7-常見攻擊與防范

2023/3/10攻擊防范技術(shù)Page2常見攻擊介紹攻擊介紹攻擊和防范原理攻擊防范命令配置攻防典型組網(wǎng)應(yīng)用防范的影響和維護(hù)攻擊防范常見問題Page3常見攻擊介紹－網(wǎng)絡(luò)攻擊類型DDOS攻擊非法報(bào)文攻擊掃描攻擊蠕蟲木馬

后門病毒系統(tǒng)漏洞物理威脅監(jiān)聽口令欺騙IDSVPNPKI防病毒系統(tǒng)VS防火墻無處不在的網(wǎng)絡(luò)安全威脅！Page4常見攻擊介紹－攻擊DDos攻擊，常見的有SYNFLOOD、UDPFLOOD、ICMPFLOOD、HTTPFLOOD、TCP連接耗盡等；攻擊是目前網(wǎng)絡(luò)上的主要威脅，本膠片將著重介紹。原理：通過僵尸網(wǎng)絡(luò)發(fā)起，分為帶寬型和應(yīng)用型攻擊；危害：用戶商業(yè)應(yīng)用停頓；運(yùn)營商網(wǎng)絡(luò)基礎(chǔ)架構(gòu)癱瘓；背景：利益驅(qū)動(dòng)；難以防范和追溯；立法不健全；僵尸電腦僵尸電腦攻擊者運(yùn)營商網(wǎng)絡(luò)IDC/專線用戶Page5常見攻擊介紹－非法報(bào)文攻擊非法報(bào)文攻擊，可分為畸形報(bào)文和欺騙報(bào)文兩類；原理：利用協(xié)議和主機(jī)操作系統(tǒng)漏洞，直接或間接地發(fā)送非法報(bào)文進(jìn)行攻擊；危害：服務(wù)器緩慢或崩潰，用戶商業(yè)應(yīng)用停頓；背景：通信協(xié)議自身問題，主機(jī)系統(tǒng)對協(xié)議支持嚴(yán)密性問題；IpfragmentIpspoofingTcpflagPingofdeathTeardropLandSmurfICMP重定向/不可達(dá)FraggleWinNuke非法報(bào)文畸形報(bào)文欺騙報(bào)文Page6常見攻擊介紹－掃描攻擊掃描攻擊，分為IP地址掃描和端口掃描兩類；原理：黑客使用工具窺探目標(biāo)主機(jī)的存在和開放的端口；危害：掃描攻擊是黑客攻擊或入侵的開始；背景：利益驅(qū)動(dòng)；黑客攻擊；黑客掃描網(wǎng)絡(luò)上的主機(jī)，然后發(fā)現(xiàn)開放端口，利用系統(tǒng)漏洞進(jìn)行攻擊或入侵。Page7常見攻擊介紹攻擊介紹攻擊和防范原理攻擊防范命令配置攻防典型組網(wǎng)應(yīng)用防范的影響和維護(hù)攻擊防范常見問題Page8TCPSYN拒絕服務(wù)攻擊ICMP洪水UDP洪水端口掃描地址掃描虛擬終端（VTY）SSH掃描針對設(shè)備轉(zhuǎn)發(fā)表的攻擊Page9分布式拒絕服務(wù)攻擊（distributingdenyofservice），簡稱DDoS。攻擊者通過控制大量的肉雞向被攻擊者發(fā)送大量的數(shù)據(jù)流，造成被攻擊者鏈路擁塞、系統(tǒng)資源耗盡，從而無法向用戶提供正常業(yè)務(wù)。的特點(diǎn)是攻擊者不直接參與攻擊，而是通過直接或間接的方式與肉雞取得聯(lián)系，然后命令肉雞發(fā)起攻擊。在這個(gè)過程中，攻擊者充當(dāng)?shù)氖枪芾砣怆u、發(fā)號命令的角色，真正發(fā)起攻擊的是肉雞。通常肉雞主動(dòng)與控制者聯(lián)系，目前發(fā)現(xiàn)互聯(lián)網(wǎng)中潛在著數(shù)量巨大的肉雞群，這些肉雞群和控制者被統(tǒng)稱為僵尸網(wǎng)絡(luò)。常見攻擊介紹－掃描攻擊Page10DDoS分布式拒絕服務(wù)攻擊（distributingdenyofservice），簡稱DDoS，是目前最流行的攻擊方式。與傳統(tǒng)的單包攻擊有區(qū)別，攻擊流量都是合法的報(bào)文，而且多數(shù)情況是模擬正常業(yè)務(wù)請求?？刂普呙钊怆u發(fā)起攻擊，造成被攻擊者拒絕服務(wù)，這是最大的特點(diǎn)。攻擊介紹－相關(guān)名詞解釋Page11IDC互聯(lián)網(wǎng)數(shù)據(jù)中心（InternetDataCenter），簡稱IDC。IDC就是電信部門利用已有的互聯(lián)網(wǎng)通信線路、帶寬資源，建立標(biāo)準(zhǔn)化的電信專業(yè)級機(jī)房環(huán)境，為企業(yè)、政府提供服務(wù)器托管、租用以及相關(guān)增值等方面的全方位服務(wù)。IDC中布置了各種服務(wù)器，這些服務(wù)器向互聯(lián)網(wǎng)用戶提供HTTP、FTP、VOD、網(wǎng)絡(luò)游戲等業(yè)務(wù)。IDC具有開放性和訪問密集性的特點(diǎn)，再加上各互聯(lián)網(wǎng)集團(tuán)之間的利益和競爭關(guān)系，種種因素使得IDC成為了熱門的攻擊對象。目前，IDC面臨的最大威脅是攻擊。攻擊介紹－相關(guān)名詞解釋Page12控制者控制者是命令的發(fā)布者，控制者能自由的控制肉雞什么時(shí)候開始攻擊，攻擊持續(xù)多久，哪些肉雞參與攻擊，發(fā)送什么樣的攻擊流量，以及攻擊目標(biāo)等。的控制者可能是多級的，可以是下面這些情況：肉雞——控制者肉雞——控制者控制者控制者的多級性能很好的把攻擊者隱藏起來，使得攻擊者難以被追蹤。

