6 安全特性_valid-ttl-hops 1-CSDN博客

本文链接：https://blog.csdn.net/xnxqwzy/article/details/136986761

6.1.0 四种安全方式

6.1.1 MD5

6.1.2 GTSM

6.1.3 Route-limit

6.1.4 AS_Path长度保护

6.1.0 四种安全方式

1.MD5

2.GTSM

3.限制从对等体接收的路由数量

4.AS_Path长度保护

6.1.1 MD5

BGP使用TCP作为传输层协议，为提高BGP的安全性，可以 在建立 TCP连接时进行MD5认证。但BGP的MD5认证并不 能对
BGP报文认证，它只是为TCP连接设置MD5认证密码 ，由TCP完成认证。如果认证失败，则不建立TCP连接。

6.1.2 GTSM

GTSM（Generalized TTL Security Mechanism）
GTSM通过检测IP报文头中的TTL值是否在一个预先定义好的特定范围内，对IP层以上业务进行保护，增强系统的安全性。使能BGP的GTSM策略后，接口板对所有BGP报文的TTL值进行检查。根据实际组网的需要，对于不符合TTL值范围的报文，GTSM可以设置为通过或丢弃。配置GTSM缺省动作为丢弃时，可以根据网络拓扑选择合适的TTL有限值范围，不符合TTL值范围的报文会被接口板直接丢弃，这样就避免了网络攻击者模拟的“合法”BGP报文占用CPU。 该功能与EBGP多跳互斥 。

攻击方法介绍

攻击者模拟真实的路由协议，对一台设备不断发送报文，导致设备因处理这些“合法”报文（攻击报文）而使系统异常繁忙，CPU占用率过高。为了避免CPU过载，采用GTSM策略，通过检查IP报文头中的TTL值是否在一个预先定义好的范围内以实现对采用IP转发的业务进行保护。

图1 安全攻击

配置维护方法

执行命令 gtsm default-action { drop | pass
}，设置未匹配GTSM策略的报文的缺省动作。缺省情况下，默认动作是pass，即未匹配GTSM策略的报文可以通过过滤。

以BGP为例，要求收到报文的TTL范围为[255,255]：

[HUAWEI] bgp 10

[HUAWEI-bgp] peer 10.1.1.2 valid-ttl-hops 1

执行命令 display gtsm statistics all
，可以查看GTSM的统计信息，包括报文总数、通过的报文数量、丢弃的报文数量。例如：

display gtsm statistics all

GTSM Statistics Table

----------------------------------------------------------------

SlotId Protocol Total Counters Drop Counters Pass Counters

----------------------------------------------------------------

0 BGP 2 0 2

0 BGPv6 0 0 0

0 OSPF 0 0 0

0 LDP 0 0 0

1 BGP 0 0 0

1 BGPv6 0 0 0

1 OSPF 0 0 0

1 LDP 0 0 0

----------------------------------------------------------------

配置维护建议

适用小型网络，需要在整个网络部署GTSM策略才能达到防攻击效果。

peer valid-ttl-hops

命令功能

peer valid-ttl-hops 命令用来在BGP对等体（组）上应用GTSM功能。

undo peer valid-ttl-hops 命令用来撤销在BGP对等体（组）上应用的GTSM功能。

缺省情况下，没有在BGP对等体（组）上配置GTSM功能。

命令格式

peer { group-name | ipv4-address | ipv6-address } valid-ttl-hops
[ hops ]

undo peer { group-name | ipv4-address | ipv6-address } valid-ttl-
hops

参数说明

参数

参数说明

取值

—|—|—

group-name

指定对等体组的名称。

字符串形式，区分大小写，不支持空格，长度范围是1～47。当输入的字符串两端使用双引号时，可在字符串中输入空格。

ipv4-address

指定对等体的IPv4地址。

点分十进制格式。

ipv6-address

指定对等体的IPv6地址。

32位16进制数，格式为X:X:X:X:X:X:X:X。

hops

指定需要检测的TTL跳数值。

整数形式，取值范围是1～255，缺省值是255。如果配置为 hops ，则被检测的报文的TTL值有效范围为[255– hops +1, 255]

6.1.3 Route-limit

防止资源耗尽性攻击

6.1.4 AS_Path长度保护

1.在入口和出口两个方向对AS_Path的长度进行限定

2.as-path-limit，默认为2000

最后

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，大家如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。

干货主要有：

①1000+CTF历届题库（主流和经典的应该都有了）

②CTF技术文档（最全中文版）

③项目源码（四五十个有趣且经典的练手项目及源码）

④ CTF大赛、web安全、渗透测试方面的视频（适合小白学习）

⑤ 网络安全学习路线图（告别不入流的学习）

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里
👉[网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！](https://mp.weixin.qq.com/s/BWb9OzaB-
gVGVpkm161PMw)

扫码领取

![](https://img-
blog.csdnimg.cn/img_convert/f15282c6f66b163f361bd0eeadcc83d8.jpeg)

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段