交換機攻防見招拆招

S系列交換機攻擊處理1.1如何確定攻擊類型當設備遭受攻擊時，通常伴隨著如下現象：l用戶無法獲取ARP。l用戶上線成功率較低。l用戶無法訪問網絡。當大量用戶或固定某個端口下的所有用戶出現上述現象時，可以先通過如下定位手段分析是否為攻擊問題。步驟1執(zhí)行命令displaycpu-usage查看設備CPU占用率的統(tǒng)計信息,CPUUsage表示的是CPU占用率，TaskName表示的是設備當前正在運行的任務名稱。<->displaycpu-us-ageCTUUsageStat.2ycle:3（SeconlJCPUUsage:11%七日露二94名CEUJsageStat-.lime;2017-OG-L31-5;1S:54CPUutilizaticrnforzivestGonda:二二若:oneminute;二二若:ziveminutes;二二告Kaa2PUUsageStat,lime;2QL^-06-0<14:5":05.TastWaoneCPURuntime<CEUTictfii5h/TickLow)laskEjcplanatiori7ZDL方9番e/eb"733feDDFRAIDLE：333%1/57529?CperatiozzSystemtocmRX20%0/17aL4cbcinKXFTS2口告0/zf737FTSSOCK2口告0/2￡acS9SC2KPackEtadiedulearid^r&c.essVPR口10/l￡￡3630VPRVPRec：&ive如果CPU利用率持續(xù)較高，并且bcmRX、FTS、SOCK或者VPR任務過高（通常協議報文攻擊會導致這些任務過高），則較大可能是收到的報文過多，接下來需要執(zhí)行步驟2繼續(xù)判斷設備收到的報文類型。印說岬一般情況下，交換機長時間運行時CPU占用率不超過80%，短時間內CPU占用率不超過95%，可認為交換機狀態(tài)是正常的。步驟2執(zhí)行命令displaycpu-defendstatisticsall查看相關協議是否有CPCAR丟包、丟包是否多，并確認現網設備是否放大相關協議的CPCAR值。如果CPCAR存在大量丟包，就基本可以確認現網存在攻擊，根據丟包的協議，采用相關防攻擊措施。具體有哪些常見的丟包協議，請參見表1-1。displaycpu-defendstatisticsallStatisticacnmainijoard!PacietTypePass(P^cket/S7te)Drop(Padet/Byte)Last-lrc^pirig-timeTOC\o"1-5"\h\zarp-infz00-00arp-missC0-C0a^p-reply00-CQa^p-request242=3L2S42017-05-10:23:10表1-1丟包協議以及相應的防攻擊部署手段PacketType可以參考的攻擊類型arp-reply、arp-requestARP攻擊、1.2.8TC攻擊arp-missARP-Miss攻擊dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-requestDHCP攻擊icmpICMP攻擊ttl-expiredTTL攻擊tcpTCP攻擊ospfOSPF攻擊ssh、telnetSSH/Telnet攻擊vrrpVRRP攻擊igmpIGMP攻擊

pimPIM攻擊V200R003版本以及之后版本支持端口防攻擊功能，對于V200R003版本以及之后版本，有可能存在這樣的情況：即使Drop計數不再增長，也是有可能存在攻擊的。所以對于V200R003版本以及之后版本，還需要繼續(xù)執(zhí)行步驟3進一步確認丟包協議。步驟3可以通過如下兩種方式確認。方法一：在診斷視圖中執(zhí)行命令displayauto-port-defendstatistics[slotslot-id]查看是否有對應協議的丟包。具體有哪些常見的丟包協議，請參見表1-2。system-view[HUAWEI]diiagnose[H.TTAKEI-diagnose]displayauto-port-defen-dstat1sticsStatisticsonHEU：iProtocolVian^iieuetit(KbpsJPass(Facket/Byte)Drop(Packet/BYte)曜2256□口瞄曜2256□口瞄dticf曜21024□口NANAMA27630口NANAic-mpMA2256230953NANA表1-2丟包協議以及相應的防攻擊部署手段Protocol可以參考的攻擊類型arp-reply、arp-requestARP攻擊、1.3.8TC攻擊arp-missARP-Miss攻擊dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-requestDHCP攻擊icmpICMP攻擊ttl-expiredTTL攻擊

