防攻击的系统保护配置指南

防攻击的系统保护配置指南一、概述众所周知，许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的，大量的扫描报文也急剧占用网络带宽，导致正常的网络通讯无法进行。为此，我们锐捷网络的三层交换机提供了防扫描的功能，用以防止黑客扫描和类似“冲击波病毒”的攻击，并能减少三层交换机的CPU负担。目前发现的扫描攻击有两种：1）目的IP地址变化的扫描，我们称为“scandestipattack”。这种扫描是最危害网络的，不但消耗网络带宽，增加交换机的负担，更是大部分黑客攻击手段的起手。2）目的IP地址不存在，却不断的发送大量报文，我们称为“samedestipattack”。这种攻击主要是针对减少交换机CPU的负担来设计。对三层交换机来说，如果目的IP地址存在，则报文的转发会通过交换芯片直接转发，不会占用交换机CPU的资源，而如果目的IP不存在，交换机CPU会定时的尝试连接，而如果大量的这种攻击存在，也会消耗着CPU资源。当然，这种攻击的危害比第一种小得多了。以上这两种攻击，我们交换机都可以在每个接口上调整相应的攻击阀值、攻击主机隔离的时间等参数，以便管理员最细化的管理配置。如果每个接口的配置都一样，管理员也可通过interfacerange功能进行一批端口的设置。二、配置缺省的配置系统保护的状态

每个端口都关闭非法用户的隔离时间

每个端口均为120

秒对某个不存在的IP不断的发IP报文进行攻

每个端口均为每秒

20个击的最大阀值对一批IP网段进行扫描攻击的最大阀值监控攻击主机的最大数目

每个端口均为每秒100台主机

10

个配置系统保护的打开您可以在接口模式下打开系统保护。命令含义步骤1configureterminal进入全局配置模式。步骤2interfaceinterface-id进入该interface的配置模式。合法的interface包括物理端口和AggregateLink。步骤3system-guardenable打开系统保护步骤4end退回到特权模式。步骤5showsystem-guard核对配置条目步骤6copyrunning-configstartup-config保存配置。如果您要关闭该接口下的系统保护，请在接口模式下用nosystem-guard进行设置。配置非法攻击用户的隔离时间您可以在接口模式下配置非法攻击用户的隔离时间。隔离这段时间后该IP会自动恢复通讯。命令含义步骤1configureterminal进入全局配置模式。步骤2interfaceinterface-id进入该interface的配置模式。合法的interface包括物理端口和AggregateLink。步骤3system-guardisolate-timeseconds配置非法用户的隔离时间。取值范围为30秒到3600秒，缺省值为120秒。步骤4end退回到特权模式。步骤5showsystem-guard核对配置条目步骤6copyrunning-configstartup-config保存配置。如果您要恢复隔离时间的缺省值，请在接口模式下用nosystem-guardisolation-time进行设置。另外，当非法用户被隔离时，我们会发一个LOG记录到日志系统中，以备管理员查询，非法用户隔离解除时也会发一个LOG通知。配置判断是否为攻击用户的阀值有两种攻击方法都可能会影响交换机的性能：1.对一批IP网段进行扫描。2.对某个不存在的IP不断的发IP报文进行攻击。对此我们交换机做了这两个限制，只有其中一条超出了管理员控制的报文限制，即认为该用户是非法攻击者，把它隔离。命令含义步骤1configureterminal进入全局配置模式。步骤2interfaceinterface-id进入该interface的配置模式。合法的interface包括物理端口和AggregateLink。步骤3system-guard配置对某个不存在的IP不断的发IP报文进行攻击的最大阀值。same-dest-ip-attack-packetsnumber取值范围为每秒1个报文到2000个报文，缺省值为20个。设置成0表示不对这种攻击进行监控。步骤4system-guard配置对一批IP网段进行扫描攻击的最大阀值。scan-dest-ip-attack-packetsnumber取值范围为每秒1个报文到1000个报文，缺省值为10个。设置成0表示不对这种攻击进行监控。步骤5end退回到特权模式。步骤6showsystem-guard核对配置条目步骤7copyrunning-config保存配置。startup-config注意，如果阀值设置得越小，判断攻击的主机的准确度就可能越差，容易误隔离正常上网的主机，建议管理员根据实际的网络环境的安全程度配置相应的阀值。如果您要恢复相应参数的缺省值，请在接口模式下用nosystem-guardsame-dest-ip-attack-packets和nosystem-guardscan-dest-ip-attack-packets进行设置。设置监控攻击主机的最大数目您可以设置交换机监控攻击主机的最大数。一般来说，这个数目保持在“实际运行的主机数/20”左右即可。但是，如果您发现被隔离的主机数已经达到或接近监控的主机数最大数，那可以扩大监控主机的数目，以达到更好的保护系统的要求。注意，您如果把监控主机的数目改成比原来的小，会引起当前监控的主机数据清空。您可以通过以下步骤设置监控攻击主机的最大数目：命令含义步骤1configureterminal进入全局配置模式。步骤2system-guard设置监控主机的最大数。取值范围为1-500，缺省值为100。detect-maxnumnumber步骤3end退回到特权模式。步骤4showsystem-guard核对配置条目步骤5copyrunning-config保存配置。startup-config如果您要恢复监控主机最大数目的缺省值，请用nosystem-guarddetect-maxnum进行设置。设置监控攻击的特例ip您可以设置防攻击功能的特例ip，符合该特例ip的报文将允许被发往cpu。命令含义步骤1configureterminal进入全局配置模式。步骤2system-guardexception-ip添加防攻击功能的特例ip和掩码.最多支持255条特例ipmaskip表项步骤3end退回到特权模式。步骤4showsystem-guardexception-ip显示所有的特例ip表项步骤5copyrunning-config保存配置。startup-config使用该命令的no选项删除一条特例ip表项。使用命令的no 和all-eip选项可以删除所有特例ip例如删除所有特例ip：Switch(config)#nosystem-guardall-eip或删除单条特例ip：Switch(config)#nosystem-guard192.168.5.145 255.255.255.0清除已被隔离的用户已被隔离的用户会隔离一段时间后自动恢复(参见配置非法攻击用户的隔离时间这一节)如果你要手动清除该用户，可以在特权模式下用以下命令清除。命令步骤1 clearsystem-guard[interfaceinterface-id[ip-addressip-address]]