攻擊介紹－相關(guān)名詞解釋Page13肉雞肉雞（也稱僵尸）是被植入木馬的計(jì)算機(jī)。木馬程序是攻擊者（黑客）生成的運(yùn)用程序，木馬程序都具備四個(gè)功能模塊，分別是偽裝模塊、監(jiān)控模塊、通信模塊和攻擊模塊。偽裝模塊主要作用是讓木馬程序自動(dòng)的在被植入的計(jì)算機(jī)上運(yùn)行，寄生在某進(jìn)程中，使其不容易被發(fā)現(xiàn)或查殺。監(jiān)控模塊用于收集用戶計(jì)算機(jī)、用戶輸入信息，通過這個(gè)模塊木馬程序可以盜取用戶的重要信息。通信模塊主要負(fù)責(zé)與控制者（一級控制者）通信，通常都是木馬程序主動(dòng)和控制者通信，攻擊命令就是通過通信模塊從控制者獲取的。攻擊模塊的功能就是產(chǎn)生各種攻擊流量，一種木馬程序的攻擊種類是在程序生成時(shí)就確定的，因此木馬程序植入計(jì)算機(jī)后，肉雞的攻擊種類也就固定了，除非計(jì)算機(jī)被植入新的木馬程序。攻擊介紹－相關(guān)名詞解釋Page14黑客生成肉雞之后，通過入侵等方式將木馬程序放置到網(wǎng)站、論壇等訪問量較大的地方，這個(gè)過程稱作“掛馬”。掛馬成功后，當(dāng)用戶訪問被掛馬的網(wǎng)頁，如果用戶計(jì)算機(jī)的安全措施不足，那么木馬程序就會(huì)在訪問網(wǎng)頁的過程中植入用戶的計(jì)算機(jī)中，用戶的計(jì)算機(jī)攜帶了木馬程序，就淪為了黑客的肉雞。在用戶計(jì)算機(jī)啟動(dòng)后，木馬程序會(huì)定時(shí)的與控制者聯(lián)系，通知控制者自己在線，并蓄勢待命。除了通過網(wǎng)頁掛馬方式外，木馬程序還可以通過其他方式植入主機(jī)，如利用各種系統(tǒng)或程序漏洞進(jìn)行傳輸，比如QQ等。黑客眼中的肉雞有不同的利用價(jià)值，一只新鮮的肉雞，黑客通常會(huì)設(shè)法利用它盜取重要信息，包括各種帳號密碼等用戶隱私信息。經(jīng)過了這層搜刮后，肉雞的利用價(jià)值就下降，然后黑客就會(huì)讓他們參加攻擊。在發(fā)起攻擊時(shí)，黑客會(huì)根據(jù)肉雞的實(shí)際能力來發(fā)動(dòng)相應(yīng)強(qiáng)度的攻擊，以防止“掉雞”。攻擊介紹－相關(guān)名詞解釋Page15僵尸網(wǎng)絡(luò)（Botnet）控制者和肉雞組成了的集合稱為僵尸網(wǎng)絡(luò)，僵尸網(wǎng)絡(luò)構(gòu)成了一個(gè)攻擊平臺(tái)，利用這個(gè)平臺(tái)可以有效地發(fā)起各種各樣的攻擊行為，可以導(dǎo)致整個(gè)基礎(chǔ)信息網(wǎng)絡(luò)或者重要應(yīng)用系統(tǒng)癱瘓，也可以導(dǎo)致大量機(jī)密或個(gè)人隱私泄漏，還可以用來從事網(wǎng)絡(luò)欺詐等其他違法犯罪活動(dòng)。DDOS、發(fā)送垃圾郵件、竊取秘密、濫用資源是已經(jīng)發(fā)現(xiàn)的利用Botnet發(fā)動(dòng)的攻擊行為，這些行為對整個(gè)網(wǎng)絡(luò)還是用戶自身都造成了比較嚴(yán)重的危害。隨著將來出現(xiàn)各種新的攻擊類型，Botnet還可能被用來發(fā)起新的未知攻擊。攻擊介紹－相關(guān)名詞解釋Page16常見攻擊介紹攻擊介紹攻擊和防范原理攻擊防范命令配置攻防典型組網(wǎng)應(yīng)用防范的影響和維護(hù)攻擊防范常見問題Page17DDoS攻擊工具種類較多，這些工具產(chǎn)生的攻擊流量可以分為流量型和業(yè)務(wù)型兩類，其中流量型主要是依靠發(fā)送無狀態(tài)協(xié)議的大包來堵塞被攻擊者鏈路，比如UDPFLOOD、ICMPFLOOD，業(yè)務(wù)型攻擊則是肉雞模擬正常用戶反復(fù)的請求某項(xiàng)業(yè)務(wù)，大量的肉雞這樣做能使服務(wù)器繁忙，比如HTTPFLOOD、DNSFLOOD。本節(jié)將基于協(xié)議介紹DDoS的各種攻擊類型，以及目前Eudemon1000的防范原理。

