2023/3/10攻擊防范技術Page2常見攻擊介紹攻擊介紹攻擊和防范原理攻擊防范命令配置攻防典型組網應用防范的影響和維護攻擊防范常見問題Page3常見攻擊介紹－網絡攻擊類型DDOS攻擊非法報文攻擊掃描攻擊蠕蟲木馬

后門病毒系統漏洞物理威脅監聽口令欺騙IDSVPNPKI防病毒系統VS防火墻無處不在的網絡安全威脅！Page4常見攻擊介紹－攻擊DDos攻擊，常見的有SYNFLOOD、UDPFLOOD、ICMPFLOOD、HTTPFLOOD、TCP連接耗盡等；攻擊是目前網絡上的主要威脅，本膠片將著重介紹。原理：通過僵尸網絡發起，分為帶寬型和應用型攻擊；危害：用戶商業應用停頓；運營商網絡基礎架構癱瘓；背景：利益驅動；難以防范和追溯；立法不健全；僵尸電腦僵尸電腦攻擊者運營商網絡IDC/專線用戶Page5常見攻擊介紹－非法報文攻擊非法報文攻擊，可分為畸形報文和欺騙報文兩類；原理：利用協議和主機操作系統漏洞，直接或間接地發送非法報文進行攻擊；危害：服務器緩慢或崩潰，用戶商業應用停頓；背景：通信協議自身問題，主機系統對協議支持嚴密性問題；IpfragmentIpspoofingTcpflagPingofdeathTeardropLandSmurfICMP重定向/不可達FraggleWinNuke非法報文畸形報文欺騙報文Page6常見攻擊介紹－掃描攻擊掃描攻擊，分為IP地址掃描和端口掃描兩類；原理：黑客使用工具窺探目標主機的存在和開放的端口；危害：掃描攻擊是黑客攻擊或入侵的開始；背景：利益驅動；黑客攻擊；黑客掃描網絡上的主機，然后發現開放端口，利用系統漏洞進行攻擊或入侵。Page7常見攻擊介紹攻擊介紹攻擊和防范原理攻擊防范命令配置攻防典型組網應用防范的影響和維護攻擊防范常見問題Page8TCPSYN拒絕服務攻擊ICMP洪水UDP洪水端口掃描地址掃描虛擬終端（VTY）SSH掃描針對設備轉發表的攻擊Page9分布式拒絕服務攻擊（distributingdenyofservice），簡稱DDoS。攻擊者通過控制大量的肉雞向被攻擊者發送大量的數據流，造成被攻擊者鏈路擁塞、系統資源耗盡，從而無法向用戶提供正常業務。的特點是攻擊者不直接參與攻擊，而是通過直接或間接的方式與肉雞取得聯系，然后命令肉雞發起攻擊。在這個過程中，攻擊者充當的是管理肉雞、發號命令的角色，真正發起攻擊的是肉雞。通常肉雞主動與控制者聯系，目前發現互聯網中潛在著數量巨大的肉雞群，這些肉雞群和控制者被統稱為僵尸網絡。常見攻擊介紹－掃描攻擊Page10DDoS分布式拒絕服務攻擊（distributingdenyofservice），簡稱DDoS，是目前最流行的攻擊方式。與傳統的單包攻擊有區別，攻擊流量都是合法的報文，而且多數情況是模擬正常業務請求。控制者命令肉雞發起攻擊，造成被攻擊者拒絕服務，這是最大的特點。攻擊介紹－相關名詞解釋Page11IDC互聯網數據中心（InternetDataCenter），簡稱IDC。IDC就是電信部門利用已有的互聯網通信線路、帶寬資源，建立標準化的電信專業級機房環境，為企業、政府提供服務器托管、租用以及相關增值等方面的全方位服務。IDC中布置了各種服務器，這些服務器向互聯網用戶提供HTTP、FTP、VOD、網絡游戲等業務。IDC具有開放性和訪問密集性的特點，再加上各互聯網集團之間的利益和競爭關系，種種因素使得IDC成為了熱門的攻擊對象。目前，IDC面臨的最大威脅是攻擊。攻擊介紹－相關名詞解釋Page12控制者控制者是命令的發布者，控制者能自由的控制肉雞什么時候開始攻擊，攻擊持續多久，哪些肉雞參與攻擊，發送什么樣的攻擊流量，以及攻擊目標等。的控制者可能是多級的，可以是下面這些情況：肉雞——控制者肉雞——控制者控制者控制者的多級性能很好的把攻擊者隱藏起來，使得攻擊者難以被追蹤。

