第八章 报文统计与攻击防范

1、第第8章章 报文统计与攻击防范报文统计与攻击防范ISSUE 1.1日期：杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播n 了解报文统计概念和基本配置了解报文统计概念和基本配置n 了解常见攻击特征了解常见攻击特征n 掌握常见攻击防范的配置掌握常见攻击防范的配置课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：n 报文统计概述报文统计概述n 报文统计基本配置报文统计基本配置n 攻击防范概述攻击防范概述n 攻击防范基本配置攻击防范基本配置目录目录4报文统计介绍TCP连接内网WEB服务器n 报文统计概述报文统计概述n 报文统计基本配置报文统计基本配置n 攻击防范概述攻击防

2、范概述n 攻击防范基本配置攻击防范基本配置目录目录6报文统计基本配置l 报文统计基本配置包括报文统计基本配置包括启动系统统计功能启动系统连接数量监控启动系统报文比率异常告警检测 7报文统计功能基本配置l 启动或关闭系统统计功能操作命令启动启动系统统计功能系统统计功能 firewall statistics system enable 关闭系统统计功能关闭系统统计功能 undo firewall statistics system enable 8系统统计功能基本配置l 启动或关闭系统连接数量监控功能操作命令启动系统连接数限制系统连接数限制 firewall statistics system

3、connect-number tcp | udp high high-value low low-value 关闭系统连接数限制关闭系统连接数限制 undo statistics system connect-number tcp | udp 9系统统计功能基本配置l 启动或关闭系统报文比率异常告警检测操作命令启动系统报文比率系统报文比率异常告警检测异常告警检测 firewall statistics system flow-percent tcp tcp-percent udp udp-percent icmp icmp-percent alteration alteration-perce

4、nt time time-value 关闭系统报文比率关闭系统报文比率异常告警检测异常告警检测 undo firewall statistics system flow-percent 10报文统计基本配置l 域统计基本配置包括域统计基本配置包括启动域统计功能启动域连接数量监控启动域连接速率监控 11域统计功能基本配置l 启动或关闭域统计功能操作命令启动域统计功能域统计功能 statistics enable zone inzone | outzone 关闭域统计功能关闭域统计功能 undo statistics enable zone inzone | outzone 12域统计功能基本配置

5、l 启动或关闭域连接速率监控操作命令启动域连接速率监控域连接速率监控 statistics connect-speed zone | ip inzone | outzone tcp | udp high high-limit low low-limit 关闭域连接速率监控关闭域连接速率监控 undo statistics connect-speed zone | ip inzone | outzone tcp | udp 13报文统计基本配置l IP统计基本配置包括统计基本配置包括启动启动IP统计功能启动启动IP连接数量监控启动启动IP连接速率监控 14IP统计功能基本配置l 启动或关闭IP统

6、计功能操作命令启动IP统计功能统计功能 statistics enable ip inzone | outzone 禁止禁止IP统计功能统计功能 undo statistics enable ip inzone | outzone 15IP统计功能基本配置l 启动或关闭IP连接数量监控操作命令启动IP连接数量监控连接数量监控 statistics connect-number ip inzone | outzone tcp | udp high high-limit low low-limit acl acl-number 关闭关闭IP连接数量监控连接数量监控 undo statistics

7、connect-number ip inzone | outzone tcp | udp acl acl-number 16IP统计功能基本配置l 启动或关闭IP连接速率监控操作命令启动IP的连接速率的连接速率监控监控 statistics connect-speed ip inzone | outzone tcp | udp high high-limit low low-limit acl acl-number 关闭关闭IP连接速率监连接速率监控控 undo statistics connect-speed ip inzone | outzone tcp | udp acl acl-num

8、ber 17报文统计基本配置l 报文统计显示与调试操作命令显示防火墙统计信息显示防火墙统计信息 firewall defend large-icmp length 显示防火墙系统的统计信息显示防火墙系统的统计信息 debugging firewall defend all 清除防火墙统计信息清除防火墙统计信息 reset firewall statistic system defend | current 清除防火墙域统计信息清除防火墙域统计信息 reset firewall statistic zone zone-name inzone | outzone 清除防火墙清除防火墙IP统计信息统