攻擊和防范原理Page18常見的TCP類攻擊有SYNFLOOD、HTTPFLOOD和CONNECTIONFLOOD，下面分別對這些攻擊進(jìn)行介紹。SYNFLOODSYNFLOOD是較早出現(xiàn)的攻擊類型，TCP三次握手需要SYN、SYNACK、ACK三個(gè)報(bào)文完成，而SYNFLOOD攻擊只出現(xiàn)SYN、SYNACK兩個(gè)包，攻擊者不發(fā)送ACK包，這樣形成的連接稱作半連接，半連接對客戶端造成的消耗極小，對服務(wù)器造成的消耗較大，SYNFLOOD就是通過大量的半連接來消耗服務(wù)器資源。Eudmon1000采用TCP代理來防范SYNFLOOD，開啟TCP代理后，防火墻能100%的防御半連接攻擊。但是如果流量單方向經(jīng)過防火墻（如旁掛組網(wǎng)），SYNFLOOD的TCP代理就不能開啟，這時(shí)可以考慮使用SYNFLOOD的tcp-proxyoff，對連接速率進(jìn)行限制。

攻擊和防范原理－SYNFLOODPage19HTTPFLOODHTTPFLOOD是業(yè)務(wù)型攻擊，肉雞頻繁的連接網(wǎng)頁服務(wù)器，并發(fā)送請求，致使服務(wù)器繁忙，拒絕正常用戶?，F(xiàn)在的網(wǎng)站幾乎都是動(dòng)態(tài)網(wǎng)站，服務(wù)器在接收到請求（GET）時(shí)都需要執(zhí)行業(yè)務(wù)邏輯層代碼，必要時(shí)還需要執(zhí)行數(shù)據(jù)庫操作等動(dòng)作，這些步驟都消耗著服務(wù)器的資源，肉雞模擬正常請求頻繁的讓服務(wù)器執(zhí)行這些步驟，這樣就會(huì)造成服務(wù)器資源消耗嚴(yán)重，響應(yīng)緩慢，進(jìn)入癱機(jī)狀態(tài)。現(xiàn)在互聯(lián)網(wǎng)上許多大網(wǎng)站都通過動(dòng)態(tài)生成靜態(tài)頁面、或代碼限制刷新的方式來提高自己的抗攻擊能力，這些措施能達(dá)到顯著的效果。但是許多中小型網(wǎng)站在設(shè)計(jì)開發(fā)時(shí)就根本沒把抗攻擊因素考慮進(jìn)去，以至掛到網(wǎng)上后顯得很脆弱，遭到攻擊就很容易癱機(jī)。攻擊和防范原理－HTTPFLOODPage20目前，Eudemon1000防范HTTPFLOOD的思路是從請求流量中區(qū)分出正常用戶和肉雞，然后對肉雞的訪問進(jìn)行限制。通常肉雞模擬的請求流量較正常用戶單一，比如肉雞攻擊時(shí)一直重復(fù)的請求兩三個(gè)頁面，而且請求速度相當(dāng)快，交換報(bào)文較正常用戶有相當(dāng)?shù)膮^(qū)別。Eudemon目前就是通過分析流量中請求報(bào)文的特征來識別肉雞，識別的正確度可以通過配置微調(diào)來控制。CC攻擊和肉雞HTTPFLOOD攻擊從效果上來看本質(zhì)上是一樣的，都是通過大量的請求來消耗服務(wù)器的資源。