2024年6月11日发(作者:)
可编辑修改
58DoS保护配置
58.1
DoS保护配置
58.1.1
概述
DoS保护功能支持防Land攻击、防非法TCP报文攻击。
Land 攻击
Land攻击主要是攻击者将一个SYN 包的源地址和目的地址都设置为目标主机的地
址,源和目的端口号设置为相同值,造成被攻击主机因试图与自己建立TCP 连接
而陷入死循环,甚至系统崩溃。
非法TCP报文攻击
在TCP报文的报头中,有几个标志字段:
1. SYN:连接建立标志,TCP SYN报文就是把这个标志设置为1,来请求建立连接。
2. ACK:回应标志,在一个TCP连接中,除了第一个报文(TCP SYN)外,所有报
文都设置该字段作为对上一个报文的响应。
3. FIN: 结束标志,当一台主机接收到一个设置了FIN标志的TCP报文后,会拆除
这个TCP连接。
4. RST:复位标志,当IP协议栈接收到一个目标端口不存在的TCP报文的时候,会
回应一个RST标志设置的报文。
5. PSH:通知协议栈尽快把TCP数据提交给上层程序处理。
非法TCP报文攻击是通过非法设置标志字段致使主机处理的资源消耗甚至系统崩溃,
例如以下几种经常设置的非法TCP报文:
1.
SYN 比特和FIN比特同时设置的TCP报文
正常情况下,SYN标志(连接请求标志)和FIN标志(连接拆除标志)不能同时出现
在一个TCP报文中,而且RFC也没有规定IP协议栈如何处理这样的畸形报文。
因此各个操作系统的协议栈在收到这样的报文后的处理方式也不相同,攻击者就
可以利用这个特征,通过发送SYN和FIN同时设置的报文,来判断操作系统的类
型,然后针对该操作系统,进行进一步的攻击。
2.
没有设置任何标志的TCP报文
正常情况下,任何TCP报文都会设置SYN,FIN,ACK,RST,PSH五个标志中的至
少一个标志,第一个TCP报文(TCP连接请求报文)设置SYN标志,后续报文都
设置ACK标志。有的协议栈基于这样的假设,没有针对不设置任何标志的TCP
报文的处理过程,因此这样的协议栈如果收到了这样的报文可能会崩溃。攻击者
利用了这个特点,对目标主机进行攻击。
精选word
可编辑修改
3.
设置了FIN标志却没有设置ACK标志的TCP报文
正常情况下,除了第一报文(SYN报文)外,所有的报文都设置ACK标志,包括TCP
连接拆除报文(FIN 标志设置的报文)。但有的攻击者却可能向目标主机发送设
置了FIN标志却没有设置ACK标志的TCP报文,这样可能导致目标主机崩溃。
58.1.2
配置DoS保护
58.1.2.1缺省的Dos保护设置
下面列出DoS缺省配置:
land attack
against invalid tcp attack
功能特性
Off
Off
缺省值
58.1.2.2防Land攻击
在全局配置模式下,执行如下命令可以在设备上开启防Land攻击功能:
Step 1
Step 2
Step 3
命令
Ruijie# configure terminal
Ruijie(config)# ip deny land
Ruijie(config)# end
进入全局配置模式
开启防Land攻击功能
退回到特权模式
作用
58.1.2.3预防非法TCP报文攻击
在全局配置模式下,执行如下命令可以在设备上开启防非法TCP报文攻击功能:
Step 1
Step 2
Step 3
命令
Ruijie# configure terminal
Ruijie(config)# ip deny invalid-tcp
Ruijie(config)# end
进入全局配置模式
开启防非法TCP报文攻击功能
退回到特权模式
作用
58.1.3
显示DoS保护的状态
58.1.3.1显示防Land攻击的状态
在特权用户模式下,执行如下命令可以显示防Land攻击的状态:
精选word
可编辑修改
命令
Ruijie# show ip deny land
作用
显示防Land攻击的状态
下面的例子显示了如何查看防Land攻击的状态:
Ruijie# show ip deny land
DoS Protection Mode State
------------------------------------- -----
protect against land attack On
58.1.3.2显示防非法TCP报文攻击的状态
