华为交换机,配置攻击防范示例

最新推荐文章于 2024-07-19 17:35:15 发布
最新推荐文章于 2024-07-19 17:35:15 发布
阅读量410 收藏
点赞数 1
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77023501/article/details/134728303
版权

攻击防范简介

定义

攻击防范是一种重要的网络安全特性。它通过分析上送CPU处理的报文的内容和行为,判断报文是否具有攻击特性,并配置对具有攻击特性的报文执行一定的防范措施。

攻击防范主要分为畸形报文攻击防范、分片报文攻击防范和泛洪攻击防范。

目的

目前,网络的攻击日益增多,而通信协议本身的缺陷以及网络部署问题,导致网络攻击造成的影响越来越大。特别是对网络设备的攻击,将会导致设备或者网络瘫痪等严重后果。

攻击防范针对上送CPU的不同类型攻击报文,采用丢弃或者限速的手段,以保障设备不受攻击的影响,使业务正常运行。

畸形报文攻击防范

畸形报文攻击是通过向目标设备发送有缺陷的IP报文,使得目标设备在处理这样的IP报文时出错和崩溃,给目标设备带来损失。畸形报文攻击防范是指设备实时检测出畸形报文并予以丢弃,实现对本设备的保护。

分片报文攻击防范

分片报文攻击是通过向目标设备发送分片出错的报文,使得目标设备在处理分片错误的报文时崩溃、重启或消耗大量的CPU资源,给目标设备带来损失。分片报文攻击防范是指设备实时检测出分片报文并予以丢弃或者限速处理,实现对本设备的保护。

泛洪攻击防范

泛洪攻击是指攻击者在短时间内向目标设备发送大量的虚假报文,导致目标设备忙于应付无用报文,而无法为用户提供正常服务。

泛洪攻击防范是指设备实时检测出泛洪报文并予以丢弃或者限速处理,实现对本设备的保护。

泛洪攻击主要分为TCP SYN泛洪攻击、UDP泛洪攻击和ICMP泛洪攻击。

配置攻击防范示例

组网需求

如图1所示,如果局域网内存在Hacker向SwitchA发起畸形报文攻击、分片报文攻击和泛洪攻击,将会造成SwitchA瘫痪。为了预防这种情况,管理员希望通过在SwitchA上部署各种攻击防范措施来为用户提供安全的网络环境,保障正常的网络服务。

图1 配置攻击防范组网图

配置思路

采用如下思路在SwitchA上配置攻击防范:

  1. 使能畸形报文攻击防范功能,避免畸形报文攻击。

  2. 使能分片报文攻击防范功能,避免分片报文攻击。

  3. 使能泛洪攻击防范功能,避免泛洪攻击。

配置步骤

1.使能畸形报文击防范

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.	
[Huawei]sysname S1	
[S1]undo info-center enable 
Info: Information center is disabled.
	