9、计信息 reset firewall statistic ip ip-address source-ip | destination-ip n 报文统计概述报文统计概述n 报文统计基本配置报文统计基本配置n 攻击防范概述攻击防范概述n 攻击防范基本配置攻击防范基本配置目录目录19典型的网络攻击内部网络20IP Spoofing攻击内部网络黑客防火墙我有办法不让别人知道我真实的IP地址，嘿嘿!21Land攻击内部网络黑客源地址与目的地址都设成你的地址，看你如何招架!22Smurf攻击内部网络黑客我要让网络的所有主机都对此ICMP应答请求作出答复23WinNuke攻击内部网络黑客向139端口发送O

10、OB报文24SYN Flood攻击内部网络黑客伪造大量的SYN报文，我是收不到给我的ACK报文的，哈哈25ICMP Flood攻击内部网络黑客短时间内向你发送大量的ICMP报文，你就努力地给我回应吧，直到累死你，哈哈26UDP Flood攻击内部网络黑客短时间内向你发送大量的UDP报文请应答，你就努力地给我回应吧，直到累死你，哈哈27地址扫描攻击内部网络黑客网络中有哪些主机存在呢？P28端口扫描攻击内部网络黑客网络中有哪些主机使用哪些端口提供服务呢？Port 29Ping of death 攻击内部网络黑客发送长度大于65508的ICMP Echo请求报文,让你的系统崩溃!n 报文统计概述报文

11、统计概述n 报文统计基本配置报文统计基本配置n 攻击防范概述攻击防范概述n 攻击防范基本配置攻击防范基本配置目录目录31攻击防范基本配置l 攻击防范基本配置包括攻击防范基本配置包括启动启动ARP Flood攻击防范功能启动启动ARP反向查询攻击防范功能启动启动ARP欺骗攻击防范功能启动启动IP欺骗攻击防范功能启动启动Land攻击防范功能启动启动Smurf攻击防范功能启动启动Fraggle攻击防范功能启动启动Frag Flood攻击防范功能启动启动WinNuke攻击防范功能有关SYN Flood攻击防范配置有关ICMP Flood攻击防范配置有关UDP Flood攻击防范配置启动启动ICMP重定

12、向报文控制功能启动启动ICMP不可达报文控制功能启动启动地址扫描攻击防范功能启动启动端口扫描攻击防范功能启动启动带路由记录选项IP报文控制功能启动启动Tracert报文控制功能启动启动Ping of Death攻击防范功能启动启动Teardrop攻击防范功能启动启动TCP报文合法性检测功能启动启动IP分片报文检测功能启动启动超大ICMP报文控制功能 32攻击防范基本配置l 启动或关闭ARP Flood攻击防范功能操作命令启动ARP Flood攻击防范功能攻击防范功能 firewall defend arp-flood max-rate rate-number 关闭关闭ARP Flood攻击防范

13、功能攻击防范功能 undo firewall defend arp-flood 33攻击防范基本配置l 启动或关闭ARP反向查询攻击防范功能操作命令启动ARP反向查反向查询攻击防范功能询攻击防范功能 firewall defend arp-reverse-query 关闭关闭ARP反向查反向查询攻击防范功能询攻击防范功能 undo firewall defend arp-reverse-query 34攻击防范基本配置l 启动或关闭ARP欺骗攻击防范功能操作命令启动启动ARP欺骗攻欺骗攻击防范功能击防范功能 firewall defend arp-spoofing 关闭关闭ARP欺骗攻欺骗攻击

14、防范功能击防范功能 undo firewall defend arp-spoofing 35攻击防范基本配置l 启动或关闭IP欺骗攻击防范功能操作命令启动启动IP欺骗攻击防范功能欺骗攻击防范功能 firewall defend ip-spoofing 关闭关闭IP欺骗攻击防范功能欺骗攻击防范功能 undo firewall defend ip-spoofing 36攻击防范基本配置l 启动或关闭Land攻击防范功能操作命令启动启动Land攻击防范功能攻击防范功能 firewall defend land 关闭关闭Land攻击防范功能攻击防范功能 undo firewall defend lan