攻擊介紹－相關名詞解釋Page13肉雞肉雞（也稱僵尸）是被植入木馬的計算機。木馬程序是攻擊者（黑客）生成的運用程序，木馬程序都具備四個功能模塊，分別是偽裝模塊、監控模塊、通信模塊和攻擊模塊。偽裝模塊主要作用是讓木馬程序自動的在被植入的計算機上運行，寄生在某進程中，使其不容易被發現或查殺。監控模塊用于收集用戶計算機、用戶輸入信息，通過這個模塊木馬程序可以盜取用戶的重要信息。通信模塊主要負責與控制者（一級控制者）通信，通常都是木馬程序主動和控制者通信，攻擊命令就是通過通信模塊從控制者獲取的。攻擊模塊的功能就是產生各種攻擊流量，一種木馬程序的攻擊種類是在程序生成時就確定的，因此木馬程序植入計算機后，肉雞的攻擊種類也就固定了，除非計算機被植入新的木馬程序。攻擊介紹－相關名詞解釋Page14黑客生成肉雞之后，通過入侵等方式將木馬程序放置到網站、論壇等訪問量較大的地方，這個過程稱作“掛馬”。掛馬成功后，當用戶訪問被掛馬的網頁，如果用戶計算機的安全措施不足，那么木馬程序就會在訪問網頁的過程中植入用戶的計算機中，用戶的計算機攜帶了木馬程序，就淪為了黑客的肉雞。在用戶計算機啟動后，木馬程序會定時的與控制者聯系，通知控制者自己在線，并蓄勢待命。除了通過網頁掛馬方式外，木馬程序還可以通過其他方式植入主機，如利用各種系統或程序漏洞進行傳輸，比如QQ等。黑客眼中的肉雞有不同的利用價值，一只新鮮的肉雞，黑客通常會設法利用它盜取重要信息，包括各種帳號密碼等用戶隱私信息。經過了這層搜刮后，肉雞的利用價值就下降，然后黑客就會讓他們參加攻擊。在發起攻擊時，黑客會根據肉雞的實際能力來發動相應強度的攻擊，以防止“掉雞”。攻擊介紹－相關名詞解釋Page15僵尸網絡（Botnet）控制者和肉雞組成了的集合稱為僵尸網絡，僵尸網絡構成了一個攻擊平臺，利用這個平臺可以有效地發起各種各樣的攻擊行為，可以導致整個基礎信息網絡或者重要應用系統癱瘓，也可以導致大量機密或個人隱私泄漏，還可以用來從事網絡欺詐等其他違法犯罪活動。DDOS、發送垃圾郵件、竊取秘密、濫用資源是已經發現的利用Botnet發動的攻擊行為，這些行為對整個網絡還是用戶自身都造成了比較嚴重的危害。隨著將來出現各種新的攻擊類型，Botnet還可能被用來發起新的未知攻擊。攻擊介紹－相關名詞解釋Page16常見攻擊介紹攻擊介紹攻擊和防范原理攻擊防范命令配置攻防典型組網應用防范的影響和維護攻擊防范常見問題Page17DDoS攻擊工具種類較多，這些工具產生的攻擊流量可以分為流量型和業務型兩類，其中流量型主要是依靠發送無狀態協議的大包來堵塞被攻擊者鏈路，比如UDPFLOOD、ICMPFLOOD，業務型攻擊則是肉雞模擬正常用戶反復的請求某項業務，大量的肉雞這樣做能使服務器繁忙，比如HTTPFLOOD、DNSFLOOD。本節將基于協議介紹DDoS的各種攻擊類型，以及目前Eudemon1000的防范原理。