tcpTCP攻擊ospfOSPF攻擊ssh、telnetSSH/Telnet攻擊vrrpVRRP攻擊igmpIGMP攻擊pimPIM攻擊方法二：對于歷史上曾經觸發(fā)過端口防攻擊也可以通過日志來確定。日志格式如下，其中AttackProtocol表示的是攻擊報文的協議類型。SECE/4/PORT_ATTACK_OCCUR:Autoport-defendstarted.(SourceAttackInterface=[STRING],AttackProtocol=[STRING])SECE/6/PORT_ATTACK_END:Autoport-defendstop.(SourceAttackInterface=[STRING],AttackProtocol=[STRING])結束1.2根據攻擊類型部署防攻擊手段1.2.1ARP攻擊1.2.1.1ARP泛洪攻擊攻擊簡介如下圖所示，局域網中用戶通過SwitchA和SwitchB接入連接到Gateway訪問Internet。當網絡中出現過多的ARP報文時，會導致網關設備CPU負載加重，影響設備正常處理用戶的其它業(yè)務。另一方面，網絡中過多的ARP報文會占用大量的網絡帶寬，引起網絡堵塞，從而影響整個網絡通信的正常運行。InternetUserAUserCUserDAttackerSwitchBSwiichAInternetUserAUserCUserDAttackerSwitchBSwiichA現象描述l網絡設備CPU占有率較高，正常用戶不能學習ARP甚至無法上網。lPing不通。l網絡設備不能管理。定位思路定位手段命令行適用版本形態(tài)查看ARP臨時表項displayarpV100R006C05版本以及之后版本查看arp-request的CPCAR計數displaycpu-defendstatisticspacket-typearp-requestallV100R006C05版本以及之后版本查看攻擊溯源結果displayauto-defendattack-source[slotslot-id]V200R003版本以及之后版本步驟1執(zhí)行命令displayarp查看受影響用戶的ARP是否學習不至限如果MACADDRESS字段顯示為Incomplete,表示有ARP學習不到，有可能設備遭受ARP攻擊。

<HUAWEI><iisplayarp二FADISESSMACADDRESSEXEIRE(M)TYPEINTERFACEVPN-ZNSIANCEVLSH/而？L且N10-137-222-139OOeO-fcOl-4422I-EthO/0/050-1..1..3In.c.cirp'lete1D-0GE5/0/0500/-50..1.1.2Inc-cnp'lete1D-0GE5/0/0500/-€.1-1-2OOeO-fcOl-4422I-Vla.ni.f610?0?0?139O0eO-fc01-4422I-VlanizlO步驟2由于有未學習到的ARP表項，執(zhí)行命令displaycpu-defendstatisticspacket-typearp-requestall查看上送CPU的ARP-Request報文統(tǒng)計信息，判斷設備是否遭受攻擊，下述回顯發(fā)現4號單板上存在大量ARP-Request報文丟包。<HUAWEI>displaycpundefendstatisticspacket-typearp-requestallStatisticson.maint-card：PacketTypePass(Facket./Byt;e)Drop(Facket/Byte)Last-drcppinj-1imearp-request1S265041C43300Statisticsonslot4Packet工ypmPass(Facket./Byt:e)Drop(Packet/BYte)Last-drcppinj-1imearp-request213237432016-01-1705:13:25272S96479744CQ說明該命令可以查看多次，比如1秒執(zhí)行一次，查看多次執(zhí)行的結果。如上顯示，如果Drop(Packets)計數增加很快，比如1秒鐘Drop上百個，這說明設備正在遭受ARP攻擊，上送的ARP報文已經超過了設備配置的CPCAR范圍，攻擊ARP報文可能已經擠掉了正常ARP報文，則部分ARP可能學習不到。