交換機攻防見招拆招

S系列交換機攻擊處理1.1如何確定攻擊類型當(dāng)設(shè)備遭受攻擊時，通常伴隨著如下現(xiàn)象：l用戶無法獲取ARP。l用戶上線成功率較低。l用戶無法訪問網(wǎng)絡(luò)。當(dāng)大量用戶或固定某個端口下的所有用戶出現(xiàn)上述現(xiàn)象時，可以先通過如下定位手段分析是否為攻擊問題。步驟1執(zhí)行命令displaycpu-usage查看設(shè)備CPU占用率的統(tǒng)計信息,CPUUsage表示的是CPU占用率，TaskName表示的是設(shè)備當(dāng)前正在運行的任務(wù)名稱。<->displaycpu-us-ageCTUUsageStat.2ycle:3（SeconlJCPUUsage:11%七日露二94名CEUJsageStat-.lime;2017-OG-L31-5;1S:54CPUutilizaticrnforzivestGonda:二二若:oneminute;二二若:ziveminutes;二二告Kaa2PUUsageStat,lime;2QL^-06-0<14:5":05.TastWaoneCPURuntime<CEUTictfii5h/TickLow)laskEjcplanatiori7ZDL方9番e/eb"733feDDFRAIDLE：333%1/57529?CperatiozzSystemtocmRX20%0/17aL4cbcinKXFTS2口告0/zf737FTSSOCK2口告0/2￡acS9SC2KPackEtadiedulearid^r&c.essVPR口10/l￡￡3630VPRVPRec：&ive如果CPU利用率持續(xù)較高，并且bcmRX、FTS、SOCK或者VPR任務(wù)過高（通常協(xié)議報文攻擊會導(dǎo)致這些任務(wù)過高），則較大可能是收到的報文過多，接下來需要執(zhí)行步驟2繼續(xù)判斷設(shè)備收到的報文類型。印說岬一般情況下，交換機長時間運行時CPU占用率不超過80%，短時間內(nèi)CPU占用率不超過95%，可認(rèn)為交換機狀態(tài)是正常的。步驟2執(zhí)行命令displaycpu-defendstatisticsall查看相關(guān)協(xié)議是否有CPCAR丟包、丟包是否多，并確認(rèn)現(xiàn)網(wǎng)設(shè)備是否放大相關(guān)協(xié)議的CPCAR值。如果CPCAR存在大量丟包，就基本可以確認(rèn)現(xiàn)網(wǎng)存在攻擊，根據(jù)丟包的協(xié)議，采用相關(guān)防攻擊措施。具體有哪些常見的丟包協(xié)議，請參見表1-1。displaycpu-defendstatisticsallStatisticacnmainijoard!PacietTypePass(P^cket/S7te)Drop(Padet/Byte)Last-lrc^pirig-timeTOC\o"1-5"\h\zarp-infz00-00arp-missC0-C0a^p-reply00-CQa^p-request242=3L2S42017-05-10:23:10表1-1丟包協(xié)議以及相應(yīng)的防攻擊部署手段PacketType可以參考的攻擊類型arp-reply、arp-requestARP攻擊、1.2.8TC攻擊arp-missARP-Miss攻擊dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-requestDHCP攻擊icmpICMP攻擊ttl-expiredTTL攻擊tcpTCP攻擊ospfOSPF攻擊ssh、telnetSSH/Telnet攻擊vrrpVRRP攻擊igmpIGMP攻擊

pimPIM攻擊V200R003版本以及之后版本支持端口防攻擊功能，對于V200R003版本以及之后版本，有可能存在這樣的情況：即使Drop計數(shù)不再增長，也是有可能存在攻擊的。所以對于V200R003版本以及之后版本，還需要繼續(xù)執(zhí)行步驟3進一步確認(rèn)丟包協(xié)議。步驟3可以通過如下兩種方式確認(rèn)。方法一：在診斷視圖中執(zhí)行命令displayauto-port-defendstatistics[slotslot-id]查看是否有對應(yīng)協(xié)議的丟包。具體有哪些常見的丟包協(xié)議，請參見表1-2。system-view[HUAWEI]diiagnose[H.TTAKEI-diagnose]displayauto-port-defen-dstat1sticsStatisticsonHEU：iProtocolVian^iieuetit(KbpsJPass(Facket/Byte)Drop(Packet/BYte)曜2256□口瞄曜2256□口瞄dticf曜21024□口NANAMA27630口NANAic-mpMA2256230953NANA表1-2丟包協(xié)議以及相應(yīng)的防攻擊部署手段Protocol可以參考的攻擊類型arp-reply、arp-requestARP攻擊、1.3.8TC攻擊arp-missARP-Miss攻擊dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-requestDHCP攻擊icmpICMP攻擊ttl-expiredTTL攻擊