攻擊和防范原理Page18常見的TCP類攻擊有SYNFLOOD、HTTPFLOOD和CONNECTIONFLOOD，下面分別對這些攻擊進行介紹。SYNFLOODSYNFLOOD是較早出現的攻擊類型，TCP三次握手需要SYN、SYNACK、ACK三個報文完成，而SYNFLOOD攻擊只出現SYN、SYNACK兩個包，攻擊者不發送ACK包，這樣形成的連接稱作半連接，半連接對客戶端造成的消耗極小，對服務器造成的消耗較大，SYNFLOOD就是通過大量的半連接來消耗服務器資源。Eudmon1000采用TCP代理來防范SYNFLOOD，開啟TCP代理后，防火墻能100%的防御半連接攻擊。但是如果流量單方向經過防火墻（如旁掛組網），SYNFLOOD的TCP代理就不能開啟，這時可以考慮使用SYNFLOOD的tcp-proxyoff，對連接速率進行限制。

攻擊和防范原理－SYNFLOODPage19HTTPFLOODHTTPFLOOD是業務型攻擊，肉雞頻繁的連接網頁服務器，并發送請求，致使服務器繁忙，拒絕正常用戶。現在的網站幾乎都是動態網站，服務器在接收到請求（GET）時都需要執行業務邏輯層代碼，必要時還需要執行數據庫操作等動作，這些步驟都消耗著服務器的資源，肉雞模擬正常請求頻繁的讓服務器執行這些步驟，這樣就會造成服務器資源消耗嚴重，響應緩慢，進入癱機狀態。現在互聯網上許多大網站都通過動態生成靜態頁面、或代碼限制刷新的方式來提高自己的抗攻擊能力，這些措施能達到顯著的效果。但是許多中小型網站在設計開發時就根本沒把抗攻擊因素考慮進去，以至掛到網上后顯得很脆弱，遭到攻擊就很容易癱機。攻擊和防范原理－HTTPFLOODPage20目前，Eudemon1000防范HTTPFLOOD的思路是從請求流量中區分出正常用戶和肉雞，然后對肉雞的訪問進行限制。通常肉雞模擬的請求流量較正常用戶單一，比如肉雞攻擊時一直重復的請求兩三個頁面，而且請求速度相當快，交換報文較正常用戶有相當的區別。Eudemon目前就是通過分析流量中請求報文的特征來識別肉雞，識別的正確度可以通過配置微調來控制。CC攻擊和肉雞HTTPFLOOD攻擊從效果上來看本質上是一樣的，都是通過大量的請求來消耗服務器的資源。不同的是CC攻擊是攻擊者通過請求大量的代理服務器，然后代理服務器將請求轉達給服務器，攻擊者使用較小的資源開銷造成了服務器較大的資源開銷，而且使得攻擊源不可追蹤；肉雞GETFLOOD是肉雞直接發送大量的請求到服務器，可以說兩種攻擊只是實現方式上有區別。事實上單個攻擊源通過大量代理來進行攻擊的方式遠沒有大量肉雞直接發起攻擊的破壞力強，在Eudemon1000中將這兩類攻擊都視為GETFLOOD，都能很好進行防御。攻擊和防范原理－HTTPFLOODPage21CONNECTIONFLOODCONNECTIONFLOOD也稱為連接耗盡型攻擊，攻擊時肉雞拼命的向服務器的TCP開放端口發起連接，造成服務器資源消耗、響應緩慢。通常服務器會提供HTTP、網絡游戲等服務，也就是說服務器需要開發并監聽許多端口，肉雞對這些開放端口發起連接攻擊，能很快的影響正常業務，嚴重時能使服務器癱機。Eudemon1000防范CONNECTIONFLOOD的思路是通過分析TCP連接的特征，識別出正常用戶和攻擊者，對攻擊者建立的連接，Eudemon1000會主動通知服務器釋放資源，然后攻擊者攻擊強度到達設定的閾值時，Eudemon1000會對攻擊者的訪問進行限制。攻擊和防范原理－CONNECTIONFLOODPage22UDPFLOOD可以實現帶寬和業務攻擊，通常帶寬攻擊時，攻擊流量的UDP報文都很大，比如單包1K或者伴隨大量分片。而業務型流量就不一定是大包，小包就可以了，然后攻擊服務器監聽的UDP端口，比傳奇服務器的7200端口等。由于UDP是無狀態連接，UDPFLOOD對肉雞造成的消耗很小，但對服務器的帶寬、CPU等資源消耗很大。Eudemon1000防范UDPFLOOD的思路是通過分析攻擊流量的特征，從中提取攻擊流量的指紋，然后進行指紋過濾，指紋過濾是基于內容的過濾，能高效的清洗攻擊流量，并且不影響正常業務。另外，如果攻擊流量明顯，并且Eudemon1000無法從中提取到指紋，那么Eudemon1000會在保證正常業務的前提下對流量進行限速。Eudemon1000在UDPFLOOD基礎上實現DNSFLOOD防范，DNSFLOOD防范的思路和UDPFLOOD是相同，不同的只是具體參數的配置。

