息格式如下所示:
%NFPP_DHCPV6_GUARD-4-ISOLATE_FAIL:Failed to isolate host
Failed to isolate host
? 注意 当无法为检测到的攻击者分配内存时,打印日志“%NFPP_DHCPV6_GUARD-4-N O_MEMORY: Failed to alloc memory.”提醒管理员。
管理员可以在nfpp配置模式和接口配置模式下进行配置。
Step 1 Step 2 Step 3
Ruijie(config-nfpp)#dhcpv6-guard rate-limit per-src-mac pps Step 4
Ruijie(config-nfpp)#dhcpv6-guard attack-threshold per-src-mac pps 命令 Ruijie#configure terminal Ruijie(config)#nfpp 进入全局配置模式。 进入NFPP配置模式。 全局对每台主机的DHCPv6报文速度进行限制。 取值范围是1到9999,缺省值为5个。 “per-src-mac”是基于链路层源MAC/VID/端口识别主机。 配置攻击阈值。当某台主机的DHCPv6报文超过攻击阈值时,就认为是在进行攻击,立即对这台主机采取隔离措施,记录到日志,发送TRAP。 取值范围是1到9999,缺省值为10个。 “per-src-mac”是基于链路层源MAC/VID/端口识别主机。 Step 5 Step 6 Step 7
Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#interface interface-name 退回到特权模式。 进入全局配置模式。 进入接口配置模式。 作用