在特权用户模式下,执行如下命令可以显示防非法TCP报文攻击的状态:
命令
Ruijie# show ip deny invalid-tcp
作用
显示防非法TCP报文攻击的状态
下面的例子显示了如何查看预防非法TCP报文攻击的状态:
Ruijie# show ip deny invalid-tcp
DoS Protection Mode State
------------------------------------- -----
protect against invalid tcp attack On
58.2
防DOS攻击的入口过滤
58.2.1
概述
近年来,各种DoS攻击(Denial of Service,拒绝服务)报文在互联网上传播,给互联
网用户带来很大烦恼。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合
理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。攻
击报文主要采用伪装源IP以防暴露其踪迹。
针对这种情况,RFC2827提出在网络接入处设置入口过滤(Ingress Filting),来限制
伪装源IP的报文进入网络。这种方法更注重在攻击的早期和从整体上防止DoS的
发生,因而具有较好效果。使用这种过滤也能够帮助ISP和网管来准确定位使用
真实有效的源IP的攻击者。ISP应该也必须采用此功能防止报文攻击进入Internet;
企业(校园网)的网管应该执行过滤来确保企业网不会成为此类攻击的发源地。
锐捷网络交换机采用基于RFC2827的入口过滤规则来防止DoS攻击,这种过滤是通
过自动生成特定的ACL来实现,该过滤采用硬件实现而不会给网络转发增加负担。
当然,您也可以使用锐捷网络交换机的地址绑定或Dot1x功能来达到过滤效果,您也
可以通过设置ACL来实现过滤。
精选word
可编辑修改
58.2.2
典型应用案例
A.
ISP在接入路由器上配置,防止伪装源IP报文进入ISP和Internet:
B.
企业网(校园网)的三层交换机上配置,防止伪装源IP报文进入企业(校园)
网:
58.2.3
配置预防DoS攻击的入口过滤
58.2.3.1默认配置
预防DoS攻击的入口过滤在所有网络接口上均关闭。
精选word
可编辑修改
58.2.3.2配置注意事项
只有配置了网络地址的三层接口才支持预防DoS攻击的入口过滤功能。
用户打开指定三层接口的defeat DoS 入口过滤,系统自动为网络接口动态创建防止伪
装源IP通过的ACL,并将其应用到三层接口入口。
例如:SVI 1上配置的网络地址为192.168.5.1/24,如果在接口模式下配置ip deny
spoofing-source,则会自动生成以下条目的ACL,并自动关联到该interface中:
permit 192.168.5.0 0.0.0.255
permit host 0.0.0.0 (该ACE是为了通过源地址为0.0.0.0的DHCP请求报文)
deny any
只能在直连接口配置该过滤,在和骨干层相连的汇聚层接口(即uplink口)上设置入
注意
口过滤,会造成来自于internet各种源ip报文无法到达该汇聚层下链的主机。
在设置基于defeat DoS的入口过滤后,必须通过no 命令关闭defeat Dos功能,才
可以修改网络接口地址。
58.2.4
设置预防DoS攻击的入口过滤
在特权模式下,按如下步骤设置入口过滤:
Step 1
Step 2
Step 3
命令
Ruijie# configure terminal
Ruijie(config)# interface interface-id
Ruijie(config-if)# ip deny spoofing-source
作用
进入全局配置模式。
进入三层接口
预防伪造源IP的DOS攻击的入口过滤功能。
丢弃所有与此网络接口前缀不符合的输入报
文。(注意:只有三层接口才能配置该功能)
验证入口过滤配置
Step 4 Ruijie(config-if)# show running interface
interface-id
在接口下,使用no ip deny spoofing-source关掉指定接口的预防DoS攻击的入口过滤
功能。
. .
.
精选word
发布评论