攻擊和防范原理－UDPFLOODPage23ICMPFLOOD大多數情況是帶寬型攻擊，肉雞發送大量的ICMP流量到服務器，致使帶寬耗盡，正常業務遭受影響。Eudemon1000防范ICMPFLOOD的思路是限制ICMP大包（如限制大于256的ICMP報文），據相關協議規定和互聯網中的應用情況，正常ICMP應用都不會出現大包的情況，如果出現了大流量的ICMP大包，這是很異常的情況，基本上可以斷定為攻擊了。注意，Eudemon1000開啟了ICMP大包限制后，如果使用PING測試大包，這時會PING不通，PING小包就會正常。另外，Eudemon1000還有ICMP首包限速和ICMP基于會話限速功能。攻擊和防范原理－ICMPFLOODPage24常見攻擊介紹攻擊介紹攻擊和防范原理攻擊防范命令配置攻防典型組網應用防范的影響和維護攻擊防范常見問題Page25使能DDoS使能分兩步，首先打開全局DDoS開關，然后在域間配置觸發條件，使用ACL選擇要防范的流量

打開使能開關[Eudemon]Firewalldefendenable配置域間觸發條件[Eudemon-interzone-trust-untrust]firewalldefend3000inbound注意：DDoS需要同時配置上述兩條命令防范才能生效。通常ACL配置permitip，然后方向配置inbound，即對入方向的所有流量進行DDoS防范，對于出方向一般不進行防范，尤其是在IDC中。當然，可以根據實際需求將ACL細化，只針對某些流量進行保護。攻擊防范命令配置－使能DDoSPage26配置UDPFLOODUDPFLOOD發生時，流量超過設定的Alert值，然后進行攻擊流量識別。一旦發現攻擊流量，就對流量進行基于指紋的過濾，如果無法獲取攻擊流量的指紋則進行源和目的限速。Alert和目的限速配置

[Eudemon]firewalldefendudp-floodalert500destination-car1000UDP源限速配置

[Eudemon]firewalldefendudp-floodsource-car100interval5DNS源限速配置

[Eudemon]firewalldefenddns-floodsource-car10interval2攻擊防范命令配置－配置UDPFLOODPage27在使能了而沒有配置UDPFLOOD時，UDPFLOOD防范使用默認參數。默認情況下，UDP目的限速、源限速都是不執行的，只有配置了具體值后才生效，反之，undo去除。具體組網中請將源和目的限速打開，參數使用命令行提示的推薦值即可，通常IDC入方向的UDP流量都不會太大，進行限速不會對業務產生影響。UDPFLOOD的Alert值的作用是，當流量報文速率超過該值后，防火墻進行攻擊流量識別，因此該值應該大于正常流量時UDP的報文速率。但是，如果不知道確切的UDP報文速率，請使用推薦值。當參數使用默認值時，配置命令在查看時會不顯示，這是正常的。攻擊防范命令配置－配置UDPFLOODPage28配置HTTPFLOODHTTPFLOOD發生時當到某一服務器的GET報文速率超過設定的Alert閾值后，防火墻開始進行攻擊識別，采取的識別是基于攻擊行為的識別方式，一旦某個攻擊者被識別出來，防火墻將對它進行限制。Alert和目的限速配置

