返回
交换机攻防见招拆招

交换机攻防见招拆招

ID:38996809

大小:709.60 KB

页数:71页

时间:2019-06-23

交换机攻防见招拆招_第1页
交换机攻防见招拆招_第2页
交换机攻防见招拆招_第3页
交换机攻防见招拆招_第4页
交换机攻防见招拆招_第5页
资源描述:

《交换机攻防见招拆招》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、1 S系列交换机攻击处理1.1 如何确定攻击类型当设备遭受攻击时,通常伴随着如下现象:l  用户无法获取ARP。l  用户上线成功率较低。l  用户无法访问网络。当大量用户或固定某个端口下的所有用户出现上述现象时,可以先通过如下定位手段分析是否为攻击问题。                  步骤1    执行命令displaycpu-usage查看设备CPU占用率的统计信息,CPUUsage表示的是CPU占用率,TaskName表示的是设备当前正在运行的任务名称。如果CPU利用率持续较高,并且bcmRX、FTS、SOCK或者VPR任务过高(通常协议报文攻击会导致这些任务过高),则较大可能是

2、收到的报文过多,接下来需要执行步骤2继续判断设备收到的报文类型。一般情况下,交换机长时间运行时CPU占用率不超过80%,短时间内CPU占用率不超过95%,可认为交换机状态是正常的。                  步骤2    执行命令displaycpu-defendstatisticsall查看相关协议是否有CPCAR丢包、丢包是否多,并确认现网设备是否放大相关协议的CPCAR值。如果CPCAR存在大量丢包,就基本可以确认现网存在攻击,根据丢包的协议,采用相关防攻击措施。具体有哪些常见的丢包协议,请参见表1-1。表1-1丢包协议以及相应的防攻击部署手段PacketType可以参考的攻

3、击类型arp-reply、arp-request1.2.1ARP攻击、1.2.8TC攻击arp-miss1.2.2ARP-Miss攻击dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request1.2.3DHCP攻击icmp1.2.4ICMP攻击ttl-expired1.2.5TTL攻击tcp1.2.6TCP攻击ospf1.2.7OSPF攻击ssh、telnet1.2.9SSH/Telnet攻击vrrp1.2.10VRRP攻击igmp1.2.11IGMP攻击pim1.2.12PIM攻击V200R003版本以及之后版本支持端口防攻击功能,对于V200

4、R003版本以及之后版本,有可能存在这样的情况:即使Drop计数不再增长,也是有可能存在攻击的。所以对于V200R003版本以及之后版本,还需要继续执行步骤3进一步确认丢包协议。                  步骤3    可以通过如下两种方式确认。方法一:在诊断视图中执行命令displayauto-port-defendstatistics [ slot slot-id ]查看是否有对应协议的丢包。具体有哪些常见的丢包协议,请参见表1-2。表1-2丢包协议以及相应的防攻击部署手段Protocol可以参考的攻击类型arp-reply、arp-request1.2.1ARP攻击、1.3.

5、8TC攻击arp-miss1.2.2ARP-Miss攻击dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request1.2.3DHCP攻击icmp1.2.4ICMP攻击ttl-expired1.2.5TTL攻击tcp1.2.6TCP攻击ospf1.2.7OSPF攻击ssh、telnet1.2.9SSH/Telnet攻击vrrp1.2.10VRRP攻击igmp1.2.11IGMP攻击pim1.2.12PIM攻击方法二:对于历史上曾经触发过端口防攻击也可以通过日志来确定。日志格式如下,其中AttackProtocol表示的是攻击报文的协议类型。SECE

6、/4/PORT_ATTACK_OCCUR:Autoport-defendstarted.(SourceAttackInterface=[STRING], AttackProtocol=[STRING])SECE/6/PORT_ATTACK_END:Autoport-defendstop.(SourceAttackInterface=[STRING],AttackProtocol=[STRING])----结束1.2 根据攻击类型部署防攻击手段1.2.1ARP攻击1.2.1.1ARP泛洪攻击攻击简介如下图所示,局域网中用户通过SwitchA和SwitchB接入连接到Gateway访问Inte

7、rnet。当网络中出现过多的ARP报文时,会导致网关设备CPU负载加重,影响设备正常处理用户的其它业务。另一方面,网络中过多的ARP报文会占用大量的网络带宽,引起网络堵塞,从而影响整个网络通信的正常运行。现象描述l  网络设备CPU占有率较高,正常用户不能学习ARP甚至无法上网。l  Ping不通。l  网络设备不能管理。定位思路定位手段命令行适用版本形态查看ARP临时表项displayarpV100R006C05版本以

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。