步驟3確認攻擊源，通過攻擊溯源功能識別攻擊源。首先在系統(tǒng)視圖下配置防攻擊策略：[HUAWEI]cpu-defendpolicypolicy1[HUAWEI-cpu-defend-policy-policy1]auto-defendenable[HUAWEI-cpu-defend-policy-policy1]auto-defendattack-packetsample5[HUAWEI-cpu-defend-policy-policy1]auto-defendthreshold30[HUAWEI-cpu-defend-policy-policy1]undoauto-defendtrace-typesource-portvlan[HUAWEI-cpu-defend-policy-policy1]undoauto-defendprotocoldhcpicmpigmptcptelnetttl-expiredudp接下來應用防攻擊策略policyL關于防攻擊策略的應用，請參見3.1應用防攻擊策略。最后通過命令displayauto-defendattack-sourceslot4查看攻擊源的MAC地址。

<HUAWEI>displayauto-defendattack-sourceslot4AttackSourceUserTab-le(slot4):Maor-ddressInteriaceNameVIan:Outer/1nnerIOZALTOC\o"1-5"\h\zuuuu-uuuu-uudDGijat-ittitnerne14/u/z41bAttackSourceIPIable(slot4):IPAddresslOIILLFackets19S-19.1-224550.1.1.2125Total:2QJ說明識別的MAC中可能包含網關的MAC地址或互連網絡設備的MAC,需要注意剔除。結束問題根因由于終端中毒頻繁發(fā)送大量ARP報文。下掛網絡成環(huán)產生大量的ARP報文。處理步驟步驟1在接口下配置ARP表項限制。設備支持接口下的ARP表項限制，如果接口已經學習到的ARP表項數目超過限制值，系統(tǒng)不再學習新的ARP表項，但不會清除已經學習到的ARP表項，會提示用戶刪除超出的ARP表項。配置命令如下：<HUAWEI>system-view[HUAWEI]interfacegigabitethernet1/0/1[HUAWEI-GigabitEthernet1/0/1]arp-limitvlan10maximum20步驟2配置針對源IP地址的ARP報文速率抑制的功能。在一段時間內，如果設備收到某一源IP地址的ARP報文數目超過設定閾值，則不處理超出閾值部分的ARP請求報文。<HUAWEI>system-view[HUAWEI]arpspeed-limitsource-ip10.0.0.1maximum50缺省情況下，對ARP報文進行時間戳抑制的抑制速率為5pps，即每秒處理5個ARP報文。步驟3根據排查出的攻擊源MAC配置黑名單過濾掉攻擊源發(fā)出的ARP報文。[HUAWEI]acl4444[HUAWEI-acl-L2-4444]rulepermitl2-protocolarpsource-mac0-0-1vlan-id3[HUAWEI-acl-L2-4444]quit[HUAWEI]cpu-defendpolicypolicy1[HUAWEI-cpu-defend-policy-policy1]blacklist1acl4444[HUAWEI-cpu-defend-policy-policy1]quit

接下來應用防攻擊策略policyl,關于防攻擊策略的應用，請參見3.1應用防攻擊策略。步驟4如果上述配置無法解決，比如源MAC變化或源IP變化的ARP攻擊源來自某臺接入設備下掛用戶，在接入側交換機上配置流策略限速，不讓該接入側設備下的用戶影響整個網絡。[HUAWEI]acl4445[HUAWEI-acl-L2-4445]rulepermitl2-protocolarp[HUAWEI-acl-L2-4445]quit[HUAWEI]trafficclassifierpolicy1[HUAWEI-classifier-policy1]if-matchacl4445[HUAWEI-classifier-policy1]quit[HUAWEI]trafficbehaviorpolicy1[HUAWEI-behavior-policy1]carcir32[HUAWEI]trafficpolicypolicy1[HUAWEI-trafficpolicy-policy1]classifierpolicy1behaviorpolicy1[HUAWEI]interfaceGigabitEthernet1/0/1[HUAWEI-GigabitEthernet1/0/1]traffic-policypolicy1inbound結束1.2.1.2ARP欺騙攻擊攻擊簡介如圖1-2所示，局域網中UserA、UserB、UserC等用戶通過Switch接入連接到Gateway訪問Internet。