15、d 37攻击防范基本配置l 启动或关闭Smurf攻击防范功能操作命令启动启动Smurf攻击防范功能攻击防范功能 firewall defend smurf 关闭关闭Smurf攻击防范功能攻击防范功能 undo firewall defend smurf 38攻击防范基本配置l 启动或关闭Fraggle攻击防范功能操作命令启动启动Fraggle攻击防范功能攻击防范功能 firewall defend fraggle 关闭关闭Fraggle攻击防范功能攻击防范功能 undo firewall defend fraggle 39攻击防范基本配置l 启动或关闭Frag Flood攻击防范功能操作命令启

16、动启动Frag Flood攻击防范功能攻击防范功能 firewall defend frag-flood 关闭关闭Frag Flood攻击防范功能攻击防范功能 undo firewall defend frag-flood 40攻击防范基本配置l 启动或关闭Win Nuke攻击防范功能操作命令启动启动WinNuke攻击防范功能攻击防范功能 firewall defend winnuke 关闭关闭WinNuke攻击防范功能攻击防范功能 undo firewall defend winnuke 41攻击防范基本配置l 有关Syn Flood攻击防范配置启动或关闭操作命令启动启动SYN Flood攻

17、击防范功能攻击防范功能全局开关全局开关 firewall defend syn-flood enable 关闭关闭SYN Flood攻击防范功能攻击防范功能全局开关全局开关 undo firewall defend syn-flood enable 42攻击防范基本配置l 有关Syn Flood攻击防范配置参数配置操作命令启动对启动对IP的的SYN Flood攻击防范功能攻击防范功能 firewall defend syn-flood ip ip-address max-rate rate-number max-number max-number tcp-proxy 启动对域的启动对域的SYN

18、 Flood攻击防范功能攻击防范功能 firewall defend syn-flood zone zone-name max-rate rate-number max-number max-number tcp-proxy 43攻击防范基本配置l 有关Syn Flood攻击防范配置参数配置(续)操作命令关闭对某关闭对某IP的的SYN Flood攻击防范功能攻击防范功能 undo firewall defend syn-flood ip ip-address 关闭对所有关闭对所有IP的的SYN Flood攻击防范功能攻击防范功能 undo firewall defend syn-flood i

19、p 关闭对某域的关闭对某域的SYN Flood攻击防范功能攻击防范功能 undo firewall defend syn-flood zone zone-name 关闭对所有域的关闭对所有域的SYN Flood攻击防范功能攻击防范功能 undo firewall defend syn-flood zone 关闭所有的关闭所有的SYN Flood攻击防范功能攻击防范功能 undo firewall defend syn-flood 44攻击防范基本配置l 有关Syn Flood攻击防范配置TCP代理配置操作命令配置为特定配置为特定IP或安全区域或安全区域启用启用TCP代理代理 firewall

20、tcp-proxy ip ip-address | zone zone-name 配置为特定配置为特定IP或安全区域或安全区域关闭关闭TCP代理代理 undo firewall tcp-proxy ip ip-address | zone zone-name 45攻击防范基本配置l 有关ICMP Flood攻击防范配置启动或关闭操作命令启动启动ICMP Flood攻击防范攻击防范功能全局开关功能全局开关 firewall defend icmp-flood enable 关闭关闭ICMP Flood攻击防范攻击防范功能全局开关功能全局开关 undo firewall defend icmp-f

21、lood enable 46攻击防范基本配置l 有关ICMP Flood攻击防范配置参数配置操作命令启动对启动对IP的的ICMP Flood攻击防范功能攻击防范功能 firewall defend icmp-flood ip ip-address max-rate rate-number 启动对域的启动对域的ICMP Flood攻击防范功能攻击防范功能 firewall defend icmp-flood zone zone-name max-rate rate-number 47攻击防范基本配置l 有关ICMP Flood攻击防范配置参数配置(续)操作命令关闭对某关闭对某IP的的ICMP F

22、lood攻击防范功能攻击防范功能 undo firewall defend icmp-flood ip ip-address 关闭对所有关闭对所有IP的的ICMP Flood攻击防范功能攻击防范功能 undo firewall defend icmp-flood ip 关闭对某域的关闭对某域的ICMP Flood攻击防范功能攻击防范功能 undo firewall defend icmp-flood zone zone-name 关闭对所有域的关闭对所有域的ICMP Flood攻击防范功能攻击防范功能 undo firewall defend icmp-flood zone 关闭所有的关闭所有

