v200r010c00配置指南-安全0105攻击防范

防范配置防范是一种重要的特性。通过配置防范功能，设备能够检测出多种介 、 ofDeath 5.1防范简定防范是一种重要的特性。它通过分析上送CPU处理的报文的内容和行为，判断报文是否具有特性，并配置对具有特性的报文执行一定的防范措 目目前，网络的日益增多，而通信协议本身的缺陷以及网络部署问题，导致网络攻 畸形报文防 ，给目标设备带来损失。畸形报文防范是指设备实时检测出畸形没有IP载荷的泛如果IP报文只有20字节的IP报文头，没有数据部分，就认为是没有IP载荷的报文。IGMP空报LAND

防范后，设备采用检测TCPSYN报文的源地址和目的地址的方法来避免 。如果TCPSYN报文中的源地址和目的地址一致，则认为是畸形报Smurf

Smurf是指者向目标网络发送源地址为目标主机地址、目的地址为目标网络广TCP

SYN和FIN同时为1，如果端口是关闭的，会使接收方应答一个RST|ACK消息；如果端口是打开的，会使接收方应答一个SYN|ACK消息，这可用于主机探测(主机6个标志位全部为0，如果端口是关闭的，会使接收方应答一个RST|ACK消息，这系统将回答RST|ACK消息，这可以探测操作系统类型（Windows系统，Linux和分片报文防分片报文是通过向目标设备发送分片出错的报文，使得目标设备在处理分片错误的报文时、重启或消耗大量的CPU资源，给目标设备带来损失。分片报文防分片数量巨

重复分片Tear

启用分片报文防范后，对于重复分片类报文的，设备实现对分片报文进行TearDrop是最著名的IP分片，原理是IP分片错误，第二片包含在第一片之如图5-1所示图5-1TearDrop分片示意- Syndrop

如图5-2所示：-

NewTear是分片错误的。如图5-3所示，protocol使用UDP- Bonk

Bonk是分片错误的。如图5-4所示，protocol使用UDP图5-4Bonk分片示意- Nesta

Nesta是分片错误的。如图5-5所示 ，4024- Rose

IPprotocol可以是UDP或TCP，可以选择。如果IPprotocol是第二片IP报文的载荷为32字节，但是offset=65408，morefrag=0，即最后一片。如果IPprotocol是UDP：- Fawx

- ofDeath

ofDeath原理是者发送一些尺寸较大（数据部分长度超过65507字节）的ICMP报文对设备进行。设备在收到这样一个尺寸较大的ICMP报文后，如果处理不当，会造成协议栈。Jolt

Jolt是者发送总长度大于65535字节的报文对设备进行。Jolt报文一共远远超过65535。设备在收到这样的报文时，如果处理不当，会造成设备、死机或泛洪防泛洪主要分为TCPSYN泛洪、UDP泛洪和ICMP泛洪TCPSYN设备对TCPSYN处理的方法是在使能了TCPSYN泛洪防范后对TCPSYN报文 UDP

ICMP泛洪设备针对ICMP泛洪进行CAR（CommittedAccessRate）限速，保证CPU不被攻如图5-8所示，SwitchA经常会受到不同类型的网络，这样会导致设备资源使用率功能，主要防范的类型包括： CampusCampus 配置注意事项涉及网元License

版本支持系产支持版本系产支持版本系产支持版本说明特性依赖和限制无防范的缺省配置如表5-2所示。参缺省参缺省TCPSyn防范功配置畸形报文防畸形报文防范主要防止没有IP载荷的泛洪、IGMP空报文、LANDSmurf和TCP标志位背景信息 为了避免设备被畸形报文的情况下瘫痪，保证正常的网络服务，可以配置畸形报文防范。设备对畸形报文防范的主要措施是判断是否是几种畸形报文报操作步骤

步骤1执行命令system-view步骤2执行命令anti-attackabnormalenable，使能畸形报文防范功能。说明在系统视图下，执行命令anti-attackenable可以使能所有的防范功能（包括畸形报文防范功----结束检查配置结果