tcpTCP攻擊ospfOSPF攻擊ssh、telnetSSH/Telnet攻擊vrrpVRRP攻擊igmpIGMP攻擊pimPIM攻擊方法二：對于歷史上曾經(jīng)觸發(fā)過端口防攻擊也可以通過日志來確定。日志格式如下，其中AttackProtocol表示的是攻擊報文的協(xié)議類型。SECE/4/PORT_ATTACK_OCCUR:Autoport-defendstarted.(SourceAttackInterface=[STRING],AttackProtocol=[STRING])SECE/6/PORT_ATTACK_END:Autoport-defendstop.(SourceAttackInterface=[STRING],AttackProtocol=[STRING])結(jié)束1.2根據(jù)攻擊類型部署防攻擊手段1.2.1ARP攻擊1.2.1.1ARP泛洪攻擊攻擊簡介如下圖所示，局域網(wǎng)中用戶通過SwitchA和SwitchB接入連接到Gateway訪問Internet。當(dāng)網(wǎng)絡(luò)中出現(xiàn)過多的ARP報文時，會導(dǎo)致網(wǎng)關(guān)設(shè)備CPU負載加重，影響設(shè)備正常處理用戶的其它業(yè)務(wù)。另一方面，網(wǎng)絡(luò)中過多的ARP報文會占用大量的網(wǎng)絡(luò)帶寬，引起網(wǎng)絡(luò)堵塞，從而影響整個網(wǎng)絡(luò)通信的正常運行。InternetUserAUserCUserDAttackerSwitchBSwiichAInternetUserAUserCUserDAttackerSwitchBSwiichA現(xiàn)象描述l網(wǎng)絡(luò)設(shè)備CPU占有率較高，正常用戶不能學(xué)習(xí)ARP甚至無法上網(wǎng)。lPing不通。l網(wǎng)絡(luò)設(shè)備不能管理。定位思路定位手段命令行適用版本形態(tài)查看ARP臨時表項displayarpV100R006C05版本以及之后版本查看arp-request的CPCAR計數(shù)displaycpu-defendstatisticspacket-typearp-requestallV100R006C05版本以及之后版本查看攻擊溯源結(jié)果displayauto-defendattack-source[slotslot-id]V200R003版本以及之后版本步驟1執(zhí)行命令displayarp查看受影響用戶的ARP是否學(xué)習(xí)不至限如果MACADDRESS字段顯示為Incomplete,表示有ARP學(xué)習(xí)不到，有可能設(shè)備遭受ARP攻擊。

<HUAWEI><iisplayarp二FADISESSMACADDRESSEXEIRE(M)TYPEINTERFACEVPN-ZNSIANCEVLSH/而？L且N10-137-222-139OOeO-fcOl-4422I-EthO/0/050-1..1..3In.c.cirp'lete1D-0GE5/0/0500/-50..1.1.2Inc-cnp'lete1D-0GE5/0/0500/-€.1-1-2OOeO-fcOl-4422I-Vla.ni.f610?0?0?139O0eO-fc01-4422I-VlanizlO步驟2由于有未學(xué)習(xí)到的ARP表項，執(zhí)行命令displaycpu-defendstatisticspacket-typearp-requestall查看上送CPU的ARP-Request報文統(tǒng)計信息，判斷設(shè)備是否遭受攻擊，下述回顯發(fā)現(xiàn)4號單板上存在大量ARP-Request報文丟包。<HUAWEI>displaycpundefendstatisticspacket-typearp-requestallStatisticson.maint-card：PacketTypePass(Facket./Byt;e)Drop(Facket/Byte)Last-drcppinj-1imearp-request1S265041C43300Statisticsonslot4Packet工ypmPass(Facket./Byt:e)Drop(Packet/BYte)Last-drcppinj-1imearp-request213237432016-01-1705:13:25272S96479744CQ說明該命令可以查看多次，比如1秒執(zhí)行一次，查看多次執(zhí)行的結(jié)果。如上顯示，如果Drop(Packets)計數(shù)增加很快，比如1秒鐘Drop上百個，這說明設(shè)備正在遭受ARP攻擊，上送的ARP報文已經(jīng)超過了設(shè)備配置的CPCAR范圍，攻擊ARP報文可能已經(jīng)擠掉了正常ARP報文，則部分ARP可能學(xué)習(xí)不到。步驟3確認(rèn)攻擊源，通過攻擊溯源功能識別攻擊源。