不同的是CC攻擊是攻擊者通過請求大量的代理服務(wù)器，然后代理服務(wù)器將請求轉(zhuǎn)達(dá)給服務(wù)器，攻擊者使用較小的資源開銷造成了服務(wù)器較大的資源開銷，而且使得攻擊源不可追蹤；肉雞GETFLOOD是肉雞直接發(fā)送大量的請求到服務(wù)器，可以說兩種攻擊只是實(shí)現(xiàn)方式上有區(qū)別。事實(shí)上單個(gè)攻擊源通過大量代理來進(jìn)行攻擊的方式遠(yuǎn)沒有大量肉雞直接發(fā)起攻擊的破壞力強(qiáng)，在Eudemon1000中將這兩類攻擊都視為GETFLOOD，都能很好進(jìn)行防御。攻擊和防范原理－HTTPFLOODPage21CONNECTIONFLOODCONNECTIONFLOOD也稱為連接耗盡型攻擊，攻擊時(shí)肉雞拼命的向服務(wù)器的TCP開放端口發(fā)起連接，造成服務(wù)器資源消耗、響應(yīng)緩慢。通常服務(wù)器會(huì)提供HTTP、網(wǎng)絡(luò)游戲等服務(wù)，也就是說服務(wù)器需要開發(fā)并監(jiān)聽許多端口，肉雞對這些開放端口發(fā)起連接攻擊，能很快的影響正常業(yè)務(wù)，嚴(yán)重時(shí)能使服務(wù)器癱機(jī)。Eudemon1000防范CONNECTIONFLOOD的思路是通過分析TCP連接的特征，識別出正常用戶和攻擊者，對攻擊者建立的連接，Eudemon1000會(huì)主動(dòng)通知服務(wù)器釋放資源，然后攻擊者攻擊強(qiáng)度到達(dá)設(shè)定的閾值時(shí)，Eudemon1000會(huì)對攻擊者的訪問進(jìn)行限制。攻擊和防范原理－CONNECTIONFLOODPage22UDPFLOOD可以實(shí)現(xiàn)帶寬和業(yè)務(wù)攻擊，通常帶寬攻擊時(shí)，攻擊流量的UDP報(bào)文都很大，比如單包1K或者伴隨大量分片。而業(yè)務(wù)型流量就不一定是大包，小包就可以了，然后攻擊服務(wù)器監(jiān)聽的UDP端口，比傳奇服務(wù)器的7200端口等。由于UDP是無狀態(tài)連接，UDPFLOOD對肉雞造成的消耗很小，但對服務(wù)器的帶寬、CPU等資源消耗很大。Eudemon1000防范UDPFLOOD的思路是通過分析攻擊流量的特征，從中提取攻擊流量的指紋，然后進(jìn)行指紋過濾，指紋過濾是基于內(nèi)容的過濾，能高效的清洗攻擊流量，并且不影響正常業(yè)務(wù)。另外，如果攻擊流量明顯，并且Eudemon1000無法從中提取到指紋，那么Eudemon1000會(huì)在保證正常業(yè)務(wù)的前提下對流量進(jìn)行限速。Eudemon1000在UDPFLOOD基礎(chǔ)上實(shí)現(xiàn)DNSFLOOD防范，DNSFLOOD防范的思路和UDPFLOOD是相同，不同的只是具體參數(shù)的配置。

