交换机安全——攻击防范

最新推荐文章于 2024-11-02 13:30:14 发布
最新推荐文章于 2024-11-02 13:30:14 发布
阅读量158 收藏
点赞数 1
分类专栏: 华为交换机 文章标签: 安全 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xw19979790869/article/details/134730801
版权

一、认识攻击防范:

定义

攻击防范是一种重要的网络安全特性。它通过分析上送CPU处理的报文的内容和行为,判断报文是否具有攻击特性,并配置对具有攻击特性的报文执行一定的防范措施。

攻击防范主要分为畸形报文攻击防范、分片报文攻击防范和泛洪攻击防范。

目的

目前,网络的攻击日益增多,而通信协议本身的缺陷以及网络部署问题,导致网络攻击造成的影响越来越大。特别是对网络设备的攻击,将会导致设备或者网络瘫痪等严重后果。

攻击防范针对上送CPU的不同类型攻击报文,采用丢弃或者限速的手段,以保障设备不受攻击的影响,使业务正常运行。

攻击防范应用场景

SwitchA经常会受到不同类型的网络攻击,这样会导致设备资源使用率过高,影响网络服务。为保障给用户提供安全的网络服务,在SwitchA上部署攻击防范功能,主要防范的攻击类型包括:

  • 畸形报文攻击防范,防止畸形报文攻击。

  • 分片报文攻击防范,限制分片报文的速率,防止分片报文对CPU造成攻击,占用过多CPU和设备资源。

  • 泛洪攻击防范,包括以下三种:

    1.TCP SYN泛洪攻击防范,限制TCP SYN报文的速率,防止CPU处理TCP SYN报文占用过多资源;
  • 2.UDP泛洪攻击防范,对特定端口发送的UDP报文直接丢弃;
  • 3.ICMP泛洪攻击防范,限制ICMP泛洪攻击报文的上送速率,防止CPU处理ICMP泛洪攻击报文占用过多资源。

三、实验: 

3.1 实验拓扑:

3.2 实验步骤:

  1. 使能畸形报文攻击防范 

    <HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] anti-attack abnormal enable

  2. 使能分片报文攻击防范,并限制分片报文接收的速率为15000bit/s 

    [SwitchA] anti-attack fragment enable
[SwitchA] anti-attack fragment car cir 15000

  3. 使能泛洪攻击防范 

    # 使能TCP SYN攻击防范,并限制TCP SYN报文接收的速率为15000bit/s。

[SwitchA] anti-attack tcp-syn enable
[SwitchA] anti-attack tcp-syn car cir 15000

    # 使能UDP泛洪攻击防范,对特定端口发送的UDP报文直接丢弃。

    [SwitchA] anti-attack udp-flood enable

    # 使能ICMP泛洪攻击防范,并限制ICMP泛洪报文接收的速率为15000bit/s。

    [SwitchA] anti-attack icmp-flood enable
[SwitchA] anti-attack icmp-flood car cir 15000

 3.3 实验结果:

IT_小薇子
关注
专栏目录
锐捷交换机——安全功能:CPP
君逍遥o
10-10 619
现场一台S5750E交换机与S8606交换机通过三层口互联,发现S8606交换机ping S5750E 18024字节的包,发现规律性丢包(ping1000个包大概丢3个),目前关闭两台交换机NFPP的ICMP-Guard功能依然出现这样的情况,后通过确认是S5750E的CPP保护导致丢包,现需要对S5750E交换机的CPP中的ICMP PPS值进行调整。
交换机安全配置与管理详解
悦分享
01-05 1128
MAC地址表记录了与交换机相连的设备的MAC地址、接口号以及所属的VLAN ID的对应关系,也就是通常所说的CAM(Content Addressable Memory,内容可寻址内存)表。在转发数据时,设备根据报文中的目的 MAC 地址查询 MAC 地址表,快速定位出接口,从而减少广播。MAC地址表与ARP表是不同的,ARP表中描述的是IP地址与MAC地址的对应关系,用来通过IP地址解析MAC地址的,在局域网内部最终又是通过MAC地址表查找对应的出接口,进行数据帧转发的。
交换机安全————攻击防范
zj2059129607的博客
12-01 516
Offset字段的最大取值为65528,但是在正常情况下,Offset值不会超过8190(如果offset=8189*8,IP头部长度为20,最后一片报文最多只有3个字节IP载荷,所以正常Offset的最大值是8189),所以如果Offset值超过8190,则这种报文即为恶意攻击报文,设备直接丢弃。启用分片报文攻击防范后,对于重复分片类报文的攻击设备实现对分片报文进行CAR(Committed Access Rate)限速,保留首片,丢弃其余所有相同的重复分片,保证不对CPU造成攻击
ARP欺骗之——ARP攻击防范
温柔小薛的博客
05-09 1057
攻击防范 1、不要随意登录免费的WIFI 2:使用ARP绑定, 避免被ARP欺骗; 3:开启电脑管家或者360安全卫士的ARP防火墙或金山贝壳或彩影ARP防火墙; 4:使用https协议或者其他有保密协议的连接访问外网。 这几个方法无法彻底隔绝 可以彻底隔绝的就是划分VLAN 绑定网关 隔离ARP广播 无法彻底杜绝的原因 虽然防火墙检测到了攻击但是为什么用户的网络还是被破坏了呢 让我们看一下arp缓存表 防火墙并没有保护arp缓存表不被修改 现在官方的两个硬件防御方法参考 https://wenku.ba
锐捷交换机——安全功能:NFPP
Innocence_0的博客
04-04 1088
NFPP作为保护交换机自身CPU不受攻击不能替代防范ARP欺骗相关的安全功能,设备缺省支持并打开NFPP,建议保留开启并适当调整。调整原则:1、在接入设备上,通常无需调整,因为非网关设备,没有配置网关IP地址也不会运行一些复杂路由,管理协议等,无需额外消耗CPU,所以很少会遭受攻击。2、在汇聚设备上,默认的基于端口的限速100PPS/攻击200PPS阈值偏小,当端口下用户较多,ARP攻击较多时,可能导致用户正常的ARP报文丢弃,导致用户端丢包,需要放大。
网络安全——局域网内网络防范手段(MAC地址攻击、ARP攻击、DHCP攻击
永远是少年
07-06 5395
今天给大家介绍一下局域网内的网络攻击手段的防范手段。主要是依托华为交换机和路由器配置,介绍MAC地址攻击、ARP攻击、DHCP攻击攻击防范。本文会把华为交换机系列防御配置命令进行介绍,适合对局域网攻击和防御技术感兴趣的同学,阅读文本,您需要对局域网交换和通信过程有基本的认识和了解。 阅读本文前,您可以先查阅这篇文章——网络安全——局域网内网络攻击手段(MAC地址攻击、ARP攻击、DHCP攻击)本文就是以该文章为脉络,针对上述文章中提到的攻击技术手段进行防御方面的介绍。 一、MAC地址攻击防范技术 MAC
华为交换机——ARP安全配置举例
xw19979790869的博客
11-28 1930
ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击
网络安全设备——探针
Nove1205的博客
07-04 5821
网络安全中的探针是什么?
设备安全——入侵检测IDS
Miracle_ze的博客
09-12 3631
IDS(入侵检测系统):对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果。用于保证系统资源的安全(机密性、完整性、可用性)设备本身(IDS系统)是一个软件与硬件的组合系统。IDS的作用:实时监测经典检测模型通用的入侵检测系统抽象模型● 主体(subject)● 对象(object)● 审计记录(audit record)● 活动档案(profiles)● 异常记录(anomoly records)● 活动规则(activity rules)入侵检测经典理论。