首先在系統(tǒng)視圖下配置防攻擊策略：[HUAWEI]cpu-defendpolicypolicy1[HUAWEI-cpu-defend-policy-policy1]auto-defendenable[HUAWEI-cpu-defend-policy-policy1]auto-defendattack-packetsample5[HUAWEI-cpu-defend-policy-policy1]auto-defendthreshold30[HUAWEI-cpu-defend-policy-policy1]undoauto-defendtrace-typesource-portvlan[HUAWEI-cpu-defend-policy-policy1]undoauto-defendprotocoldhcpicmpigmptcptelnetttl-expiredudp接下來應(yīng)用防攻擊策略policyL關(guān)于防攻擊策略的應(yīng)用，請參見3.1應(yīng)用防攻擊策略。最后通過命令displayauto-defendattack-sourceslot4查看攻擊源的MAC地址。

<HUAWEI>displayauto-defendattack-sourceslot4AttackSourceUserTab-le(slot4):Maor-ddressInteriaceNameVIan:Outer/1nnerIOZALTOC\o"1-5"\h\zuuuu-uuuu-uudDGijat-ittitnerne14/u/z41bAttackSourceIPIable(slot4):IPAddresslOIILLFackets19S-19.1-224550.1.1.2125Total:2QJ說明識別的MAC中可能包含網(wǎng)關(guān)的MAC地址或互連網(wǎng)絡(luò)設(shè)備的MAC,需要注意剔除。結(jié)束問題根因由于終端中毒頻繁發(fā)送大量ARP報文。下掛網(wǎng)絡(luò)成環(huán)產(chǎn)生大量的ARP報文。處理步驟步驟1在接口下配置ARP表項限制。設(shè)備支持接口下的ARP表項限制，如果接口已經(jīng)學(xué)習(xí)到的ARP表項數(shù)目超過限制值，系統(tǒng)不再學(xué)習(xí)新的ARP表項，但不會清除已經(jīng)學(xué)習(xí)到的ARP表項，會提示用戶刪除超出的ARP表項。配置命令如下：<HUAWEI>system-view[HUAWEI]interfacegigabitethernet1/0/1[HUAWEI-GigabitEthernet1/0/1]arp-limitvlan10maximum20步驟2配置針對源IP地址的ARP報文速率抑制的功能。在一段時間內(nèi)，如果設(shè)備收到某一源IP地址的ARP報文數(shù)目超過設(shè)定閾值，則不處理超出閾值部分的ARP請求報文。<HUAWEI>system-view[HUAWEI]arpspeed-limitsource-ip10.0.0.1maximum50缺省情況下，對ARP報文進行時間戳抑制的抑制速率為5pps，即每秒處理5個ARP報文。步驟3根據(jù)排查出的攻擊源MAC配置黑名單過濾掉攻擊源發(fā)出的ARP報文。[HUAWEI]acl4444[HUAWEI-acl-L2-4444]rulepermitl2-protocolarpsource-mac0-0-1vlan-id3[HUAWEI-acl-L2-4444]quit[HUAWEI]cpu-defendpolicypolicy1[HUAWEI-cpu-defend-policy-policy1]blacklist1acl4444[HUAWEI-cpu-defend-policy-policy1]quit

接下來應(yīng)用防攻擊策略policyl,關(guān)于防攻擊策略的應(yīng)用，請參見3.1應(yīng)用防攻擊策略。步驟4如果上述配置無法解決，比如源MAC變化或源IP變化的ARP攻擊源來自某臺接入設(shè)備下掛用戶，在接入側(cè)交換機上配置流策略限速，不讓該接入側(cè)設(shè)備下的用戶影響整個網(wǎng)絡(luò)。[HUAWEI]acl4445[HUAWEI-acl-L2-4445]rulepermitl2-protocolarp[HUAWEI-acl-L2-4445]quit[HUAWEI]trafficclassifierpolicy1[HUAWEI-classifier-policy1]if-matchacl4445[HUAWEI-classifier-policy1]quit[HUAWEI]trafficbehaviorpolicy1[HUAWEI-behavior-policy1]carcir32[HUAWEI]trafficpolicypolicy1[HUAWEI-trafficpolicy-policy1]classifierpolicy1behaviorpolicy1[HUAWEI]interfaceGigabitEthernet1/0/1[HUAWEI-GigabitEthernet1/0/1]traffic-policypolicy1inbound結(jié)束1.2.1.2ARP欺騙攻擊攻擊簡介如圖1-2所示，局域網(wǎng)中UserA、UserB、UserC等用戶通過Switch接入連接到Gateway訪問Internet。