23、的ICMP Flood攻击防范功能攻击防范功能 undo firewall defend icmp-flood 48攻击防范基本配置l 有关UDP Flood攻击防范配置启动或关闭操作命令启动启动UDP Flood攻击攻击防范功能全局开关防范功能全局开关 firewall defend udp-flood enable 关闭关闭UDP Flood攻击攻击防范功能全局开关防范功能全局开关 undo firewall defend udp-flood enable 49攻击防范基本配置l 有关UDP Flood攻击防范配置参数配置操作命令启动对启动对IP的的UDP Flood攻击防范功能攻击防范功

24、能 firewall defend udp-flood ip ip-address max-rate rate-number 启动对域的启动对域的UDP Flood攻击防范功能攻击防范功能 firewall defend udp-flood zone zone-name max-rate rate-number 50攻击防范基本配置l 有关UDP Flood攻击防范配置参数配置(续)操作命令关闭对某关闭对某IP的的UDP Flood攻击防范功能攻击防范功能 undo firewall defend udp-flood ip ip-address 关闭对所有关闭对所有IP的的UDP Flood攻

25、击防范功能攻击防范功能 undo firewall defend udp-flood ip 关闭对某域的关闭对某域的UDP Flood攻击防范功能攻击防范功能 undo firewall defend udp-flood zone zone-name 关闭对所有域的关闭对所有域的UDP Flood攻击防范功能攻击防范功能 undo firewall defend udp-flood zone 关闭所有的关闭所有的UDP Flood攻击防范功能攻击防范功能 undo firewall defend udp-flood 51攻击防范基本配置l 启动或关闭ICMP重定向报文控制功能操作命令启动启动I

26、CMP重定向报文控制功能重定向报文控制功能 firewall defend icmp-redirect 关闭关闭ICMP重定向报文控制功能重定向报文控制功能 undo firewall defend icmp-redirect 52攻击防范基本配置l 启动或关闭ICMP不可达报文控制功能操作命令启动启动ICMP不可达报文控制功能不可达报文控制功能 firewall defend icmp-unreachable 关闭关闭ICMP不可达报文控制功能不可达报文控制功能 undo firewall defend icmp-unreachable 53攻击防范基本配置l 启动或关闭地址扫描攻击防范功能

27、操作命令启动地址扫描攻击防范启动地址扫描攻击防范功能功能 firewall defend ip-sweep max-rate rate-number blacklist-timeout minutes 关闭地址扫描攻击防范关闭地址扫描攻击防范功能功能 undo firewall defend ip-sweep 54攻击防范基本配置l 启动或关闭端口扫描攻击防范功能操作命令启动端口扫描攻击防范启动端口扫描攻击防范功能功能 firewall defend port-scan max-rate rate-number blacklist-timeout minutes 关闭端口扫描攻击防范关闭端口扫

28、描攻击防范功能功能 undo firewall defend port-scan 55攻击防范基本配置l 启动或关闭源路由选项IP报文控制功能操作命令启动带源路由选项启动带源路由选项IP报文报文控制功能控制功能 firewall defend source-route 关闭带源路由选项关闭带源路由选项IP报文报文控制功能控制功能 undo firewall defend source-route 56攻击防范基本配置l 启动或关闭源路由记录选项攻击防范功能操作命令启动路由记录选项攻击防启动路由记录选项攻击防范功能范功能 firewall defend route-record 关闭路由记录选项攻击防关闭路由记录选项攻击防范功能范功能 undo firewall defend route-record 57攻击防范基本配置l 启动或关闭Tracert报文控制功能操作命令启动启动tracert报文控制功能报文控制功能 firewall defend tracert 关闭关闭tracert报文控制功能报文控制功能 undo firewall defend tracert 58攻击防范基本配置l 启动或关闭Ping of Death攻击防范功能操作命令启动启动Ping of Death攻击攻击防范功能防范功能 firewall defend pi