圖1-1ARP欺騙攻擊組網正常情況下，UserA、UserB、UserC上線之后，通過相互之間交互ARP報文，UserA、UserB、UserC和Gateway上都會創(chuàng)建相應的ARP表項。此時，如果有攻擊者Attacker通過在廣播域內發(fā)送偽造的ARP報文，篡改Gateway或者UserA、UserB、UserC上的ARP表項，Attacker可以輕而易舉地竊取UserA、UserB、UserC的信息或者阻礙UserA、UserB、UserC正常訪問網絡。現象描述局域網內用戶時通時斷，無法正常上網。網絡設備會經常脫管，網關設備會打印大量地址沖突的告警。定位思路定位手段命令行適用版本形態(tài)查看日志信息displaylogbufferV100R006C05版本以及之后版本l交換機做網關，如果攻擊源發(fā)送假冒網關的ARP報文經過網關交換機時，報文會上送交換機的CPU處理，交換機在檢測到網關沖突的同時記錄日志。執(zhí)行命令displaylogbuffer查看日志信息。日志信息如下所示，其中MacAddress代表攻擊者的MAC地址。ARP/4/ARP_DUPLICATE_IPADDR:ReceivedanARPpacketwithaduplicateIPaddressfromtheinterface.(IpAddress=[IPADDR],InterfaceName=[STRING],MacAddress=[STRING])根據日志信息記錄的攻擊者的MAC地址查找MAC地址表，從而獲取到攻擊源所在的端口，通過網絡進一步排查，進一步定位出攻擊源，查看是否中毒所致。l交換機做網關，如果攻擊源發(fā)送假冒網關的ARP報文不經過網關交換機，直接在交換機的下游轉發(fā)到用戶，則需要在下層網絡排查。例如，可以在終端上使用報文解析工具(比如wireshark)解析網關回應的ARP報文，如果解析出來的MAC地址不是網關的MAC地址，則代表終端遭遇攻擊，其中解析出來的MAC地址即為攻擊者MAC地址。問題根因終端中毒。攻擊者將主機地址設為網關地址。處理步驟方法優(yōu)點缺點配置黑名單基于黑名單丟棄上送CPU的報文需先查到攻擊源配置黑洞MAC丟棄該攻擊源發(fā)的所有報文，包括轉發(fā)的報文需先查到攻擊源配置防網關沖突攻擊功能收到具有相同源MAC地址的報文直接丟棄需本設備做網關l方法一：可以在用戶允許的情況下，直接在交換機上配置黑名單過濾攻擊源的源MAC地址。[HUAWEI]acl4444[HUAWEI-acl-L2-4444]rulepermitl2-protocolarpsource-mac1-1-1[HUAWEI-acl-L2-4444]quit[HUAWEI]cpu-defendpolicypolicy1[HUAWEI-cpu-defend-policy-policy1]blacklist1acl4444接下來應用防攻擊策略policyl,關于防攻擊策略的應用，請參見3.1應用防攻擊策略。l方法二：更嚴厲的懲罰措施可以將攻擊者的MAC配置成黑洞MAC，徹底不讓該攻擊者上網。[HUAWEI]mac-addressblackhole1-1-1vlan3l方法三：可以在交換機上配置防網關沖突功能（該功能要求交換機必須做網關），ARP網關沖突防攻擊功能使能后，系統(tǒng)生成ARP防攻擊表項，在后續(xù)一段時間內對收到具有相同源MAC地址的報文直接丟棄，這樣可以防止與網關地址沖突的ARP報文在VLAN內廣播。[HUAWEI]arpanti-attackgateway-duplicateenable1.2.2ARP-Miss攻擊1.2.2.1網段掃描攻擊攻擊簡介當交換機需要轉發(fā)三層報文時，如果目的地址是和其直連的，且在設備上沒有目的地址的ARP表項，就會觸發(fā)一個ARPMiss消息，由設備發(fā)送ARP請求到目的地址，以便學習ARP，當學習到ARP后，報文便可以直接轉發(fā)到目的地址。大量的網段掃描報文會產生大量的ARPMiss消息，導致交換機的資源浪費在處理ARPMiss消息上，影響交換機對其他業(yè)務的處理，形成掃描攻擊。