應用場景
查看上送CPU的報文統計信息,如果某種類型的報文上送或丟棄的數量較大,則可以初步判斷網絡中存在這種報文類型的網絡攻擊。
<HUAWEI> reset cpu-defend statistics //清除上送CPU報文的統計信息,並等待一段時間……
<HUAWEI> display cpu-defend statistics all //查看上送CPU報文的統計信息
例如黑客通過控制網絡中主機發送大量的ping報文(ICMP),造成網絡設備花費大量資源處理攻擊報文,CPU占用率高,合法用戶業務中斷。
那么出現網絡攻擊時,如何快速定位攻擊源呢?
攻擊溯源通過對上送CPU的報文進行采樣分析,如果報文速率(pps)超過設置的閾值,則認為是攻擊報文。
對攻擊報文進行分析,可以找到攻擊源的IP地址、MAC地址、接口和VLAN。
實現原理
配置思路
1.創建防攻擊策略
2.配置攻擊溯源
(采樣比、檢查閾值、溯源模式、防范的報文類型、白名單、告警功能、懲罰措施)
3.應用防攻擊策略
操作步驟
<HUAWEI> system-view //進入系統視圖 [HUAWEI] cpu-defend policy test //創建防攻擊策略,策略名為test [HUAWEI-cpu-defend-policy-test] auto-defend enable //使能攻擊溯源功能 [HUAWEI-cpu-defend-policy-test] auto-defend threshold 64 //配置攻擊溯源檢查閾值 [HUAWEI-cpu-defend-policy-test] auto-defend attack-packet sample 10 //配置攻擊溯源采樣比 [HUAWEI-cpu-defend-policy-test] auto-defend alarm enable //使能攻擊溯源告警功能 [HUAWEI-cpu-defend-policy-test] auto-defend alarm threshold 64 //配置攻擊溯源告警閾值 [HUAWEI-cpu-defend-policy-test] auto-defend action deny //配置攻擊溯源的懲罰措施 [HUAWEI-cpu-defend-policy-test] quit //返回系統視圖 [HUAWEI] cpu-defend-policy test global //應用防攻擊策略