执行命令disyanti-attackstatisticsabnormal，查看设备上畸形报文防的统配置分片报文防 、 ofDeath 背景信息

为了避免设备被分片报文的情况下瘫痪，保证正常的网络服务，可以配置分片报文防范。对分片报文防范的主要措施是进行速率限制，防止大量的分片报文操作步骤

步骤1执行命令system-view步骤2执行命令anti-attackfragmentenable，使能分片报文防范功能。说明在系统视图下，执行命令anti-attackenable可以使能所有的防范功能（包括分片报文防范功步骤3执行命令anti-attackfragmentcarcircir，限制分片报文接收的速率。 ----结束检查配置结果

执行命令disyanti-attackstatisticsfragment，查看设备上分片报文防的统配置泛洪防配置TCPSYN泛洪防背景信息

为了避免TCPSYN泛洪，可以在设备上配置TCPSYN泛洪防范功能，通过限制TCPSYN报文的发送速率来防范TCPSYN泛洪。操作步骤

步骤1执行命令system-view步骤2执行命令anti-attacktcp-synenable，使能TCPSYN泛洪防范功能。缺省情况下，TCPSYN泛洪防范功能处于使能状态。说明在系统视图下，可以执行命令anti-attackenable使能所有的防范功能（包括TCPSYN泛洪防步骤3执行命令anti-attacktcp-syncarcircir，限制TCPSYN报文接收的速率。缺省情况下，TCPSYN报文接收的速率为 ----结束配置UDP泛洪防背景信息如果者在短时间内向特定目标发送特定目的端的UDP报文，会造成目标设备负担过重而不能处理正常的业务。为了避免UDP泛洪，可以在设备上配置UDP泛操作步骤步骤1执行命令system-view步骤2执行命令anti-attackudp-floodenable，使能UDP泛洪防范功能。说明在系统视图下，可以执行命令anti-attackenable使能所有的防范功能（包括UDP泛洪防范功----结束配置ICMP泛洪防背景信息

如果者在短时间内向目标设备发送大量的ICMP响应请求报文，使目标设备忙于回操作步骤

步骤1执行命令system-view步骤2执行命令anti-attackicmp-floodenable，使能ICMP泛洪防范功能。说明在系统视图下，可以执行命令anti-attackenable使能所有的防范功能（包括ICMP泛洪防范步骤3执行命令anti-attackicmp-floodcarcircir，限制ICMP泛洪报文接收的速率。 ----结束检查配置结果操作步骤

yanti-attackstatistics[tcp-syn|udp-flood|icmp-flood]命令，查看泛洪 ----结束防清除防范统计信背景信息注注 操作步骤执行resetanti-attackstatisticsabnormal|fragment|tcp-syn|udp-flood|icmp-flood]命令，清除防范的报文统计信息。----结束配置防范示组网需求

如图5-9所示如果域网内在ce向wcA起畸形报、片报文和泛洪 将会造wch瘫痪。了预这种况，管理希望通在wcA上部署各种 防范施来为户提供全的网环，保障正的网络务。………Use Use Hacke配置思路

操作步骤

步骤1使能畸形报文防<<[>system-]sysname[SwitchA]anti-attackabnormal步骤2使能分片报文防范，并限制分片报文接收的速率为[SwitchA][SwitchA]anti-attackfragmentenable[SwitchA]anti-attackfragmentcarcir15000步骤3使能泛洪防[SwitchA][SwitchA]anti-attacktcp-synenable[SwitchA]anti-attacktcp-syncarcir15000[SwitchA][SwitchA]anti-attackudp-flood[SwitchA][SwitchA]anti-attackicmp-floodenable[SwitchA]anti-attackicmp-floodcarcir15000步骤4#配置完成后，可以通过执行命令disyanti-attackstatistics查看报文防范的统计[SwitchA][SwitchA]dis yanti-attackstatistics