[S1]anti-attack abnormal enable

2.使能分片报文攻击防范,并限制分片报文接收的速率为15000bit/s

[S1]anti-attack fragment enable 	
[S1]anti-attack fragment car cir 15000

3.使能泛洪攻击防范

# 使能TCP SYN攻击防范,并限制TCP SYN报文接收的速率为15000bit/s。

[S1]anti-attack tcp-syn enable 	
[S1]anti-attack tcp-syn car cir 15000

# 使能UDP泛洪攻击防范,对特定端口发送的UDP报文直接丢弃。

[S1]anti-attack udp-flood enable

# 使能ICMP泛洪攻击防范,并限制ICMP泛洪报文接收的速率为15000bit/s。

[S1]anti-attack icmp-flood enable 	
[S1]anti-attack icmp-flood car cir 15000

4.检查配置结果

# 配置完成后,可以通过执行命令display anti-attack statistics查看报文攻击防范的统计数据。

陈建华01
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
交换机端口安全防护与配置
10-01
今天我们来介绍一下交换机端口安全的配置内容,主要防止公司内部的网络攻击和破坏行为,详细的教程,请看下文介绍,需要的朋友可以参考下
华为交换机生成树---安全防护特性(2)
weixin_34034670的博客
01-30 1370
1. root protection由于维护人员的错误配置网络中的恶意***,网络中的合法根交换机有可能会收到优先级更高的BPDU报文,使得合法根交换机失去根交换机的地位,引起网络拓扑结构的错误变动。这种不合法的拓扑变化,可能会导致原来应该通过高速链路的流量被牵引到低速链路上,造成网络拥塞。为了防止这种情况发生,可在交换机部署Root保护功能,通过维持指定端口的角色...
华为交换机实用安全特性配置,别忽略这个关键步骤
SPOTO2021的博客
05-15 672
下午好,我的网工朋友。我们的日常生活越来越依赖于互联网和网络技术,因此网络安全与我们的生活息息相关。通过配置交换机的安全特性,可以提高网络的安全性,,在信息时代避免”裸奔“。今天就来说说华为交换机的安全特性配置,快速上手避免安全侵害。
交换机安全————攻击防范
zj2059129607的博客
12-01 428
Offset字段的最大取值为65528,但是在正常情况下,Offset值不会超过8190(如果offset=8189*8,IP头部长度为20,最后一片报文最多只有3个字节IP载荷,所以正常Offset的最大值是8189),所以如果Offset值超过8190,则这种报文即为恶意攻击报文,设备直接丢弃。启用分片报文攻击防范后,对于重复分片类报文的攻击,设备实现对分片报文进行CAR(Committed Access Rate)限速,保留首片,丢弃其余所有相同的重复分片,保证不对CPU造成攻击
如何减轻 Smurf 攻击
zy18165754120的博客
12-29 227
什么是 Smurf 攻击? Smurf 攻击是一种分布式拒绝服务 (DDoS) 攻击,其中攻击者试图用Internet 控制消息协议 (ICMP)数据包淹没目标服务器。通过使用目标设备的欺骗 IP地址向一个或多个计算机网络发出请求,计算机网络随后响应目标服务器,放大初始攻击流量并可能压倒目标,使其无法访问。这种攻击向量通常被认为是一个已解决的漏洞,不再流行。 Smurf 攻击如何工作? 虽然 ICMP 数据包可用于 DDoS 攻击,但它们通常在网络管理中发挥重要作用。ping
华为交换机配置链路聚合
07-07
"华为交换机配置链路聚合" 链路聚合是将多个物理接口捆绑为一个逻辑接口,实现增加链路带宽、提高可靠性、提供负载分担的目的。在华为交换机中,链路聚合有两种模式:手工模式和LACP模式。 手工模式链路聚合: ...
华为核心交换机vlan配置工具
01-21
华为交换机通常使用CLI进行高级配置,包括VLAN的创建、删除、修改和成员端口的分配。以下是一些基本的CLI命令: 1. 创建VLAN:使用`sysname`命令进入系统视图,然后使用`vlan id`命令创建VLAN,例如`vlan 100`创建...
华为交换机基础配置教程.pdf
05-25
华为交换机基础配置教程 华为交换机基础配置教程.pdf 是一份关于华为交换机基础配置的教程,涵盖了交换机的基本配置、VLAN 的设置、VTP 协议的使用等内容。 一、用户登录和基本配置 * 配置登录用户、口令等:在...
华为交换机监控口配置命令图文教程
10-01
华为交换机监控口配置网络管理中的重要环节,它允许管理员远程监控设备的环境状态,如机柜门、电源和空调电源等。华为S3700-28TP-EI-MC系列交换机提供了这一特性,具有一个监控输入口和一个监控输出口。 监控输入...