[Eudemon]firewalldefendget-floodalert200interval2restore2000interval60識別參數配置

[Eudemon]firewalldefendget-flooduriblock4interval5HTTPFLOOD目的限速配置

[Eudemon]firewalldefendget-flooddestination-car3000HTTPFLOOD黑名單老化配置

[Eudemon]firewalldefendget-floodblacklist-timeout8攻擊防范命令配置－配置HTTPFLOODPage29配置CONNECTIONFLOODCONNECTIONFLOOD發生時防火墻對TCP連接進行檢測，識別出攻擊流量的連接，然后發現攻擊者，當攻擊者攻擊強度達到設定的閾值時，防火墻對攻擊者進行限制。異常連接配置

[Eudemon]firewalldefendtcp-illeage-sessionpacket1interval15攻擊源識別條件配置

[Eudemon]firewalldefendtcp-illeage-sessionnumber10interval15CONNECTION黑名單老化配置

[Eudemon]firewalldefendtcp-illeage-sessionblacklist-timeout10攻擊防范命令配置－配置CONNECTIONFLOODPage30HTTPFLOOD和CONNECTIONFLOOD防范時需要使能黑名單[Eudemon]firewallblacklistenable另外，這兩個防范功能的黑名單老化時間最好配置不同（如示例中配置8分鐘和10分鐘），這樣在查看黑名單的時候可以直接看出某個源是由于什么原因加入的。HTTPFLOOD的Alert值的含義是，當到達某服務器的請求速率超過該值，防火墻就會進行攻擊識別，因此該值應該大于正常流量的速率。但是，如果不知道確切的正常流量請求速率，請使用推薦值。當參數使用默認值時，配置命令在查看時會不顯示，這是正常的。攻擊防范命令配置－配置UDPFLOODPage318011設備防攻擊手段對協議報文的漏桶限流對TELNET的管理和保護使用QOS過濾常見的網絡病毒抑制二層廣播風暴對OSPF和BGP采用MD5認證使用URPF技術IP和MAC地址綁定Page32對協議報文的漏桶限流<SD-BZ-ZX-D-3.MAN】applysystem-bucket1

28traffic124832128K<1,4-7>Thepresentslotonly-discardDisplaythenumberofdiscardedpackets<cr><SD-BZ-ZX-D-3.MAN>displaysystem-bucket1****Tokeninformation****#Theslotnumber:1#ThetokenID:1USAGE:Defaultbucket，anypacketnotlisthereusethisbucketThetimeofthelastpacketsarrive:05:26:31Thenumberofpresenttokens:32700Thetrafficrateofthetoken:32KTheheightofthetokenbucket:32768Thenumberofthediscardedpackets:11468Thebucketalarmenableflag:enablePage33

1Defaultbucket，anypacketnotlisthereusethisbucket2ARPMissmessage，useittoformARPentry3FIBMissMessage，useittoformhostrouteentry4PPPprotocolcontrolframe5PacketMFIBMiss，useittoform(S,G)route6ARPresponsepacket8ISISprotocolpacket,alsousedbyPPPandethernetpacket9IPmulticastpacketwhichdestIPaddressis(usedbyIGMP,LDPetc)10IPmulticastpacketwhichdestIPaddressis(usedbyOSPF)11IPmulticastpacketwhichdestIPaddressis(usedbyOSPF)12IPmulticastpacketwhichdestIPaddressis(usedbyRIP2)14IPmulticastpacketwhichdestIPaddressis3(usedbyPIM)15OtherIPmulticastpacketwhichdestIPaddressisin-55(excluded..10.13.18)16HGMPprotocolpacket17RPRprotocolpacket19BPDUprotocolpacket21PacketlengthexceedMTUandDFflagisset，itisusedbyhosttodiscovertheMTUintheroutePage3422ARPrequestpacketsendbyallthehost，useittolearning