圖1-1ARP欺騙攻擊組網(wǎng)正常情況下，UserA、UserB、UserC上線之后，通過相互之間交互ARP報文，UserA、UserB、UserC和Gateway上都會創(chuàng)建相應(yīng)的ARP表項。此時，如果有攻擊者Attacker通過在廣播域內(nèi)發(fā)送偽造的ARP報文，篡改Gateway或者UserA、UserB、UserC上的ARP表項，Attacker可以輕而易舉地竊取UserA、UserB、UserC的信息或者阻礙UserA、UserB、UserC正常訪問網(wǎng)絡(luò)?，F(xiàn)象描述局域網(wǎng)內(nèi)用戶時通時斷，無法正常上網(wǎng)。網(wǎng)絡(luò)設(shè)備會經(jīng)常脫管，網(wǎng)關(guān)設(shè)備會打印大量地址沖突的告警。定位思路定位手段命令行適用版本形態(tài)查看日志信息displaylogbufferV100R006C05版本以及之后版本l交換機做網(wǎng)關(guān)，如果攻擊源發(fā)送假冒網(wǎng)關(guān)的ARP報文經(jīng)過網(wǎng)關(guān)交換機時，報文會上送交換機的CPU處理，交換機在檢測到網(wǎng)關(guān)沖突的同時記錄日志。執(zhí)行命令displaylogbuffer查看日志信息。日志信息如下所示，其中MacAddress代表攻擊者的MAC地址。ARP/4/ARP_DUPLICATE_IPADDR:ReceivedanARPpacketwithaduplicateIPaddressfromtheinterface.(IpAddress=[IPADDR],InterfaceName=[STRING],MacAddress=[STRING])根據(jù)日志信息記錄的攻擊者的MAC地址查找MAC地址表，從而獲取到攻擊源所在的端口，通過網(wǎng)絡(luò)進一步排查，進一步定位出攻擊源，查看是否中毒所致。l交換機做網(wǎng)關(guān)，如果攻擊源發(fā)送假冒網(wǎng)關(guān)的ARP報文不經(jīng)過網(wǎng)關(guān)交換機，直接在交換機的下游轉(zhuǎn)發(fā)到用戶，則需要在下層網(wǎng)絡(luò)排查。例如，可以在終端上使用報文解析工具(比如wireshark)解析網(wǎng)關(guān)回應(yīng)的ARP報文，如果解析出來的MAC地址不是網(wǎng)關(guān)的MAC地址，則代表終端遭遇攻擊，其中解析出來的MAC地址即為攻擊者MAC地址。問題根因終端中毒。攻擊者將主機地址設(shè)為網(wǎng)關(guān)地址。處理步驟方法優(yōu)點缺點配置黑名單基于黑名單丟棄上送CPU的報文需先查到攻擊源配置黑洞MAC丟棄該攻擊源發(fā)的所有報文，包括轉(zhuǎn)發(fā)的報文需先查到攻擊源配置防網(wǎng)關(guān)沖突攻擊功能收到具有相同源MAC地址的報文直接丟棄需本設(shè)備做網(wǎng)關(guān)l方法一：可以在用戶允許的情況下，直接在交換機上配置黑名單過濾攻擊源的源MAC地址。[HUAWEI]acl4444[HUAWEI-acl-L2-4444]rulepermitl2-protocolarpsource-mac1-1-1[HUAWEI-acl-L2-4444]quit[HUAWEI]cpu-defendpolicypolicy1[HUAWEI-cpu-defend-policy-policy1]blacklist1acl4444接下來應(yīng)用防攻擊策略policyl,關(guān)于防攻擊策略的應(yīng)用，請參見3.1應(yīng)用防攻擊策略。l方法二：更嚴(yán)厲的懲罰措施可以將攻擊者的MAC配置成黑洞MAC，徹底不讓該攻擊者上網(wǎng)。[HUAWEI]mac-addressblackhole1-1-1vlan3l方法三：可以在交換機上配置防網(wǎng)關(guān)沖突功能（該功能要求交換機必須做網(wǎng)關(guān)），ARP網(wǎng)關(guān)沖突防攻擊功能使能后，系統(tǒng)生成ARP防攻擊表項，在后續(xù)一段時間內(nèi)對收到具有相同源MAC地址的報文直接丟棄，這樣可以防止與網(wǎng)關(guān)地址沖突的ARP報文在VLAN內(nèi)廣播。[HUAWEI]arpanti-attackgateway-duplicateenable1.2.2ARP-Miss攻擊1.2.2.1網(wǎng)段掃描攻擊攻擊簡介當(dāng)交換機需要轉(zhuǎn)發(fā)三層報文時，如果目的地址是和其直連的，且在設(shè)備上沒有目的地址的ARP表項，就會觸發(fā)一個ARPMiss消息，由設(shè)備發(fā)送ARP請求到目的地址，以便學(xué)習(xí)ARP，當(dāng)學(xué)習(xí)到ARP后，報文便可以直接轉(zhuǎn)發(fā)到目的地址。