交换机攻防见招拆招

1S系列交换机攻击处理1.1如何确定攻击类型当设备遭受攻击时，通常伴随着如下现象：l用户无法获取ARP。l用户上线成功率较低。l用户无法访问网络。当大量用户或固定某个端口下的所有用户出现上述现象时，可以先通过如下定位手段分析是否为攻击问题。步骤1执行命令displaycpu-usage查看设备CPU占用率的统计信息，CPUUsage表示的是CPU占用率，TaskName表示的是设备当前正在运行的任务名称。如果CPU利用率持续较高，并且bcmRX、FTS、SOCK或者VPR任务过高（通常协议报文攻击会导致这些任务过高），则较大可能是收到的报文过多，接下来需要执行步骤2继续判断设备收到的报文类型。一般情况下，交换机长时间运行时CPU占用率不超过80%，短时间内CPU占用率不超过95%，可认为交换机状态是正常的。步骤2执行命令displaycpu-defendstatisticsall查看相关协议是否有CPCAR丢包、丢包是否多，并确认现网设备是否放大相关协议的CPCAR值。如果CPCAR存在大量丢包，就基本可以确认现网存在攻击，根据丢包的协议，采用相关防攻击措施。具体有哪些常见的丢包协议，请参见表1-1。表1-1丢包协议以及相应的防攻击部署手段PacketType可以参考的攻击类型arp-reply、arp-request1.2.1ARP攻击、1.2.8TC攻击arp-miss1.2.2ARP-Miss攻击dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request1.2.3DHCP攻击icmp1.2.4ICMP攻击ttl-expired1.2.5TTL攻击tcp1.2.6TCP攻击ospf1.2.7OSPF攻击ssh、telnet1.2.9SSH/Telnet攻击vrrp1.2.10VRRP攻击igmp1.2.11IGMP攻击pim1.2.12PIM攻击V200R003版本以及之后版本支持端口防攻击功能，对于V200R003版本以及之后版本，有可能存在这样的情况：即使Drop计数不再增长，也是有可能存在攻击的。所以对于V200R003版本以及之后版本，还需要继续执行步骤3进一步确认丢包协议。步骤3可以通过如下两种方式确认。方法一：在诊断视图中执行命令displayauto-port-defendstatistics[slotslot-id]查看是否有对应协议的丢包。具体有哪些常见的丢包协议，请参见表1-2。表1-2丢包协议以及相应的防攻击部署手段Protocol可以参考的攻击类型arp-reply、arp-request1.2.1ARP攻击、1.3.8TC攻击arp-miss1.2.2ARP-Miss攻击dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request1.2.3DHCP攻击icmp1.2.4ICMP攻击ttl-expired1.2.5TTL攻击tcp1.2.6TCP攻击ospf1.2.7OSPF攻击ssh、telnet1.2.9SSH/Telnet攻击vrrp1.2.10VRRP攻击igmp1.2.11IGMP攻击pim1.2.12PIM攻击方法二：对于历史上曾经触发过端口防攻击也可以通过日志来确定。日志格式如下，其中AttackProtocol表示的是攻击报文的协议类型。SECE/4/PORT_ATTACK_OCCUR:Autoport-defendstarted.(SourceAttackInterface=[STRING],AttackProtocol=[STRING])SECE/6/PORT_ATTACK_END:Autoport-defendstop.(SourceAttackInterface=[STRING],AttackProtocol=[STRING])----结束1.2根据攻击类型部署防攻击手段1.2.1ARP攻击1.2.1.1ARP泛洪攻击攻击简介如下图所示，局域网中用户通过SwitchA和SwitchB接入连接到Gateway访问Internet。当网络中出现过多的ARP报文时，会导致网关设备CPU负载加重，影响设备正常处理用户的其它业务。另一方面，网络中过多的ARP报文会占用大量的网络带宽，引起网络堵塞，从而影响整个网络通信的正常运行。现象描述l网络设备CPU占有率较高，正常用户不能学习ARP甚至无法上网。lPing不通。l网络设备不能管理。定位思路定位手段命令行适用版本形态查看ARP临时表项displayarpV100R006C05版本以及之后版本查看arp-request的CPCAR计数displaycpu-defendstatisticspacket-typearp-requestallV100R006C05版本以及之后版本查看攻击溯源结果displayauto-defendattack-source[slotslot-id]V200R003版本以及之后版本步骤1执行命令displayarp查看受影响用户的ARP是否学习不到。如果MACADDRESS字段显示为Incomplete，表示有ARP学习不到，有可能设备遭受ARP攻击。步骤2由于有未学习到的ARP表项，执行命令displaycpu-defendstatisticspacket-typearp-requestall查看上送CPU的ARP-Request报文统计信息，判断设备是否遭受攻击，下述回显发现4号单板上存在大量ARP-Request报文丢包。该命令可以查看多次，比如1秒执行一次，查看多次执行的结果。如上显示，如果Drop(Packets)计数增加很快，比如1秒钟Drop上百个，这说明设备正在遭受ARP攻击，上送的ARP报文已经超过了设备配置的CPCAR范围，攻击ARP报文可能已经挤掉了正常ARP报文，则部分ARP可能学习不到。步骤3确认攻击源，通过攻击溯源功能识别攻击源。