攻击检测与防范.docxVIP

1?攻击检测及防范 1.1??攻击检测及防范简介 攻击检测及防范是一个重要的网络安全特性，它通过分析经过设备的报文的内容和行为，判断报文是否具有攻击特征，并根据配置对具有攻击特征的报文执行一定的防范措施，例如输出告警日志、丢弃报文、加入黑名单或客户端验证列表。 本特性能够检测单包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击，并能对各类型攻击采取合理的防范措施。 1.2??攻击检测及防范的类型 1.2.1??单包攻击 单包攻击也称为畸形报文攻击，主要包括以下三种类型： ??????攻击者通过向目标系统发送带有攻击目的的IP报文，如分片重叠的IP报文、TCP标志位非法的报文，使得目标系统在处理这样的IP报文时出错、崩溃； ??????攻击者可以通过发送正常的报文，如ICMP报文、特殊类型的IP option报文，来干扰正常网络连接或探测网络结构，给目标系统带来损失； ??????攻击者还可通过发送大量无用报文占用网络带宽，造成拒绝服务攻击。 1.2.2??扫描攻击 扫描攻击是指，攻击者运用扫描工具对网络进行主机地址或端口的扫描，通过准确定位潜在目标的位置，探测目标系统的网络拓扑结构和开放的服务端口，为进一步侵入目标系统做准备。 ??????IP Sweep攻击 攻击者发送大量目的IP地址变化的探测报文，通过收到的回应报文来确定活跃的目标主机，以便针对这些主机进行下一步的攻击。 ??????Port scan攻击 攻击者获取了活动目标主机的IP地址后，向目标主机发送大量目的端口变化的探测报文，通过收到的回应报文来确定目标主机开放的服务端口，然后针对活动目标主机开放的服务端口选择合适的攻击方式或攻击工具进行进一步的攻击。 ??????分布式Port scan攻击 攻击者控制多台主机，分别向特定目标主机发送探测报文，通过收集所有被控制的主机的回应报文，确定目标主机开启的服务端口，以便进一步实施攻击。 1.2.3??泛洪攻击 泛洪攻击是指攻击者在短时间内向目标系统发送大量的虚假请求，导致目标系统疲于应付无用信息，从而无法为合法用户提供正常服务，即发生拒绝服务。 1.13??攻击检测及防范典型配置举例 1.13.1??在接口上配置攻击检测及防范 1.?组网需求 Router上的接口GigbitEthernet1/0/1与内部网络连接，接口GigbitEthernet1/0/2与外部网络连接，接口GigbitEthernet1/0/3与一台内部服务器连接。现有如下安全需求： ??????为防范外部网络对内部网络主机的Smurf攻击和扫描攻击，需要在接口GigabitEthernet1/0/2上开启Smurf攻击防范和扫描攻击防范。具体要求为：低防范级别的扫描攻击防范；将扫描攻击者添加到黑名单中（老化时间为10分钟）；检测到Smurf攻击或扫描攻击后，输出告警日志。 ??????为防范外部网络对内部服务器的SYN flood攻击，需要在接口GigabitEthernet1/0/2上开启SYN flood攻击防范。具体要求为：当设备监测到向内部服务器每秒发送的SYN报文数持续达到或超过5000时，输出告警日志并丢弃攻击报文。 2.?组网图 图1-7?接口上的攻击检测与防范配置典型组网图 ? ? 3.?配置步骤 #?配置各接口的IP地址，略。 #?开启全局黑名单过滤功能。 Router system-view [Router] blacklist global enable #?创建攻击防范策略a1。 [Router] attack-defense policy a1 #?开启Smurf单包攻击报文的特征检测，配置处理行为为输出告警日志。 [Router-attack-defense-policy-a1] signature detect smurf action logging #?开启低防范级别的扫描攻击防范，配置处理行为输出告警日志以及阻断并将攻击者的源IP地址加入黑名单表项（老化时间为10分钟）。 [Router-attack-defense-policy-a1] scan detect level low action logging block-source timeout 10 #?为保护IP地址为10.1.1.2的内部服务器，配置针对IP地址10.1.1.2的SYN flood攻击防范参数，触发阈值为5000，处理行为输出告警日志并丢弃攻击报文。 [Router-attack-defense-policy-a1] syn-flood detect ip 10.1.1.2 threshold 5000 action logging drop [Router-attack-defense-policy-a1] quit #?在接口Gig