大量的網(wǎng)段掃描報文會產(chǎn)生大量的ARPMiss消息，導(dǎo)致交換機的資源浪費在處理ARPMiss消息上，影響交換機對其他業(yè)務(wù)的處理，形成掃描攻擊。現(xiàn)象描述當(dāng)設(shè)備遭受ARPMiss消息攻擊時，出現(xiàn)設(shè)備CPU占有率較高，有大量的臨時ARP表項，CPCAR存在ARPMiss丟包，Ping有時延或Ping不通的現(xiàn)象，業(yè)務(wù)方面會發(fā)生用戶掉線、用戶上網(wǎng)慢、設(shè)備脫管、甚至業(yè)務(wù)中斷等現(xiàn)象。定位思路定位手段命令行適用版本形態(tài)查看CPU-Defend丟包計數(shù)displaycpu-defendstatisticspacket-typearp-miss{slotslot-id}V100R006C05版本以及之后版本查看ARP臨時表項displayarpV100R006C05版本以及之后版本清除上送CPU的ARPMiss報文統(tǒng)計計數(shù)。<HUAWEI>resetcpu-defendstatisticspacket-typearp-missall等待1分鐘后，查看這段時間內(nèi)上送CPU的ARPMiss數(shù)量。displayGpu--l&fendstatistiG-spactst-typearp-missslot2Statisticson.slot2:PacfcetTypePass(Packet/Byte)Drop(Pacfcet/B/te)Last-droppiri'g--time5r?-ir.izz:口三口03c-5302QL--0c-lc12;2c;10查看通過和丟棄的報文數(shù)量，如果丟棄的消息數(shù)量大于通過的，則可認(rèn)為是ARPMiss攻擊。查看設(shè)備上是否有大量的ARP臨時表項,如果存在大量（大概15個或者15個以上）的MACADDRESS字段為Incomplete的臨時表項，也可以認(rèn)為是ARPMiss攻擊。問題根因設(shè)備收到大量的ARPMiss消息常見的原因有兩種：存在網(wǎng)段掃描攻擊，可以通過獲取報文或者通過displayarpanti-attackarpmiss-record-info命令來查看攻擊源。設(shè)備收到TC消息，導(dǎo)致ARP表項老化，設(shè)備出現(xiàn)大量的ARPMiss消息。對于TC消息導(dǎo)致的ARPMiss攻擊，防范手段參考1.3.8TC攻擊。處理步驟方法優(yōu)點缺點降低ARPMiss消息的CPCAR值可以快速降低報文上送可能正常的ARPMiss消息被誤丟棄。設(shè)置ARP假表老化時間針對具體目的地址進行抑制，在老化時間內(nèi)不觸發(fā)ARPMiss消息要選擇合適的老化時間。配置ARPMiss源抑制針對具體源地址進行抑制，在block時間內(nèi)不上送ARPMiss消息需要配置白名單，防止網(wǎng)絡(luò)側(cè)的設(shè)備被懲罰。

配置黑名單丟棄指定攻擊源可以基于全局、單板應(yīng)用，丟棄攻擊報文黑名單無法有效降低CPU占用率。攻擊消除后也無法訪問設(shè)備。l可以通過調(diào)整ARPMiss的CPCAR值來緩解CPU過高問題。<HUAWEI>system-view[HUAWEI]cpu-defendpolicypolicy1[HUAWEI-cpu-defend-policy-policy1]carpacket-typearp-misscir64[HUAWEI-cpu-defend-policy-policy1]quit[HUAWEI]cpu-defend-policypolicy1global此方法只能緩解CPU過高問題，但無法解決用戶上線慢等問題。l可以通過延長ARP假表老化時間來緩解CPU過高問題。當(dāng)IP報文觸發(fā)ARPMiss后，交換機會發(fā)送ARP請求進行探測，同時生成臨時的ARP表項，將后續(xù)發(fā)送到此IP的數(shù)據(jù)報文直接丟棄，以免造成對CPU的沖擊。當(dāng)交換機收到ARP回應(yīng)后，會將此臨時的ARP表項修正，如果在規(guī)定的時間內(nèi)未收到ARP回應(yīng)，則將該臨時表項刪除，后續(xù)的IP報文即可繼續(xù)觸發(fā)上述ARPMiss流程。<HUAWEI>system-view[HUAWEI]interfaceVlanif500[HUAWEI-Vlanif500]arp-fakeexpire-time30〃默認(rèn)時間為30s設(shè)置過大的假表老化時間，可能會導(dǎo)致ARP學(xué)習(xí)不實時，進而導(dǎo)致數(shù)據(jù)流量丟失。l配置基于源IP的ARPMiss限速，系統(tǒng)會自動識別超過速率的源IP且會自動下發(fā)ACL進行懲罰，默認(rèn)情況下，所有IP地址的ARPMiss源抑制速率為30Pps，默認(rèn)懲罰時間為5秒。建議對網(wǎng)絡(luò)側(cè)的地址進行放通，防止被懲罰。