含义清除已被隔离用户。其中clearsystem-guard表示清除所有已被隔离用户；clearsystem-guardinterfaceinterface-id表示清除该端口下的所有用户；clearsystem-guardinterfaceinterface-idip-addressip-address表示清除该接口下的指定IP用户。查看系统保护的相关信息查看系统保护的配置信息命令 含义步骤1 showsystem-guard 查看系统保护配置参数[interfaceinterface-id]使用showsystem-guard查看系统保护的配置参数：Switch#showsystem-guarddetect-maxnumnumber:100---------------交换机监控的主机最大数目isolatedhostnumber:11---------------交换机已隔离的主机数目intefacestateisolatetimesame-attack-pktsscan-attack-pkts--------------------------------------------------------------Fa0/1ENABLE1202010Fa0/2DISABLE1102111……Switch#showsystem-guardinterfaceFa0/1detect-maxnumnumber:100---------------交换机监控的主机最大数目isolatedhostnumber:11---------------交换机已隔离的主机数目intefacestateisolatetimesame-attack-pktsscan-attack-pkts--------------------------------------------------------------Fa0/1ENABLE1202010查看系统保护被隔离的用户步骤1

命令showsystem-guard

含义查看受系统保护被隔离的用户isolate-ip[interfaceinterface-id]Switch#showsystem-guardisolated-ipinterfaceip-addressisolatereasonremain-time(second)------------------------------------------------------------------Fa0/1192.168.5.119scanipattack110Fa0/1192.168.5.109sameipattack61以上几栏分别表示：已隔离的IP地址出现的端口、已隔离的IP地址，隔离原因，隔离的剩余时间。注意：isolatereason中有可能会显示“chipresourcefull”，这是因为交换机隔离了较多的用户，导致交换机的硬件芯片资源占满（根据实际的交换机运作及ACL设置，这个数目大约是每端口可隔离100－120个IP地址），这些用户并没有实际的被隔离，管理员需要采取其他措施来处理这些攻击者。查看正在被监控的用户只有被怀疑正在攻击的用户才被显示出来命令 含义步骤1 showsystem-guarddetect-ip查看正在被监控的IP情况[interfaceinterface-id]interfaceip-addresssameipattackpacketsscanipattackpackets------------------------------------------------------------------------