攻擊和防范原理－UDPFLOODPage23ICMPFLOOD大多數(shù)情況是帶寬型攻擊，肉雞發(fā)送大量的ICMP流量到服務(wù)器，致使帶寬耗盡，正常業(yè)務(wù)遭受影響。Eudemon1000防范ICMPFLOOD的思路是限制ICMP大包（如限制大于256的ICMP報(bào)文），據(jù)相關(guān)協(xié)議規(guī)定和互聯(lián)網(wǎng)中的應(yīng)用情況，正常ICMP應(yīng)用都不會(huì)出現(xiàn)大包的情況，如果出現(xiàn)了大流量的ICMP大包，這是很異常的情況，基本上可以斷定為攻擊了。注意，Eudemon1000開啟了ICMP大包限制后，如果使用PING測試大包，這時(shí)會(huì)PING不通，PING小包就會(huì)正常。另外，Eudemon1000還有ICMP首包限速和ICMP基于會(huì)話限速功能。攻擊和防范原理－ICMPFLOODPage24常見攻擊介紹攻擊介紹攻擊和防范原理攻擊防范命令配置攻防典型組網(wǎng)應(yīng)用防范的影響和維護(hù)攻擊防范常見問題Page25使能DDoS使能分兩步，首先打開全局DDoS開關(guān)，然后在域間配置觸發(fā)條件，使用ACL選擇要防范的流量