<HUAWEI>system-view[HUAWEI]arp-missspeed-limitsource-ipmaximum10//一個源IP最多產(chǎn)生arp-miss速率為10pps，缺省為30pps[HUAWEI]arp-missspeed-limitsource-ip1.1.1.1maximum200//對上行的網(wǎng)絡(luò)側(cè)地址放行，防止誤懲罰可以通過命令displayarpanti-attackarpmiss-record-info查看攻擊源。[HUnWE工]displayarpanti-atta-cfcarpmiss-record-infoInterlaceIFadiressAttacktimeBlocktimeAgiag-timeGijabitEtherne15/0/010-0-012009-09-1610:13:132Q09-09-l^10:19:1250Thereare1reeor-dsinAr-p-misstable此命令會自動下發(fā)基于源IP的ARPMiss懲罰ACL，若不再需要其上送控制平面，則可以通過cpu-defendpolicy中配置黑名單功能徹底終結(jié)該源的攻擊。1.2.3DHCP攻擊1.2.3.1DHCPServer仿冒攻擊攻擊簡介由于DHCPServer和DHCPClient之間沒有認(rèn)證機制，所以如果在網(wǎng)絡(luò)上隨意添加一臺DHCP服務(wù)器，它就可以為客戶端分配IP地址以及其他網(wǎng)絡(luò)參數(shù)。如果該DHCP服務(wù)器為用戶分配錯誤的IP地址和其他網(wǎng)絡(luò)參數(shù)，將會對網(wǎng)絡(luò)造成非常大的危害。

如圖1-3所示，DHCPDiscover報文是以廣播形式發(fā)送，無論是合法的DHCPServer,還是非法的DHCPServer都可以接收到DHCPClient發(fā)送的DHCPDiscover報文。圖1-2DHCPClient發(fā)送DHCPDiscover報文示意圖BogusDHCPServerDHCPDiscoverfromDHCPClient如果此時DHCPServer仿冒者回應(yīng)給DHCPClient仿冒信息，如錯誤的網(wǎng)關(guān)地址、錯誤的DNS(DomainNameSystem)服務(wù)器、錯誤的IP等信息，如圖1-4所示。DHCPClient將無法獲取正確的IP地址和相關(guān)信息，導(dǎo)致合法客戶無法正常訪問網(wǎng)絡(luò)或信息安全受到嚴(yán)重威脅。圖1-3DHCPServer仿冒者攻擊示意圖BogusDHCPServerDHCPclient一?DHCPrepl/FromBogusDHCPServer

DHCPreplyfromDHCPS&rver現(xiàn)象描述DHCPClient無法獲取到正確的IP地址，用戶無法正常訪問網(wǎng)絡(luò)。定位思路一般在業(yè)務(wù)部署的時候，防DHCPServer仿冒攻擊就應(yīng)該考慮。很少等到問題發(fā)生了才部署防DHCPServer仿冒攻擊。如果出現(xiàn)該類問題，一般可以查看客戶端DHCP相關(guān)信息，來確定問題原因。問題根因DHCP申請IP地址的交互流程中，客戶端發(fā)送的是廣播報文。如圖1-4所示，仿冒的DHCP服務(wù)器可以截獲DHCPClient發(fā)送的請求報文，為DHCPClient分配地址。處理步驟方法優(yōu)點缺點配置DHCPSnooping常用方法，配置簡單報文上送CPU，可能導(dǎo)致CPU利用率變高配置流策略報文不用上送CPU處理配置復(fù)雜，需要ACL資源支持方法一：通過DHCPSnooping來控制DHCP請求跟應(yīng)答報文的交互，防止仿冒的DHCP服務(wù)器為DHCPClient分配IP地址以及其他配置信息。l全局使能DHCPSnooping業(yè)務(wù)<HUAWEI>system-view[HUAWEI]dhcpenable[HUAWEI]dhcpsnoopingenablel用戶側(cè)端口配置DHCPSnooping功能[HUAWEI]interfaceGigabitEthernet8/0/1[HUAWEI-GigabitEthernet8/0/1]dhcpsnoopingenablel連接DHCP服務(wù)器的端口配置成信任端口[HUAWEI]interfaceGigabitEthernet8/0/10[HUAWEI-GigabitEthernet8/0/10]dhcpsnoopingtrusted方法二：DHCPSnooping是通過控制DHCP報文的轉(zhuǎn)發(fā)來防止DHCPServer仿冒攻擊。我們可以通過流策略達到同樣的效果。只允許DHCP請求報文向信任口轉(zhuǎn)發(fā)，只允許DHCP回應(yīng)報文從信任口收到并轉(zhuǎn)發(fā)。