首先在系统视图下配置防攻击策略：[HUAWEI]cpu-defendpolicypolicy1[HUAWEI-cpu-defend-policy-policy1]auto-defendenable[HUAWEI-cpu-defend-policy-policy1]auto-defendattack-packetsample5[HUAWEI-cpu-defend-policy-policy1]auto-defendthreshold30[HUAWEI-cpu-defend-policy-policy1]undoauto-defendtrace-typesource-portvlan[HUAWEI-cpu-defend-policy-policy1]undoauto-defendprotocoldhcpicmpigmptcptelnetttl-expiredudp接下来应用防攻击策略policy1，关于防攻击策略的应用，请参见3.1应用防攻击策略。最后通过命令displayauto-defendattack-sourceslot4查看攻击源的MAC地址。识别的MAC中可能包含网关的MAC地址或互连网络设备的MAC，需要注意剔除。----结束问题根因1.由于终端中毒频繁发送大量ARP报文。2.下挂网络成环产生大量的ARP报文。处理步骤步骤1在接口下配置ARP表项限制。设备支持接口下的ARP表项限制，如果接口已经学习到的ARP表项数目超过限制值，系统不再学习新的ARP表项，但不会清除已经学习到的ARP表项，会提示用户删除超出的ARP表项。配置命令如下：HUAWEIsystem-view[HUAWEI]interfacegigabitethernet1/0/1[HUAWEI-GigabitEthernet1/0/1]arp-limitvlan10maximum20步骤2配置针对源IP地址的ARP报文速率抑制的功能。在一段时间内，如果设备收到某一源IP地址的ARP报文数目超过设定阈值，则不处理超出阈值部分的ARP请求报文。HUAWEIsystem-view[HUAWEI]arpspeed-limitsource-ip10.0.0.1maximum50缺省情况下，对ARP报文进行时间戳抑制的抑制速率为5pps，即每秒处理5个ARP报文。步骤3根据排查出的攻击源MAC配置黑名单过滤掉攻击源发出的ARP报文。[HUAWEI]acl4444[HUAWEI-acl-L2-4444]rulepermitl2-protocolarpsource-mac0-0-1vlan-id3[HUAWEI-acl-L2-4444]quit[HUAWEI]cpu-defendpolicypolicy1[HUAWEI-cpu-defend-policy-policy1]blacklist1acl4444[HUAWEI-cpu-defend-policy-policy1]quit接下来应用防攻击策略policy1，关于防攻击策略的应用，请参见3.1应用防攻击策略。步骤4如果上述配置无法解决，比如源MAC变化或源IP变化的ARP攻击源来自某台接入设备下挂用户，在接入侧交换机上配置流策略限速，不让该接入侧设备下的用户影响整个网络。[HUAWEI]acl4445[HUAWEI-acl-L2-4445]rulepermitl2-protocolarp[HUAWEI-acl-L2-4445]quit[HUAWEI]trafficclassifierpolicy1[HUAWEI-classifier-policy1]if-matchacl4445[HUAWEI-classifier-policy1]quit[HUAWEI]trafficbehaviorpolicy1[HUAWEI-behavior-policy1]carcir32[HUAWEI]trafficpolicypolicy1[HUAWEI-trafficpolicy-policy1]classifierpolicy1behaviorpolicy1[HUAWEI]interfaceGigabitEthernet1/0/1[HUAWEI-GigabitEthernet1/0/1]traffic-policypolicy1inbound----结束1.2.1.2ARP欺骗攻击攻击简介如图1-2所示，局域网中UserA、UserB、UserC等用户通过Switch接入连接到Gateway访问Internet。图1-1ARP欺骗攻击组网正常情况下，UserA、UserB、UserC上线之后，通过相互之间交互ARP报文，UserA、UserB、UserC和Gateway上都会创建相应的ARP表项。此时，如果有攻击者Attacker通过在广播域内发送伪造的ARP报文，篡改Gateway或者UserA、UserB、UserC上的ARP表项，Attacker可以轻而易举地窃取UserA、UserB、UserC的信息或者阻碍UserA、UserB、UserC正常访问网络。现象描述局域网内用户时通时断，无法正常上网。网络设备会经常脱管，网关设备会打印大量地址冲突的告警。定位思路定位手段命令行适用版本形态查看日志信息displaylogbufferV100R006C05版本以及之后版本l交换机做网关，如果攻击源发送假冒网关的ARP报文经过网关交换机时，报文会上送交换机的CPU处理，交换机在检测到网关冲突的同时记录日志。执行命令displaylogbuffer查看日志信息。日志信息如下所示，其中MacAddress代表攻击者的MAC地址。ARP/4/ARP_DUPLICATE_IPADDR:ReceivedanARPpacketwithaduplicateIPaddressfromtheinterface.(IpAddress=[IPADDR],InterfaceName=[STRING],MacAddress=[STRING])根据日志信息记录的攻击者的MAC地址查找