打開使能開關(guān)[Eudemon]Firewalldefendenable配置域間觸發(fā)條件[Eudemon-interzone-trust-untrust]firewalldefend3000inbound注意：DDoS需要同時(shí)配置上述兩條命令防范才能生效。通常ACL配置permitip，然后方向配置inbound，即對入方向的所有流量進(jìn)行DDoS防范，對于出方向一般不進(jìn)行防范，尤其是在IDC中。當(dāng)然，可以根據(jù)實(shí)際需求將ACL細(xì)化，只針對某些流量進(jìn)行保護(hù)。攻擊防范命令配置－使能DDoSPage26配置UDPFLOODUDPFLOOD發(fā)生時(shí)，流量超過設(shè)定的Alert值，然后進(jìn)行攻擊流量識別。一旦發(fā)現(xiàn)攻擊流量，就對流量進(jìn)行基于指紋的過濾，如果無法獲取攻擊流量的指紋則進(jìn)行源和目的限速。Alert和目的限速配置

[Eudemon]firewalldefendudp-floodalert500destination-car1000UDP源限速配置

[Eudemon]firewalldefendudp-floodsource-car100interval5DNS源限速配置

[Eudemon]firewalldefenddns-floodsource-car10interval2攻擊防范命令配置－配置UDPFLOODPage27在使能了而沒有配置UDPFLOOD時(shí)，UDPFLOOD防范使用默認(rèn)參數(shù)。默認(rèn)情況下，UDP目的限速、源限速都是不執(zhí)行的，只有配置了具體值后才生效，反之，undo去除。具體組網(wǎng)中請將源和目的限速打開，參數(shù)使用命令行提示的推薦值即可，通常IDC入方向的UDP流量都不會(huì)太大，進(jìn)行限速不會(huì)對業(yè)務(wù)產(chǎn)生影響。UDPFLOOD的Alert值的作用是，當(dāng)流量報(bào)文速率超過該值后，防火墻進(jìn)行攻擊流量識別，因此該值應(yīng)該大于正常流量時(shí)UDP的報(bào)文速率。但是，如果不知道確切的UDP報(bào)文速率，請使用推薦值。當(dāng)參數(shù)使用默認(rèn)值時(shí)，配置命令在查看時(shí)會(huì)不顯示，這是正常的。攻擊防范命令配置－配置UDPFLOODPage28配置HTTPFLOODHTTPFLOOD發(fā)生時(shí)當(dāng)?shù)侥骋环?wù)器的GET報(bào)文速率超過設(shè)定的Alert閾值后，防火墻開始進(jìn)行攻擊識別，采取的識別是基于攻擊行為的識別方式，一旦某個(gè)攻擊者被識別出來，防火墻將對它進(jìn)行限制。Alert和目的限速配置

[Eudemon]firewalldefendget-floodalert200interval2restore2000interval60識別參數(shù)配置

[Eudemon]firewalldefendget-flooduriblock4interval5HTTPFLOOD目的限速配置

[Eudemon]firewalldefendget-flooddestination-car3000HTTPFLOOD黑名單老化配置

[Eudemon]firewalldefendget-floodblacklist-timeout8攻擊防范命令配置－配置HTTPFLOODPage29配置CONNECTIONFLOODCONNECTIONFLOOD發(fā)生時(shí)防火墻對TCP連接進(jìn)行檢測，識別出攻擊流量的連接，然后發(fā)現(xiàn)攻擊者，當(dāng)攻擊者攻擊強(qiáng)度達(dá)到設(shè)定的閾值時(shí)，防火墻對攻擊者進(jìn)行限制。異常連接配置

