开启核心交换IP 欺骗攻击防范功能、Land 攻击防范功能、Smurf 攻击防范功能、YN Flood 攻击防范功能、ICMP Flood 攻击防范功能、Ping of Death 攻击防范功能、TearDrop 攻击防范功能,由于配置交换机安全配置,会占用大量设备资源,请综合考虑是否进行配置;
一.配置Land 攻击防范功能
land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。
操作step
step1 执行命令system-view,进入系统视图。
step2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。
step3 执行命令quit,退回系统视图。
step4 执行命令firewall enable,打开攻击防范使能开关。
step5 执行命令interface vlanif vlan-id,进入VLANIF 接口视图。
step6 执行命令firewall defend enable,打开攻击防范使能开关。
step7 执行命令quit,退回系统视图。
step8 执行命令firewall defend land enable,使能Land 攻击防范功能。
缺省情况下,Land 攻击防范功能处于关闭状态。
查看S-switch 设备配置的攻击防范信息display firewall defend flag
使用display firewall defend flag 命令查看S-switch 设备配置的攻击防范信息,显示
“land”表示Land 攻击防范功能已经使能。
二. 配置Smurf 攻击防范功能
原理:攻击者向网络广播地址发送ICMP包,并将回复地址设置成受害网络的广播地址,通过使用ICMP应答请求数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对次ICMP应答请求作出答复,导致网络阻塞。更加复杂的Smurf攻击攻击将源地址改为第三方受害者,最终导致第三方崩溃。
背景信息
在需要配置Smurf 攻击防范的S-switch 上进行如下配置。
操作step
step1 执行命令system-view,进入系统视图。
step2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。
step3 执行命令quit,退回系统视图。
step4 执行命令firewall enable,打开攻击防范使能开关。
step5 执行命令interface vlanif vlan-id,进入VLANIF 接口视图。
step6 执行命令firewall defend enable,打开攻击防范使能开关。
step7 执行命令quit,退回系统视图。
step8 执行命令firewall defend smurf enable,使能Smurf 攻击防范功能。
缺省情况下,Smurf 攻击防范功能处于关闭状态。
查看S-switch 设备配置的攻击防范信息display firewall defend flag
使用display firewall defend flag 命令查看S-switch 设备配置的攻击防范信息,显示
“smurf”表示Smurf 攻击防范功能已经使能。
三.配置SYN Flood 攻击防范功能
SYN Flood攻击是一种通过向目标服务器发送SYN报文,消耗其系统资源,削弱目标服务器的服务提供能力的行为。一般情况下,SYN Flood攻击是在采用IP源地址欺骗行为的基础上,利用TCP连接建立时的三次握手过程形成的。
操作step
step1 执行命令system-view,进入系统视图。
step2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。
step3 执行命令quit,退回系统视图。
step4 执行命令firewall enable,打开攻击防范使能开关。
step5 执行命令firewall defend syn-flood enable,使能全局SYN Flood 攻击防范功能。
缺省情况下,SYN Flood 攻击防范功能处于关闭状态。
step6 执行命令interface vlanif vlan-id,进入VLANIF 接口视图。
step7 执行命令firewall defend enable,打开攻击防范使能开关。
step8 执行命令quit,退回系统视图。
step9 (可选)执行命令firewall defend syn-flood ip ip-address [ max-rate rate-number ],设置
使用display firewall defend flag 命令查看S-switch 设备配置的攻击防范信息,显示
“syn-flood”表示SYN Flood 防范功能已经使能。
四.配置ICMP Flood 攻击防范功能
ICMP攻击是通过Ping产生的大量数据包,使目标计算机的CPU占用率满载继而当机,此类的攻击方法更加简单,恶意用户只要在DOS窗体中输入ping -t -l 65500 IP地址即可实现向目标计算机发送一个65500的ICMP报文,此时目标用户即受到ICMP洪水攻击,计算机因此逐渐变慢,从而死机。
操作step
step1 执行命令system-view,进入系统视图。
step2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。
step3 执行命令quit,退回系统视图。