交换机漏洞揭秘:VLAN跳跃与STP攻击防范
网络的核心设备——交换机在...交换机漏洞管理是网络运维中不可忽视的一部分,理解并防范这些漏洞攻击是确保网络正常运行和信息安全的基础。只有通过深入了解和应对,才能有效抵御黑客的威胁,维护网络的稳定和高效。
基于 SM3 的密钥派生函数 (KDF):国密合规的安全密钥生成方案
A_Lonely_Smile的博客
10-29 956
在现代加密技术中,密钥派生函数(Key Derivation Function, KDF)是一个将初始输入(如密码、共享密钥等)转换为安全密钥的过程,用于实现加密、消息认证等密码操作。特别是在符合国密标准的场景中,基于 SM3 的 KDF 已成为一种常用的密钥生成方式。本文将详细讲解 SM3-KDF 的工作原理,逐步介绍其实现过程,并提供 Java 代码示例,帮助您理解如何在项目中应用 SM3-KDF。
前端如何安全存储密钥,防止信息泄露
AM1n98的博客
10-30 1217
把公钥写在前端代码文件里被公司检测到了要整改,整理几种常见的前端密钥存储方案。
冷钱包与热钱包的差异 | 加密货币存储的安全方案
tusik68的博客
11-01 1077
想要安全存储加密货币?了解冷钱包和热钱包的核心差异,找到适合的存储方式,确保您的数字资产安全无忧。
轻型民用无人驾驶航空器安全操控理论培训知识总结-多旋翼部分
Lizzy_Fly的博客
10-30 869
15.航空器的视觉避障只有在光照等环境条件满足视觉系统工作要求时才能生效,光照条件特别暗或者特别亮的情况下,请谨慎飞行,即使视觉系统正常工作时,也可能无法精准识别高压线,而且高压线还会影响图传和遥控信号,因此不建议在高压线间飞行,如因电力巡检等工作原因必须在此环境下飞行,建议经专门培训后再进行操作;当航空器记录了返航点并且在定位服务良好的情况下,航空器电池电量不足、遥控器与航空器之间失去通讯信号以及图传信号丢失时,将会触发自动返航,操控员也可主动开启自动返航,航空器将自动返回返航点并降落。
【Python爬虫实战】网络爬虫完整指南:HTTP/HTTPS协议与爬虫安全实践
小火龙的博客
10-29 1109
是互联网的核心协议之一,用于在客户端(如浏览器或爬虫)和服务器之间传输数据。HTTP协议定义了请求和响应的格式,帮助不同设备进行信息交换,例如我们在浏览网页时,浏览器就是通过HTTP向服务器请求页面内容,然后显示在用户面前。是HTTP协议的升级版,通过SSL/TLS加密协议增强了数据传输的安全性。HTTPS协议会在数据传输过程中对数据进行加密,防止中途被拦截或篡改,因此在保护用户隐私和敏感信息方面起到了重要作用。
Linux系统安全配置
qq_24442273的博客
10-28 894
【代码】Linux系统安全配置。
网站被浏览器提示不安全怎么办?——附解决方案
2403_87921797的博客
10-30 526
首先,确保你的网站使用了有效的SSL证书。使用安全扫描工具来检测潜在的安全问题。记住,网站安全不仅关乎用户体验,也直接影响到网站的搜索排名和信誉。:在解决问题期间,通过社交媒体、电子邮件等方式通知用户你的网站正在进行安全维护,以减少用户的不信任感。:如果你已经解决了安全问题,可以向浏览器提供商提交重新审查的请求,以便他们更新你的网站安全状态。:即使问题得到解决,也需要持续监控网站的安全状态,防止未来再次出现安全问题。:确保你的网站托管服务提供商具有良好的安全记录,能够提供必要的安全支持。
挂钩图像分割安全状态与危险状态识别系统:更新创新流程
最新发布
lzmlzm89的博客
11-02 561
数据集信息展示在本研究中,我们使用了名为“test1”的数据集,以支持改进YOLOv8-seg的挂钩图像分割安全状态与危险状态识别系统的训练与验证。该数据集专门设计用于处理与安全相关的图像分类任务,旨在提高系统对不同安全状态的识别能力,从而为实际应用提供更为精准的安全监测解决方案。“test1”数据集包含三种主要类别,分别为“安全状态”、“危险状态_1”和“危险状态_2”。这些类别的选择反映了在实际应用中可能遇到的多样化安全场景,能够有效地模拟和识别不同的安全与危险状态。
重磅新品丨Fortinet 发布 Lacework FortiCNAPP,强化云原生应用安全
Sophya89的博客
10-30 938
致力于网络安全融合的全球网络安全供应商 Fortinet®(纳斯达克代码:FTNT)近日宣布,推出了一款全新人工智能(AI)驱动的统一防护平台——Lacework FortiCNAPP,该平台依托单一供应商优势,全面覆盖从代码安全到云安全的应用程序全生命周期。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值