現象描述當設備遭受ARPMiss消息攻擊時，出現設備CPU占有率較高，有大量的臨時ARP表項，CPCAR存在ARPMiss丟包，Ping有時延或Ping不通的現象，業(yè)務方面會發(fā)生用戶掉線、用戶上網慢、設備脫管、甚至業(yè)務中斷等現象。定位思路定位手段命令行適用版本形態(tài)查看CPU-Defend丟包計數displaycpu-defendstatisticspacket-typearp-miss{slotslot-id}V100R006C05版本以及之后版本查看ARP臨時表項displayarpV100R006C05版本以及之后版本清除上送CPU的ARPMiss報文統(tǒng)計計數。<HUAWEI>resetcpu-defendstatisticspacket-typearp-missall等待1分鐘后，查看這段時間內上送CPU的ARPMiss數量。displayGpu--l&fendstatistiG-spactst-typearp-missslot2Statisticson.slot2:PacfcetTypePass(Packet/Byte)Drop(Pacfcet/B/te)Last-droppiri'g--time5r?-ir.izz:口三口03c-5302QL--0c-lc12;2c;10查看通過和丟棄的報文數量，如果丟棄的消息數量大于通過的，則可認為是ARPMiss攻擊。查看設備上是否有大量的ARP臨時表項,如果存在大量（大概15個或者15個以上）的MACADDRESS字段為Incomplete的臨時表項，也可以認為是ARPMiss攻擊。問題根因設備收到大量的ARPMiss消息常見的原因有兩種：存在網段掃描攻擊，可以通過獲取報文或者通過displayarpanti-attackarpmiss-record-info命令來查看攻擊源。設備收到TC消息，導致ARP表項老化，設備出現大量的ARPMiss消息。對于TC消息導致的ARPMiss攻擊，防范手段參考1.3.8TC攻擊。處理步驟方法優(yōu)點缺點降低ARPMiss消息的CPCAR值可以快速降低報文上送可能正常的ARPMiss消息被誤丟棄。設置ARP假表老化時間針對具體目的地址進行抑制，在老化時間內不觸發(fā)ARPMiss消息要選擇合適的老化時間。配置ARPMiss源抑制針對具體源地址進行抑制，在block時間內不上送ARPMiss消息需要配置白名單，防止網絡側的設備被懲罰。

配置黑名單丟棄指定攻擊源可以基于全局、單板應用，丟棄攻擊報文黑名單無法有效降低CPU占用率。攻擊消除后也無法訪問設備。l可以通過調整ARPMiss的CPCAR值來緩解CPU過高問題。<HUAWEI>system-view[HUAWEI]cpu-defendpolicypolicy1[HUAWEI-cpu-defend-policy-policy1]carpacket-typearp-misscir64[HUAWEI-cpu-defend-policy-policy1]quit[HUAWEI]cpu-defend-policypolicy1global此方法只能緩解CPU過高問題，但無法解決用戶上線慢等問題。l可以通過延長ARP假表老化時間來緩解CPU過高問題。當IP報文觸發(fā)ARPMiss后，交換機會發(fā)送ARP請求進行探測，同時生成臨時的ARP表項，將后續(xù)發(fā)送到此IP的數據報文直接丟棄，以免造成對CPU的沖擊。當交換機收到ARP回應后，會將此臨時的ARP表項修正，如果在規(guī)定的時間內未收到ARP回應，則將該臨時表項刪除，后續(xù)的IP報文即可繼續(xù)觸發(fā)上述ARPMiss流程。<HUAWEI>system-view[HUAWEI]interfaceVlanif500[HUAWEI-Vlanif500]arp-fakeexpire-time30〃默認時間為30s設置過大的假表老化時間，可能會導致ARP學習不實時，進而導致數據流量丟失。l配置基于源IP的ARPMiss限速，系統(tǒng)會自動識別超過速率的源IP且會自動下發(fā)ACL進行懲罰，默認情況下，所有IP地址的ARPMiss源抑制速率為30Pps，默認懲罰時間為5秒。建議對網絡側的地址進行放通，防止被懲罰。<HUAWEI>system-view[HUAWEI]arp-missspeed-limitsource-ipmaximum10//一個源IP最多產生arp-miss速率為10pps，缺省為30pps[HUAWEI]arp-missspeed-limitsource-ip1.1.1.1maximum200//對上行的網絡側地址放行，防止誤懲罰可以通過命令displayarpanti-attackarpmiss-record-info查看攻擊源。