[Eudemon]firewalldefendtcp-illeage-sessionpacket1interval15攻擊源識別條件配置

[Eudemon]firewalldefendtcp-illeage-sessionnumber10interval15CONNECTION黑名單老化配置

[Eudemon]firewalldefendtcp-illeage-sessionblacklist-timeout10攻擊防范命令配置－配置CONNECTIONFLOODPage30HTTPFLOOD和CONNECTIONFLOOD防范時(shí)需要使能黑名單[Eudemon]firewallblacklistenable另外，這兩個(gè)防范功能的黑名單老化時(shí)間最好配置不同（如示例中配置8分鐘和10分鐘），這樣在查看黑名單的時(shí)候可以直接看出某個(gè)源是由于什么原因加入的。HTTPFLOOD的Alert值的含義是，當(dāng)?shù)竭_(dá)某服務(wù)器的請求速率超過該值，防火墻就會(huì)進(jìn)行攻擊識別，因此該值應(yīng)該大于正常流量的速率。但是，如果不知道確切的正常流量請求速率，請使用推薦值。當(dāng)參數(shù)使用默認(rèn)值時(shí)，配置命令在查看時(shí)會(huì)不顯示，這是正常的。攻擊防范命令配置－配置UDPFLOODPage318011設(shè)備防攻擊手段對協(xié)議報(bào)文的漏桶限流對TELNET的管理和保護(hù)使用QOS過濾常見的網(wǎng)絡(luò)病毒抑制二層廣播風(fēng)暴對OSPF和BGP采用MD5認(rèn)證使用URPF技術(shù)IP和MAC地址綁定Page32對協(xié)議報(bào)文的漏桶限流<SD-BZ-ZX-D-3.MAN】applysystem-bucket1

28traffic124832128K<1,4-7>Thepresentslotonly-discardDisplaythenumberofdiscardedpackets<cr><SD-BZ-ZX-D-3.MAN>displaysystem-bucket1****Tokeninformation****#Theslotnumber:1#ThetokenID:1USAGE:Defaultbucket，anypacketnotlisthereusethisbucketThetimeofthelastpacketsarrive:05:26:31Thenumberofpresenttokens:32700Thetrafficrateofthetoken:32KTheheightofthetokenbucket:32768Thenumberofthediscardedpackets:11468Thebucketalarmenableflag:enablePage33

1Defaultbucket，anypacketnotlisthereusethisbucket2ARPMissmessage，useittoformARPentry3FIBMissMessage，useittoformhostrouteentry4PPPprotocolcontrolframe5PacketMFIBMiss，useittoform(S,G)route6ARPresponsepacket8ISISprotocolpacket,alsousedbyPPPandethernetpacket9IPmulticastpacketwhichdestIPaddressis(usedbyIGMP,LDPetc)10IPmulticastpacketwhichdestIPaddressis(usedbyOSPF)11IPmulticastpacketwhichdestIPaddressis(usedbyOSPF)12IPmulticastpacketwhichdestIPaddressis(usedbyRIP2)14IPmulticastpacketwhichdestIPaddressis3(usedbyPIM)15OtherIPmulticastpacketwhichdestIPaddressisin-55(excluded..10.13.18)16HGMPprotocolpacket17RPRprotocolpacket19BPDUprotocolpacket21PacketlengthexceedMTUandDFflagisset，itisusedbyhosttodiscovertheMTUintheroutePage3422ARPrequestpacketsendbyallthehost，useittolearning

23DHCPprotocolpacket25RegisterpacketusedinPIMSIMprotocol26SNMPredirectinFIB27PacketwhichdestIPisipaddressofgateway,excludeICMPandTCP28ICMPrequestpacketwhichdestIPiswebswitch'sVIP30IPmulticastpacketwhichdestIPaddressis8(usedbyVRRP)31ICMPpacketwhichdestIPisipaddressofgateway,forexample,pingpacket32TCPpacketwhichdestIPisipaddressofgateway,excludeBGP,LDP33RIP1protocolpacket34OSPFDatabaseDescriptionpacket35BGP,LDPpacket36telnetpacketPage35NE40E、NE80E過濾非法ARP報(bào)文對上送CPU的正常ARP報(bào)文做動(dòng)態(tài)CAR<Quidway>system-view[Quidway]interfacegigabitEthernet1/0/1[Quidway-GigabitEthernet1/0/1]arpfiltermac-illegal配置允許通過的ARP報(bào)文的速率。[Quidway-GigabitEthernet1/0/1]arprate-limit50[Quidway-GigabitEthernet1/0/1]quitPage368011防病毒配置rule-mapintervlanvir1tcpanyanyeq135rule-mapintervlanvir2tcpanyanyeq137eaclanti-virvir1denypriority32832eaclanti-virvir2denypriority32864interfaceGigabitEthernet4/0/1access-groupeaclanti-vir