华为交换机配置手册和实例.rar
04-25
华为交换机配置手册和实例》是一份详细指导IT专业人士如何操作和配置华为交换机的重要资源。这份压缩包包含了两部分关键内容:华为交换机配置手册(.chm格式)和华为S5700系列交换机的具体配置实例(.pdf格式)。...
初级黑客安全技术命令详解
diebai6789的博客
02-13 209
初级黑客安全技术命令详解要想做一名真正的黑客,仅仅依靠网络流传的黑软进行扫描或者攻击是没有用的,这样永远不可能成长为一名真正的黑客,大家需要注意的是,平时还得注意积累,这次笔者就简单的 为大家介绍一些系统命令,对于初学的菜鸟绝对是必修课之一。   对了,再说两句废话吧,“工欲善其事,必先利其器”——当然不是让你再满世界去找新的黑客软件啦(其实我不反对使用这些软件,相反我很喜欢用它们,但是...
华为配置攻击检测功能示例
专研计算机网络,数据通信,网络安全,系统集成
02-28 1224
V200R021C00版本开始,配置CAPWAP源接口或源地址时,会检查和安全相关的配置是否已存在,包括DTLS加密的PSK、AC间DTLS加密的PSK、登录AP的用户名和密码、全局离线管理VAP的登录密码,均已存在才能成功配置,否则会提示用户先完成相关的配置。开启该功能,添加AP时AP会上线失败,此时需要先开启CAPWAP DTLS不认证方式让AP上线,以便AP获取安全凭证,AP上线后应及时关闭该功能,避免未授权AP上线。通过将检测到的攻击设备加入动态黑名单,丢弃攻击设备的报文,阻止攻击行为。
华为路由交换查arp攻击源的方法
IT技术
01-04 8045
常用命令:1.执行display cpu-usage命令,查看交换机CPU占用率,发现CPU占用率在80%以上,并且查看CPU占用率较高的任务,查找占用率高。 常用命令:2.使用display cpu-defend statistics命令查看上送CPU报文的统计信息,判断是否存在过多各种协议报文。 常用命令:3.执行reset cpu-defend statistics命令,清除上送CPU报文的统计信息。 常用命令:4.执行display cpu-defend statistics packet-type
华为交换机ACL限制telnet登入以及安全防护配置
热门推荐
AshQ
09-19 1万+
交换机的telnet ftp等配置白名单,限制非法登入。 启用Telnet服务 <HUAWEI> system-view [HUAWEI] sysname Telnet_Server [Nxera-YC] telnet server enable 配置VTY用户界面的最大个数。 [Nxera-YC] user-interface maximum-vty 15 配...
计算机网络配置——交换机的安全配置
楠潼的博客
01-22 4732
一、实验目的 了解交换机的工作原理 掌握交换机的端口安全配置 二、实验任务 三、实验原理介绍 交换机的安全配置模式 静态安全MAC地址配置:使用swi port-security mac-addr mac-addr命令手动配置配置的MAC地址将存储在MAC地址表中。同时也添加到交换机配置文件中,重启时仍然生效。 动态安全MAC地址配置:MAC地址是动态获取的,并且仅存储存在当前MAC地址表中,获取到的安全MAC地址在交换机重新启动的时候将被清除。 粘滞安全MAC地址配置:可将配置端口为.
华为核心交换机绑定IP+MAC+端口案例
weixin_34216107的博客
04-14 7481
华为核心交换机绑定IP+MAC+端口案例http://www.iyunv.com/thread-40167-1-1.html1 案例背景某网络改造项目,核心交换机为华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24;客户端接入交换机2通...
【Socket 编程】基于UDP协议建立多人聊天室
稻草人敲代码的博客
07-19 434
对于服务端来说,除了要接收消息之外,还要实现一个路由转发模块,该路由转发模块可以将相应发送给所有连接的客户端。而对于客户端来说,除了要发送消息给聊天室,还要能实时看到其它所有客户端的消息。下面来看看具体实现的代码,代码只给出核心模块,其余代码模块代码可以借鉴我之前的博客。具体来说,服务器类实现的功能只有收消息。
docker build时的网络问题
最新发布
flynetcn的专栏
07-19 387
docker build网络问题
华为交换机配置bgp命令示例
09-23
配置华为交换机的BGP命令示例如下: 1. 创建BGP实例: bgp 100 # 其中100为BGP实例的编号 2. 配置BGP Router ID: router-id 1.1.1.1 # 其中1.1.1.1为指定的Router ID 3. 配置BGP Neighbor: peer 2.2.*****...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值