[HUnWE工]displayarpanti-atta-cfcarpmiss-record-infoInterlaceIFadiressAttacktimeBlocktimeAgiag-timeGijabitEtherne15/0/010-0-012009-09-1610:13:132Q09-09-l^10:19:1250Thereare1reeor-dsinAr-p-misstable此命令會自動下發(fā)基于源IP的ARPMiss懲罰ACL，若不再需要其上送控制平面，則可以通過cpu-defendpolicy中配置黑名單功能徹底終結該源的攻擊。1.2.3DHCP攻擊1.2.3.1DHCPServer仿冒攻擊攻擊簡介由于DHCPServer和DHCPClient之間沒有認證機制，所以如果在網絡上隨意添加一臺DHCP服務器，它就可以為客戶端分配IP地址以及其他網絡參數。如果該DHCP服務器為用戶分配錯誤的IP地址和其他網絡參數，將會對網絡造成非常大的危害。

如圖1-3所示，DHCPDiscover報文是以廣播形式發(fā)送，無論是合法的DHCPServer,還是非法的DHCPServer都可以接收到DHCPClient發(fā)送的DHCPDiscover報文。圖1-2DHCPClient發(fā)送DHCPDiscover報文示意圖BogusDHCPServerDHCPDiscoverfromDHCPClient如果此時DHCPServer仿冒者回應給DHCPClient仿冒信息，如錯誤的網關地址、錯誤的DNS(DomainNameSystem)服務器、錯誤的IP等信息，如圖1-4所示。DHCPClient將無法獲取正確的IP地址和相關信息，導致合法客戶無法正常訪問網絡或信息安全受到嚴重威脅。圖1-3DHCPServer仿冒者攻擊示意圖BogusDHCPServerDHCPclient一?DHCPrepl/FromBogusDHCPServer

DHCPreplyfromDHCPS&rver現象描述DHCPClient無法獲取到正確的IP地址，用戶無法正常訪問網絡。定位思路一般在業(yè)務部署的時候，防DHCPServer仿冒攻擊就應該考慮。很少等到問題發(fā)生了才部署防DHCPServer仿冒攻擊。如果出現該類問題，一般可以查看客戶端DHCP相關信息，來確定問題原因。問題根因DHCP申請IP地址的交互流程中，客戶端發(fā)送的是廣播報文。如圖1-4所示，仿冒的DHCP服務器可以截獲DHCPClient發(fā)送的請求報文，為DHCPClient分配地址。處理步驟方法優(yōu)點缺點配置DHCPSnooping常用方法，配置簡單報文上送CPU，可能導致CPU利用率變高配置流策略報文不用上送CPU處理配置復雜，需要ACL資源支持方法一：通過DHCPSnooping來控制DHCP請求跟應答報文的交互，防止仿冒的DHCP服務器為DHCPClient分配IP地址以及其他配置信息。l全局使能DHCPSnooping業(yè)務<HUAWEI>system-view[HUAWEI]dhcpenable[HUAWEI]dhcpsnoopingenablel用戶側端口配置DHCPSnooping功能[HUAWEI]interfaceGigabitEthernet8/0/1[HUAWEI-GigabitEthernet8/0/1]dhcpsnoopingenablel連接DHCP服務器的端口配置成信任端口[HUAWEI]interfaceGigabitEthernet8/0/10[HUAWEI-GigabitEthernet8/0/10]dhcpsnoopingtrusted方法二：DHCPSnooping是通過控制DHCP報文的轉發(fā)來防止DHCPServer仿冒攻擊。我們可以通過流策略達到同樣的效果。只允許DHCP請求報文向信任口轉發(fā)，只允許DHCP回應報文從信任口收到并轉發(fā)。配置ACL匹配DHCP回應報文[HUAWEI]acl3001[HUAWEI-acl-adv-3001]rulepermitudpdestination-porteqbootpc配置兩個流策略，一個丟棄DHCP回應報文，一個允許DHCP回應報文轉發(fā)，將丟棄的流策略應用到VLAN，將允許轉發(fā)的流策略應用到連接DHCPServer方向的端口，利用流策略在端口應用的優(yōu)先級高于在VLAN中應用，來實現只接收并轉發(fā)從DHCPServer方向過來的DHCP回應報文的目的。