交换机行为检测技术白皮书

1、F-ngin烽火网缗以太网交换机行为检测技术白皮书武汉烽火网络有限责任公司文档版本：V1.0时间：2006-02-08撰写：交换机项目组相关人员，技术支持部审核：技术支持部发布：武汉烽火网络有限责任公司市场部读者对象：烽火网络客户，烽火网络市场及 客服所有人员修订记录声明：本文仅作市场宣传参考，不作合同签定、技术配置的依据。由于编者技术水平有限，欢 迎批评和指导。版权所有，保留一切权力非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书的部分或全部，并不得以 任何形式传播。有任何疑问请垂询市场部技术支持部。目录 TOC o 1-5 h z HYPERLINK l bookmark27 o

2、Current Document 一、概述5 HYPERLINK l bookmark31 o Current Document 二、常见的网络攻击5 HYPERLINK l bookmark35 o Current Document 野蛮攻击5 HYPERLINK l bookmark39 o Current Document TCP SYN 攻击5 HYPERLINK l bookmark43 o Current Document 病毒冲击6 HYPERLINK l bookmark46 o Current Document 扫描窥探攻击6 HYPERLINK l bookmark50 o

3、 Current Document 畸形报文攻击6 HYPERLINK l bookmark54 o Current Document 三、行为检测技术6摘要本文介绍武汉烽火网络有限公司F-Engine系列以太网交换机的行为检测功能以及目前以太 网环境中受到的典型攻击方法。详细介绍了武汉烽火网络有限公司F-Engine系列以太网交换 机的安全防护解决方案。关键词行为检测野蛮攻击网络安全流量攻击 TCP SYN攻击一、概述对位于网络中的交换机、路由器等网络设备来说稳定性至关重要，因为一旦交换机或者 路由器发生故障就意味着网络业务的中断。这些设备（即交换机与路由器）一般在硬件设计 上没有问题，但是

4、网络却时有业务中断的事故发生，主要的原因就在于在这些设备在遭受攻 击时对设备CPU的防护不够，导致CPU往往不能对正常的用户请求进行响应、从而引起网 络业务的中断。二、常见的网络攻击通常的网络攻击，一般是侵入或破坏网上的服务器（主机），盗取服务器的敏感数据或 干扰破坏服务器对外提供的服务，也有直接破坏网络设备的网络攻击。这种破坏影响较大， 会导致网络服务异常，甚至中断网络。下面对一些常见攻击进行描述：野蛮攻击攻击者使用一些可以产生大流量数据的工具软件（或者设备）向网络内发送大量的 数据，并且这些数据是交换设备的CPU必须处理的。因为交换设备的CPU处理能力有 限，当接收到的数据数量远大于CPU

5、的处理能力，CPU就不能及时对正常用户的数据 进行处理，从而出现丢包等现象，导致正常用户不能上网。TCP SYN 攻击攻击者向交换设备发送大量TCP连接请求数据、耗尽交换设备的TCP端口，从而 导致网络管理员不能再登录（telnet、snmp或者web方式）到这台设备进行管理，对于网 络管理员而言，这台设备就处于无法管理状态。并且，如果这台设备有NAT功能，因 为NAT转换的条目数量是有限的，那么这种攻击还会将NAT的转换条目耗尽，从而导 致用户的正常TCP连接无法进行NAT转换，就出现通过该设备上网的用户都不能正常上网。3-病毒冲击当前网络中存在很多蠕虫病毒，这些病毒发作时向网络中发送大量的

6、arp请求、或 者向某些设备进行TCP扫描，如果攻击对象是交换设备时，没有防攻击功能设备的CPU 往往会承受不了巨大数量的病毒数据，从而出现不能对正常客户的请求进行应答的现 象，从本质上说，病毒爆发造成的冲击也是上面说的野蛮攻击的一种方式。扫描窥探攻击是利用ping扫射（包括ICMP和TCP）来标识网络上存活着的系统。从而准确的指出 潜在的目标，利用TCP和UCP端口扫描，就能检测出操作系统和监听着的潜在服务攻击者。 通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入 系统做好准备。畸形报文攻击是通过向目标系统发送有缺陷的ip报文使得目标系统在处理这样的ip包时会出现

7、崩 溃给目标系统带来损失主要的畸形报文攻击有Ping of Death Teardrop等三、行为检测技术因此，系统如果要抵御这些攻击，就必须做到：需要保证发送给系统CPU处理的数据不能超过CPU的处理能力，否则就会出现丢 包现象。需要保证CPU处理的不是攻击数据。比如，CPU每秒只能处理2000个数据报，而 网络中需要CPU处理的数据有10000个攻击数据报和1000个正常数据，如果系统 把收到的攻击数据报中的2000个交给CPU处理、把其余的数据丢弃，那么还是出 现了用户的正常数据无法得到处理的现象；保证CPU处理的数据报的数量是比较容易实现的，只要在CPU的入方向进行速率限制 即可，关键

8、在于如何控制CPU处理的都是合法数据。烽火网络采用行为检测技术来对数据 进行过滤：（1）交换机的每个端口都记录下当前接收的数据报，如果该端口接收到的下一个数据 与前一个一致、并且两个数据报的间隔极小，那么就可以认为这个数据属于攻击数据，可以 将其丢弃；这种方法可以抵御攻击者使用工具软件向网络中注入大流量攻击数据的攻击方 法。（2）由于在CPU的进行了接受速率限制、当交换芯片发送给CPU的数据超过限制值 时，后续的数据将会被丢弃，为了不因为速率限制导致将重要的数据丢弃，因此给予协议数 据报、网管数据报最高优先级，这样，当攻击持续的情况下，也可以保证合法数据可以进入 CPU被处理；（3）如果攻击者

9、不断变换数据的内容，那么比较前后包的方法不能将攻击数据过滤掉， 此时只能采取限制CPU对来自每个mac地址的数据报的处理数量进行限制；这样可以实现 当端口上的一个用户开始攻击时，设备还能对该端口上其它客户的数据进行处理；（4）如果用户是由于中了病毒，那么上述将导致系统对每个用户只处理一定数量的数 据，但是如果系统处理的数据都是病毒数据，那么该用户的其它正常数据将得不到处理，因 此只过滤该用户发出的病毒数据、而让其余的正常数据可以得到处理，此时可以通过设置 CPU对每个用户的每种协议类型数据的处理数量，这样当病毒使用一种协议进行攻击时， 该用户的其它协议仍然可以正常使用。本方法还能对TCP SYN攻击进行防范；（5）如果攻击者发出的攻击数据连源MAC地址也不停的变换，上述都不能进行防范， 那么如果让CPU对这些数据都进行处理，会导致CPU无暇对其它的端口进行服务。所以， 此时最好的办法是对这个端口处理的数据数量进行限制，当达到限制值之后就不再处理，这 样可以保证系统的其它端口还可以得到系统的服务。因此，使用上面的方法可以做到以下功能：系统的CPU使用率不会达到100%，从而不会因为系统忙而无法对用户的请求进行 应答；当系统攻击时，重要数据还可以被系统处理；当用户使用工具软件进行攻击时，除了第一个数据被CPU处理、后续的数据不会被