攻击防范的配置

攻击防范简介

定义

攻击防范是一种重要的网络安全特性。它通过分析上送CPU处理的报文的内容和行为，判断报文是否具有攻击特性，并配置对具有攻击特性的报文执行一定的防范措施。

攻击防范主要分为畸形报文攻击防范、分片报文攻击防范和泛洪攻击防范。

目的

目前，网络的攻击日益增多，而通信协议本身的缺陷以及网络部署问题，导致网络攻击造成的影响越来越大。特别是对网络设备的攻击，将会导致设备或者网络瘫痪等严重后果。

攻击防范针对上送CPU的不同类型攻击报文，采用丢弃或者限速的手段，以保障设备不受攻击的影响，使业务正常运行。

畸形报文攻击防范

畸形报文攻击是通过向目标设备发送有缺陷的IP报文，使得目标设备在处理这样的IP报文时出错和崩溃，给目标设备带来损失。畸形报文攻击防范是指设备实时检测出畸形报文并予以丢弃，实现对本设备的保护。

畸形报文攻击主要分为以下几类：

没有IP载荷的泛洪，IGMP空报文，LAND攻击，Smurf攻击，TCP标志位非法攻击

分片报文攻击防范

分片报文攻击是通过向目标设备发送分片出错的报文，使得目标设备在处理分片错误的报文时崩溃、重启或消耗大量的CPU资源，给目标设备带来损失。分片报文攻击防范是指设备实时检测出分片报文并予以丢弃或者限速处理，实现对本设备的保护。

分片报文攻击主要分为以下几类：

分片数量巨大攻击，巨大Offset攻击，重复分片攻击

泛洪攻击防范

泛洪攻击是指攻击者在短时间内向目标设备发送大量的虚假报文，导致目标设备忙于应付无用报文，而无法为用户提供正常服务。

泛洪攻击防范是指设备实时检测出泛洪报文并予以丢弃或者限速处理，实现对本设备的保护。

泛洪攻击主要分为TCP SYN泛洪攻击、UDP泛洪攻击和ICMP泛洪攻击。

实验拓补图

实验步骤

配置畸形报文攻击

[s1]anti-attack abnormal enable

配置使能分片报文攻击防范，并限制分片报文接收的速率为15000bit/s

[s1]anti-attack fragment enable
[s1]anti-attack fragment car cir 15000

使能TCP SYN攻击防范，并限制TCP SYN报文接收的速率为15000bit/s。

[S1] anti-attack tcp-syn enable
[S1] anti-attack tcp-syn car cir 15000

使能UDP泛洪攻击防范，对特定端口发送的UDP报文直接丢弃。

[S1] anti-attack udp-flood enable

使能ICMP泛洪攻击防范，并限制ICMP泛洪报文接收的速率为15000bit/s。

[S1] anti-attack icmp-flood enable
[S1] anti-attack icmp-flood car cir 15000