[HUAWEI]trafficclassifierbootpc_dest[HUAWEI-classifier-bootpc_dest]if-matchacl3001[HUAWEI-classifier-bootpc_dest]quit[HUAWEI]trafficbehaviordeny[HUAWEI-behavior-deny]deny[HUAWEI-behavior-deny]quit[HUAWEI]trafficbehaviorpermit[HUAWEI-behavior-permit]permit[HUAWEI-behavior-permit]quit[HUAWEI]trafficpolicybootpc_dest_permit[HUAWEI-trafficpolicy-bootpc_dest_permit]classifierbootpc_destbehaviorpermit〃配置允許DHCP回應報文轉發(fā)的流策略[HUAWEI-trafficpolicy-bootpc_dest_permit]quit[HUAWEI]trafficpolicybootpc_dest_deny[HUAWEI-trafficpolicy-bootpc_dest_deny]classifierbootpc_destbehaviordeny〃配置DHCP回應報文丟棄的流策略[HUAWEI-trafficpolicy-bootpc_dest_deny]quit[HUAWEI]interfaceGigabitEthernet8/0/10[HUAWEI-GigabitEthernet8/0/10]traffic-policybootpc_dest_permitinbound//將允許DHCP回應報文的流策略應用在信任端口上[HUAWEI-GigabitEthernet8/0/10]quit[HUAWEI]vlan172[HUAWEI-vlan172]traffic-policybootpc_dest_denyinbound〃將丟棄DHCP回應報文的流策略應用在VLAN中[HUAWEI-vlan172]quit下述配置是可選的配置。配置ACL匹配DHCP請求報文[HUAWEI]acl3000[HUAWEI-acl-adv-3000]rulepermitudpsource-porteqbootpc配置兩個流策略，一個丟棄DHCP請求報文，一個允許DHCP請求報文轉發(fā)，將丟棄的流策略應用到VLAN，將允許轉發(fā)的流策略應用到連接DHCPServer方向的端口，利用流策略在端口應用的優(yōu)先級高于在VLAN中應用，來實現將DHCP請求報文只往DHCPServer轉發(fā)的目的。[HUAWEI]trafficclassifierbootpc_src[HUAWEI-classifier-bootpc_src]if-matchacl3000[HUAWEI-classifier-bootpc_src]quit[HUAWEI]trafficbehaviordeny[HUAWEI-behavior-deny]deny[HUAWEI-behavior-deny]quit[HUAWEI]trafficbehaviorpermit[HUAWEI-behavior-permit]permit[HUAWEI-behavior-permit]quit[HUAWEI]trafficpolicybootpc_src_permit[HUAWEI-trafficpolicy-bootpc_src_permit]classifierbootpc_srcbehaviorpermit〃配置允許DHCP請求報文轉發(fā)的流策略[HUAWEI-trafficpolicy-bootpc_src_permit]quit[HUAWEI]trafficpolicybootpc_src_deny[HUAWEI-trafficpolicy-bootpc_src_deny]classifierbootpc_srcbehaviordeny//配置DHCP請求報文丟棄的流策略[HUAWEI-trafficpolicy-bootpc_src_deny]quit[HUAWEI]interfaceGigabitEthernet8/0/10[HUAWEI-GigabitEthernet8/0/10]traffic-policybootpc_src_permitoutbound//將允許DHCP請求報文轉發(fā)的流策略應用在信任端口的出方向[HUAWEI-GigabitEthernet8/0/10]quit[HUAWEI]vlan172[HUAWEI-vlan172]traffic-policybootpc_src_denyoutbound〃將丟棄DHCP請求報文的流策略應用在VLAN的出方向[HUAWEI-vlan172]quit1.2.3.2DHCP泛洪攻擊攻擊簡介泛洪攻擊又叫DoS攻擊，即拒絕服務攻擊(DoS,DenialofService),是指向設備發(fā)送大量的連接請求，占用設備本身的資源，嚴重的情況會造成設備癱機，一般情況下也會使設備的功能無法正常運行。