配置ACL匹配DHCP回應(yīng)報文[HUAWEI]acl3001[HUAWEI-acl-adv-3001]rulepermitudpdestination-porteqbootpc配置兩個流策略，一個丟棄DHCP回應(yīng)報文，一個允許DHCP回應(yīng)報文轉(zhuǎn)發(fā)，將丟棄的流策略應(yīng)用到VLAN，將允許轉(zhuǎn)發(fā)的流策略應(yīng)用到連接DHCPServer方向的端口，利用流策略在端口應(yīng)用的優(yōu)先級高于在VLAN中應(yīng)用，來實現(xiàn)只接收并轉(zhuǎn)發(fā)從DHCPServer方向過來的DHCP回應(yīng)報文的目的。[HUAWEI]trafficclassifierbootpc_dest[HUAWEI-classifier-bootpc_dest]if-matchacl3001[HUAWEI-classifier-bootpc_dest]quit[HUAWEI]trafficbehaviordeny[HUAWEI-behavior-deny]deny[HUAWEI-behavior-deny]quit[HUAWEI]trafficbehaviorpermit[HUAWEI-behavior-permit]permit[HUAWEI-behavior-permit]quit[HUAWEI]trafficpolicybootpc_dest_permit[HUAWEI-trafficpolicy-bootpc_dest_permit]classifierbootpc_destbehaviorpermit〃配置允許DHCP回應(yīng)報文轉(zhuǎn)發(fā)的流策略[HUAWEI-trafficpolicy-bootpc_dest_permit]quit[HUAWEI]trafficpolicybootpc_dest_deny[HUAWEI-trafficpolicy-bootpc_dest_deny]classifierbootpc_destbehaviordeny〃配置DHCP回應(yīng)報文丟棄的流策略[HUAWEI-trafficpolicy-bootpc_dest_deny]quit[HUAWEI]interfaceGigabitEthernet8/0/10[HUAWEI-GigabitEthernet8/0/10]traffic-policybootpc_dest_permitinbound//將允許DHCP回應(yīng)報文的流策略應(yīng)用在信任端口上[HUAWEI-GigabitEthernet8/0/10]quit[HUAWEI]vlan172[HUAWEI-vlan172]traffic-policybootpc_dest_denyinbound〃將丟棄DHCP回應(yīng)報文的流策略應(yīng)用在VLAN中[HUAWEI-vlan172]quit下述配置是可選的配置。配置ACL匹配DHCP請求報文[HUAWEI]acl3000[HUAWEI-acl-adv-3000]rulepermitudpsource-porteqbootpc配置兩個流策略，一個丟棄DHCP請求報文，一個允許DHCP請求報文轉(zhuǎn)發(fā)，將丟棄的流策略應(yīng)用到VLAN，將允許轉(zhuǎn)發(fā)的流策略應(yīng)用到連接DHCPServer方向的端口，利用流策略在端口應(yīng)用的優(yōu)先級高于在VLAN中應(yīng)用，來實現(xiàn)將DHCP請求報文只往DHCPServer轉(zhuǎn)發(fā)的目的。[HUAWEI]trafficclassifierbootpc_src[HUAWEI-classifier-bootpc_src]if-matchacl3000[HUAWEI-classifier-bootpc_src]quit[HUAWEI]trafficbehaviordeny[HUAWEI-behavior-deny]deny[HUAWEI-behavior-deny]quit[HUAWEI]trafficbehaviorpermit[HUAWEI-behavior-permit]permit[HUAWEI-behavior-permit]quit[HUAWEI]trafficpolicybootpc_src_permit[HUAWEI-trafficpolicy-bootpc_src_permit]classifierbootpc_srcbehaviorpermit〃配置允許DHCP請求報文轉(zhuǎn)發(fā)的流策略[HUAWEI-trafficpolicy-bootpc_src_permit]quit[HUAWEI]trafficpolicybootpc_src_deny[HUAWEI-trafficpolicy-bootpc_src_deny]classifierbootpc_srcbehaviordeny//配置DHCP請求報文丟棄的流策略[HUAWEI-trafficpolicy-bootpc_src_deny]quit[HUAWEI]interfaceGigabitEthernet8/0/10[HUAWEI-GigabitEthernet8/0/10]traffic-policybootpc_src_permitoutbound//將允許DHCP請求報文轉(zhuǎn)發(fā)的流策略應(yīng)用在信任端口的出方向[HUAWEI-GigabitEthernet8/0/10]quit[HUAWEI]vlan172[HUAWEI-vlan172]traffic-policybootpc_src_denyoutbound〃將丟棄DHCP請求報文的流策略應(yīng)用在VLAN的出方向[HUAWEI-vlan172]quit1.2.3.2DHCP泛洪攻擊攻擊簡介泛洪攻擊又叫DoS攻擊，即拒絕服務(wù)攻擊(DoS,DenialofService),是指向設(shè)備發(fā)送大量的連接請求，占用設(shè)備本身的資源，嚴(yán)重的情況會造成設(shè)備癱機，一般情況下也會使設(shè)備的功能無法正常運行。