step4 执行命令firewall enable,打开攻击防范使能开关。
step5 执行命令interface vlanif vlan-id,进入VLANIF 接口视图。
step6 执行命令firewall defend enable,打开攻击防范使能开关。
step7 执行命令quit,退回系统视图。
step8 执行命令firewall defend icmp-flood enable,打开ICMP Flood 攻击防范功能全局开关。
step9 (可选)执行命令firewall defend icmp-flood ip ip-address [ max-rate rate-number ],设置。
使用display firewall defend flag 命令查看S-switch 设备配置的攻击防范信息,显示
“icmp-flood”表示ICMP Flood 攻击防范功能已经使能。
五. 配置Ping of Death 攻击防范功能
这种攻击通过发送大于65536字节的ICMP包使操作系统崩溃;通常不可能发送大于65536个字节的ICMP包,但可以把报文分割成片段,然后在目标主机上重组;最终会导致被攻击目标缓冲区溢出。防止系统受到Ping of Death攻击的方法与防范Smurf和Fraggle攻击是相同的,可以在防火墙上过滤掉ICMP报文,或者在服务器上禁止Ping,并且只在必要时才打开ping服务。
操作step
step1 执行命令system-view,进入系统视图。
step2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。
step3 执行命令quit,退回系统视图。
step4 执行命令firewall enable,打开攻击防范使能开关。
step5 执行命令interface vlanif vlan-id,进入VLANIF 接口视图。
step6 执行命令firewall defend enable,打开攻击防范使能开关。
step7 执行命令quit,退回系统视图。
step8 执行命令firewall defend ping-of-death enable,使能Ping of Death 攻击防范功能。
缺省情况下,Ping of Death 攻击防范功能处于关闭状态。
----结束
使用display firewall defend flag 命令查看S-switch 设备配置的攻击防范信息,显示
六. 配置TearDrop 攻击防范功能
Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。(利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉;对于Windows系统会导致蓝屏死机,并显示STOP 0x0000000A错误。)
操作step
step1 执行命令system-view,进入系统视图。
step2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。
step3 执行命令quit,退回系统视图。
step4 执行命令firewall enable,打开攻击防范使能开关。
step5 执行命令interface vlanif vlan-id,进入VLANIF 接口视图。
step6 执行命令firewall defend enable,打开攻击防范使能开关。
step7 执行命令quit,退回系统视图。
step8 执行命令firewall defend teardrop enable,使能TearDrop 攻击防范功能。
缺省情况下,TearDrop 攻击防范功能处于关闭状态。
----结束
使用display firewall defend flag 命令查看S-switch 设备配置的攻击防范信息,显示
“teardrop”表示TearDrop 攻击防范功能已经使能。
七.配置IP 欺骗攻击防范功能;
开启IP 欺骗攻击防范功能,交换机在受到IP 欺骗攻击后,将被攻击信息记录下来,并通过日志输出。输出日志中可以显示最近30 秒内系统所记录的攻击源IP 地址、攻击,开始时间、攻击结束时间、攻击报文总数等信息。其中可以显示最多12 个不同的IP 地址。
在赤峰核心交换上进行如下配置。
操作步骤
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令vlan vlan-id,创建VLAN 并进入VLAN 视图。
步骤3 执行命令quit,退回系统视图。
步骤4 执行命令firewall enable,打开攻击防范使能开关。
步骤5 执行命令interface vlanif vlan-id,进入VLANIF 接口视图。
步骤6 执行命令firewall defend enable,打开攻击防范使能开关。
步骤7 执行命令quit,退回系统视图。
步骤8 执行命令firewall defend ip-spoofing enable,使能IP 欺骗攻击防范功能。
缺省情况下,IP 欺骗攻击防范功能处于关闭状态。
Ø 检查配置结果
完成上述配置后,执行下面的命令检查配置结果。
操作命令
查看S-switch 设备配置的攻击防范信息display firewall defend flag
使用display firewall defend flag 命令查看S-switch 设备配置的攻击防范信息,显示“ipspoofing”,表示IP 欺骗攻击防范功能已经使能。