因為主要是針對服務器的,目的是使服務器拒絕合法用戶的請求,所以叫拒絕服務攻擊。現象描述交換機部署DHCPSnooping、DHCPRelay或者DHCPServer業(yè)務時，設備出現CPU高，用戶上線慢等現象。定位思路定位手段命令行適用版本形態(tài)查看CPU利用率displaycpu-usage[slave|slotslot-id]V100R006C05版本以及之后版本查看CPU-Defend統(tǒng)計計數displaycpu-defendstatistics[packet-typepacket-type]{all|slotslot-id|mcu}V100R006C05版本以及之后版本查看端口防攻擊統(tǒng)計計數displayauto-port-defendstatistics[slotslot-id]V200R003版本以及之后版本配置攻擊溯源auto-defendenableV100R006C05版本以及之后版本查看攻擊溯源信息displayauto-defendattack-sourcedetailV100R006C05版本以及之后版本查看DHCP報文統(tǒng)計信息displaydhcpstatisticsV100R006C05版本以及之后版本查看DHCP中繼的相關報文統(tǒng)計信息displaydhcprelaystatisticsV100R006C05版本以及之后版本查看DHCPServer統(tǒng)計計數displaydhcpserverstatisticsV100R006C05版本以及之后版本查看DHCP報文處理速率displaydhcppacketprocessstatisticsV100R006C05版本以及之后版本執(zhí)行命令displaycpu-usage查看任務運行情況，找出占用CPU較高的任務，通常DoS攻擊會導致bcmRX、FTS或者SOCK任務過高。執(zhí)行命令displaycpu-defendstatistics查看CPU收包統(tǒng)計，判斷是否存在過多由于來不及處理而丟棄的協議報文，對于DHCP協議攻擊可以查看dhcp-server、dhcp-client>dhcpv6-request>dhcpv6-reply這幾種協議的CPCAR統(tǒng)計值。查看端口防攻擊的收包統(tǒng)計，從V200R003以及之后版本支持端口防攻擊功能，對于DHCP協議報文，還需要查看端口防攻擊的統(tǒng)計信息，查看是否存在DHCP協議報文的丟包。―‘根據任務或CPU收包統(tǒng)計確定是否出現過多的某種協議報文。如果判斷出某種協議報文過多，根據用戶的組網判斷是否可能出現這么多的協議報文，如果用戶組網不可能出現這么多協議報文，則可基本判斷為協議報文的攻擊。對于DoS攻擊，大多數的攻擊者的源IP或者源MAC是固定的。可以通過部署攻擊溯源來查看是否存在攻擊(攻擊溯源在V200R009已經默認開啟)。[HUAWEI]cpu-defendpolicypolicy1[HUAWEI-cpu-defend-policy-policy1]auto-defendenable[HUAWEI-cpu-defend-policy-policy1]auto-defendattack-packetsample5[HUAWEI-cpu-defend-policy-policy1]auto-defendthreshold30[HUAWEI-cpu-defend-policy-policy1]auto-defendtrace-typesource-macsource-ip[HUAWEI-cpu-defend-policy-policy1]auto-defendprotocoldhcp[HUAWEI-cpu-defend-policy-policy1]quit接下來應用防攻擊策略policyL關于防攻擊策略的應用，請參見3.1應用防攻擊策略。等待一分鐘后，查看是否存在攻擊源?！鰀isplayauto-deCendattaci-sour-oedetailAttackScurceUser-Table(MPU)::MACAddress0000-C123-0102ZnterzaceGig-abitEt