因為主要是針對服務(wù)器的,目的是使服務(wù)器拒絕合法用戶的請求,所以叫拒絕服務(wù)攻擊?，F(xiàn)象描述交換機部署DHCPSnooping、DHCPRelay或者DHCPServer業(yè)務(wù)時，設(shè)備出現(xiàn)CPU高，用戶上線慢等現(xiàn)象。定位思路定位手段命令行適用版本形態(tài)查看CPU利用率displaycpu-usage[slave|slotslot-id]V100R006C05版本以及之后版本查看CPU-Defend統(tǒng)計計數(shù)displaycpu-defendstatistics[packet-typepacket-type]{all|slotslot-id|mcu}V100R006C05版本以及之后版本查看端口防攻擊統(tǒng)計計數(shù)displayauto-port-defendstatistics[slotslot-id]V200R003版本以及之后版本配置攻擊溯源auto-defendenableV100R006C05版本以及之后版本查看攻擊溯源信息displayauto-defendattack-sourcedetailV100R006C05版本以及之后版本查看DHCP報文統(tǒng)計信息displaydhcpstatisticsV100R006C05版本以及之后版本查看DHCP中繼的相關(guān)報文統(tǒng)計信息displaydhcprelaystatisticsV100R006C05版本以及之后版本查看DHCPServer統(tǒng)計計數(shù)displaydhcpserverstatisticsV100R006C05版本以及之后版本查看DHCP報文處理速率displaydhcppacketprocessstatisticsV100R006C05版本以及之后版本執(zhí)行命令displaycpu-usage查看任務(wù)運行情況，找出占用CPU較高的任務(wù)，通常DoS攻擊會導(dǎo)致bcmRX、FTS或者SOCK任務(wù)過高。執(zhí)行命令displaycpu-defendstatistics查看CPU收包統(tǒng)計，判斷是否存在過多由于來不及處理而丟棄的協(xié)議報文，對于DHCP協(xié)議攻擊可以查看dhcp-server、dhcp-client>dhcpv6-request>dhcpv6-reply這幾種協(xié)議的CPCAR統(tǒng)計值。查看端口防攻擊的收包統(tǒng)計，從V200R003以及之后版本支持端口防攻擊功能，對于DHCP協(xié)議報文，還需要查看端口防攻擊的統(tǒng)計信息，查看是否存在DHCP協(xié)議報文的丟包。―‘根據(jù)任務(wù)或CPU收包統(tǒng)計確定是否出現(xiàn)過多的某種協(xié)議報文。如果判斷出某種協(xié)議報文過多，根據(jù)用戶的組網(wǎng)判斷是否可能出現(xiàn)這么多的協(xié)議報文，如果用戶組網(wǎng)不可能出現(xiàn)這么多協(xié)議報文，則可基本判斷為協(xié)議報文的攻擊。對于DoS攻擊，大多數(shù)的攻擊者的源IP或者源MAC是固定的。可以通過部署攻擊溯源來查看是否存在攻擊(攻擊溯源在V200R009已經(jīng)默認(rèn)開啟)。[HUAWEI]cpu-defendpolicypolicy1[HUAWEI-cpu-defend-policy-policy1]auto-defendenable[HUAWEI-cpu-defend-policy-policy1]auto-defendattack-packetsample5[HUAWEI-cpu-defend-policy-policy1]auto-defendthreshold30[HUAWEI-cpu-defend-policy-policy1]auto-defendtrace-typesource-macsource-ip[HUAWEI-cpu-defend-policy-policy1]auto-defendprotocoldhcp[HUAWEI-cpu-defend-policy-policy1]quit接下來應(yīng)用防攻擊策略policyL關(guān)于防攻擊策略的應(yīng)用，請參見3.1應(yīng)用防攻擊策略。等待一分鐘后，查看是否存在攻擊源?！鰀isplayauto-deCendattaci-sour-oedetailAttackScurceUser-Table(MPU)::MACAddress0000-C123-0102ZnterzaceGig-abitEt