IP源防攻击
1、ip safe guard
利用dhcp snooping功能,生成端口、vlan、sip、mac的绑定表,只有命中绑定表的报文才允许通过
2、urpf
如果是对称路由,采用严格urpf检查(sip命中路由表,且报文的端口号与路由表的端口号一致);如果是非对称路由,采用松散urpf(sip命中路由表即可)
可以避免ip伪造报文进行欺骗
CPU防攻击
避免上送给CPU的数据流量过大
方法:
1、对上送CPU的流量进行限速,采用的方式可以是:黑命中、CPCAR、CPU同一限速、deny等
CPU限速可以是多级,比如第一级基于协议,如ARP、ICMP、IGMP等;第二级基于队列,同一类型的协议划为一个队列,如ARP、ICMP、IGMP是控制管理协议,一个队列
OSPF、BGP等路由协议报文是一个队列;第三级基于CPU总接口
2、应用层协议联动
对于如FTP session、BGP session等协议可以提高限速或不限速
3、攻击溯源
对报文来源的流量进行统计,如SMAC、SMAC+VLAN,当发现流量超过了警戒值,则认为是攻击,采取deny动作,不转发给CPU
攻击防范
分为畸形报文攻击和泛洪攻击
1、没有IP净荷的报文
2、没有净荷的IGMP报文
3、LAND攻击:源ip和目的ip都为攻击目标ip的tcp syn报文
4、smurf攻击:目的IP地址为广播地址,源ip为攻击目标ip的icmp echo request报文
5、TCP标志为非法攻击:6个标志位全为1或全为0或syn、fin同时有效
6、分片报文攻击
1)分片数量非常大,甚至超过8189个(因为ip分片的最小长度是8字节)
2)分片数据重叠,不同的分片有重复数据段,或一个分片是另一分片的一部分
3)offset巨大攻击
4)重组后的ip报文总长度超过65535字节
7、tcp syn泛洪:只发送tcp syn报文,但不回应tcp syn+ack报文
8、udp 泛洪:
fraggle:与smurf攻击一直,不过采用了udp echo request报文,端口号为7
udp诊断端口攻击:发送大量的udp端口为7、13、19的udp报文
9、icmp泛洪攻击:发送非常快速的icmp echo报文
流量抑制
对未知单播、未知组播、组播和广播流量进行CAR抑制,一般设为端口流量的百分之几十。
出端口可以block未知单播、未知组播、广播流量