下面进行今天的正题:
一、本机防范攻击
本机防攻击可保护 CPU,解决 CPU 因处理大量正常上送 CPU 的报文或者恶意攻击报文造成的业务中断问题。
1、本机防攻击简介
在网络中,存在着大量针对 CPU 的恶意攻击报文以及需要正常上送 CPU 的各类报文。针对 CPU 的恶意攻击报文会导致 CPU 长时间繁忙的处理攻击报文,从而引发其他业务的断续甚至系统的中断;
大量正常的报文也会导致 CPU 占用率过高,性能下降,从而影响正常的业务。
为了保护 CPU,保证 CPU 对正常业务的处理和响应,设备提供了本机防攻击功能。本机防攻击针对的是上送 CPU的报文,主要用于保护设备自身安全,保证已有业务在发生攻击时的正常运转,避免设备遭受攻击时各业务的相互影响。
2、本机防攻击基本原理
本机防攻击包括攻击溯源和 CPU 防攻击两部分。
攻击溯源针对 DOS 攻击进行防御。设备通过对上送 CPU 的报文进行分析统计,然后对统计的报文设置一定的阈值,将超过阈值的报文判定为攻击报文,再对这些攻击报文根据报文信息找出攻击源用户或者攻击源接口,最后通过日志、告警等方式提醒管理员以便管理员采用一定的措施来保护设备,或者直接丢弃攻击报文以对攻击源进行惩罚。
如图所示,攻击溯源包括报文解析、流量分析、攻击源识别和发送日志告警通知管理员以及实施惩罚四个过程。
攻击溯源原理
通过图所示的四个过程,找出攻击源,然后管理员通过 ACL 或配置黑名单的方式限制攻击源,以保护设备 CPU。
CPU 防攻击针对对上送 CPU 的报文进行限制和约束,使单位时间内上送 CPU 报文的数量限制在一定的范围之内,从而保护 CPU 的安全,保证 CPU 对业务的正常处理。
1. 多级安全机制,保证设备的安全,实现了对设备的分级保护。
设备通过以下策略实现对设备的分级保护:
第一级:通过黑名单来过滤上送 CPU 的非法报文。
第二级:CPCAR(Control Plane Committed Access Rate)。对上送 CPU 的报文按照协议类型进行速率限制,保证每种协议上送 CPU 的报文不会过多。
第三级:对上送 CPU 的报文,按照协议优先级进行调度,保证优先级高的协议先得到处理。
第四级:对上送 CPU 的报文统一限速,对超过统一限速值的报文随机丢弃,保证整体上送 CPU的报文不会过多,保护 CPU 安全。
2. 动态链路保护功能的 CPU 报文限速,是指当设备检测到 HTTP Session 数据、 FTP Session 数据以及BGP Session 数据建立时,会启动对此 Session 的动态链路保护功能,后续上送报文如匹配此 Session特征信息,此类数据将会享受高速率上送的权利,由此保证了此 Session 相关业务的运行可靠性、稳定性。
二、CPU 防攻击的基本原理
1、令牌桶技术
借助令牌桶技术,通过控制投放令牌的速率来限制报文流在接口入方向上的速率。如果桶中有足够的令牌,则说明报文流符合速率限制,报文将直接被发送;否则,超出速率限制的报文流将被放入缓冲区而不丢弃。
令牌桶中的令牌数目以恒定速率增加,直到桶中再次拥有足够令牌。
此时,系统将按一定周期从缓冲区中取出缓存报文进行发送。每次发送时,都会比较缓存报文与令牌桶中的令牌数并删除与发送报文量相当的令牌数量,直到缓存报文全部发送完毕或桶中的令牌数减少到足够少以至无法再发送缓存报文为止。
2、CPU 报文限速
对设备 CPU 的保护分如下几级:1)基于每个协议的限速;2)基于队列的调度;3)所有报文统一限速,三种限速都同时生效,以限速值小的为准。
CPU 报文限速总览
对协议报文的限速,是针对每个单独的协议进行限速,比如 ARP、 DHCP 协议,每个协议都有一定的带宽,保证每种协议的业务能够正常处理,同时对每个协议进行限速可以保证协议之间不互相影响,不会因为某种协议的流量过大导致其它协议得不到处理。
协议限速之后,一类协议再分配一个队列,比如 Telnet、 SSH 等管理类协议一个队列、路由协议一个队列,各个队列之间按照权重或优先级方式调度,保证各类业务的优先级,优先级高的业务被 CPU 调度的几率更大,在有冲突的情况下保证高优先级业务优先处理。
所有报文统一限速是为了限制 CPU 处理的报文总数,保证在 CPU 的处理能力范围内,尽可能多的处理协议报文,但不能导致 CPU 出现异常,保护交换机的 CPU 资源。
在某些网络环境中,设备的管理网口没有部署单独的网络,或者部署的单独网络仍然存在攻击,可能导致交换机的 CPU 一直忙于处理攻击报文,无法处理正常业务,轻则导致设备 CPU 占用率高,重则导致业务异常。因此需要对管理网口的报文进行限速,保证管理网口上接收的报文数不超过设备的处理能力,以保护设备的安全性。
说明:
对管理网口进行限速,在攻击严重的情况下,可能导致设备脱管,无法从管理网口登录,这种情况下建议用户对该网络上的主机进行杀毒,或者重新规划组网。
3、应用层协议联动
当 OSPF、 BGP、 FTP 等链接建立后,如图 所示的基于协议的限速就不再作用,以应用层协议联动功能设定的限速值进行限速
三、攻击溯源
攻击溯源针对设备 CPU 的 DOS 攻击进行防御。通过对上送 CPU 的报文进行分析统计,对统计的报文设置一定的阈值,超过阈值的报文即认为是攻击报文,对这些攻击的报文根据报文信息找出攻击源用户、或者攻击源接口,然后通过日志、告警等方式提醒管理员,以便管理员采用一定的措施来保护设备。
如图所示,攻击溯源包括报文解析、流量分析、攻击源识别和发送日志告警通知管理员四个过程。
攻击溯源原理
通过图所示的四个过程,
1. 对用户从用户和端口两个维度进行报文解析。用户通过 MAC 地址标识,端口通过“物理端口+VLAN”(包括 QinQ 内层 VLAN)标识。
2. 根据协议和 MAC 地址(或者端口信息)统计接收到的报文数量。
3. 当报文数量超过了配置的阈值时,就认为是用户攻击。
4. 当检测到攻击后,会发送日志、告警。
2550
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