23DHCPprotocolpacket25RegisterpacketusedinPIMSIMprotocol26SNMPredirectinFIB27PacketwhichdestIPisipaddressofgateway,excludeICMPandTCP28ICMPrequestpacketwhichdestIPiswebswitch'sVIP30IPmulticastpacketwhichdestIPaddressis8(usedbyVRRP)31ICMPpacketwhichdestIPisipaddressofgateway,forexample,pingpacket32TCPpacketwhichdestIPisipaddressofgateway,excludeBGP,LDP33RIP1protocolpacket34OSPFDatabaseDescriptionpacket35BGP,LDPpacket36telnetpacketPage35NE40E、NE80E過濾非法ARP報文對上送CPU的正常ARP報文做動態CAR<Quidway>system-view[Quidway]interfacegigabitEthernet1/0/1[Quidway-GigabitEthernet1/0/1]arpfiltermac-illegal配置允許通過的ARP報文的速率。[Quidway-GigabitEthernet1/0/1]arprate-limit50[Quidway-GigabitEthernet1/0/1]quitPage368011防病毒配置rule-mapintervlanvir1tcpanyanyeq135rule-mapintervlanvir2tcpanyanyeq137eaclanti-virvir1denypriority32832eaclanti-virvir2denypriority32864interfaceGigabitEthernet4/0/1access-groupeaclanti-vir

inboundPage378090防病毒1、配置需要禁止的防病毒列表與端口等aclnumber3000descriptionishtisrule0permitipsou55rule1deny2、配置流量分類trafficclassifierantivir if-matchacl30003、配置流動作trafficbehaviorantivirre-dirctrnext-hop01interfacegi1/0/14、配置流策略，將上述建立的類與動作關聯起來，一個策略中可以有多個關聯。trafficpolicyantivirclassifierantivirbehaviorantivir5、端口模式下下發策略，S2300與3300只針對端口入方向，S5300系列可以在出、入兩個方向下發。interfaceEthernet0/0/27traffic-policyantivirinboundPage388500防病毒配置aclnumber3000ruledenyudpdestination-porteq135

ruledenyudpdestination-porteqtftprulepermitip配置全局acl： 全局模式下：packet-filterinboundip-group3000slot0查看方式：displayaclglobalslot0端口下acl： 端口配置模式下：packet-filterinboundip-group3000Page393500防病毒time-rangeworktime08:30to18:00working-dayQuidway]aclumber3000[Quidway-aclr]rule1denydestination0time-rangeworktime[Quidway-Ethernet0/1]packet-filterinboundip-group3000time-rangeworktimePage40常用抓包軟件的使用EtherealSnifferPage418011端口鏡像1、同一接口板只能有一個鏡像端口。

2、8011系列產品，端口鏡像支持多個監控端口分別監視輸入輸出流，鏡像端口和監控端口可以是不同類型端口，也可以位于不同單板上；

3、當取消鏡像端口配置后，監控端口仍然有效。建議同等速率的端口間配置鏡像和監控端口。

4、port

monitor命令缺省情況下不帶關鍵字input-dataflow，表示指定的監控端口不允許跑業務；若帶上該關鍵字，表示指定的監控端口允許跑業務。在NE80上要將Gig4/0/0的上下行的數據鏡像到gig4/0/1則命令如下observing-port

gig4/0/1

port-mirroring

gig4/0/0

both

gig4/0/1

gig4/0/1

[Quidway]

observing-port

ethernet3/0/3

[Quidway]

port-mirroring

ethernet3/0/0

ingress

ethernet3/0/3Page428090端口鏡像先指定觀測端口1、[NE80E]observe-port

1

interface

GigabitEthernet

2/0/02、然后配置鏡像端口

[NE80E-GigabitEthernet9/0/1]port-mirroring

to

observe-port

1

inbound

[NE80E-GigabitEthernet9/0/1]port-mirroring

to

observe-port

1

outbound

Page438500端口鏡像1、把0槽位CPU收到的報文鏡像到G2/1/1。

[Quidway]

cpu-mirror

slot

0

mirrored-to

g2/1/1端口鏡像：Page443528端口鏡像3528

配置：

配置端口鏡像，以太網端口Ethernet0/4為監控端口，以太網端口Ethernet0/1為被監控端口，并且對該端口的接收和發送的報文都進行監控。

<Quidway>

system-view