inboundPage378090防病毒1、配置需要禁止的防病毒列表與端口等aclnumber3000descriptionishtisrule0permitipsou55rule1deny2、配置流量分類trafficclassifierantivir if-matchacl30003、配置流動(dòng)作trafficbehaviorantivirre-dirctrnext-hop01interfacegi1/0/14、配置流策略，將上述建立的類與動(dòng)作關(guān)聯(lián)起來，一個(gè)策略中可以有多個(gè)關(guān)聯(lián)。trafficpolicyantivirclassifierantivirbehaviorantivir5、端口模式下下發(fā)策略，S2300與3300只針對端口入方向，S5300系列可以在出、入兩個(gè)方向下發(fā)。interfaceEthernet0/0/27traffic-policyantivirinboundPage388500防病毒配置aclnumber3000ruledenyudpdestination-porteq135

ruledenyudpdestination-porteqtftprulepermitip配置全局acl： 全局模式下：packet-filterinboundip-group3000slot0查看方式：displayaclglobalslot0端口下acl： 端口配置模式下：packet-filterinboundip-group3000Page393500防病毒time-rangeworktime08:30to18:00working-dayQuidway]aclumber3000[Quidway-aclr]rule1denydestination0time-rangeworktime[Quidway-Ethernet0/1]packet-filterinboundip-group3000time-rangeworktimePage40常用抓包軟件的使用EtherealSnifferPage418011端口鏡像1、同一接口板只能有一個(gè)鏡像端口。

2、8011系列產(chǎn)品，端口鏡像支持多個(gè)監(jiān)控端口分別監(jiān)視輸入輸出流，鏡像端口和監(jiān)控端口可以是不同類型端口，也可以位于不同單板上；

3、當(dāng)取消鏡像端口配置后，監(jiān)控端口仍然有效。建議同等速率的端口間配置鏡像和監(jiān)控端口。

4、port

monitor命令缺省情況下不帶關(guān)鍵字input-dataflow，表示指定的監(jiān)控端口不允許跑業(yè)務(wù)；若帶上該關(guān)鍵字，表示指定的監(jiān)控端口允許跑業(yè)務(wù)。在NE80上要將Gig4/0/0的上下行的數(shù)據(jù)鏡像到gig4/0/1則命令如下observing-port

gig4/0/1

port-mirroring

gig4/0/0

both

gig4/0/1

gig4/0/1

[Quidway]

observing-port

ethernet3/0/3

[Quidway]

port-mirroring

ethernet3/0/0

ingress

ethernet3/0/3Page428090端口鏡像先指定觀測端口1、[NE80E]observe-port

1

interface

GigabitEthernet

2/0/02、然后配置鏡像端口

[NE80E-GigabitEthernet9/0/1]port-mirroring

to

observe-port

1

inbound

[NE80E-GigabitEthernet9/0/1]port-mirroring

to

observe-port

1

outbound

Page438500端口鏡像1、把0槽位CPU收到的報(bào)文鏡像到G2/1/1。

[Quidway]

cpu-mirror

slot

0

mirrored-to

g2/1/1端口鏡像：Page443528端口鏡像3528

配置：

配置端口鏡像，以太網(wǎng)端口Ethernet0/4為監(jiān)控端口，以太網(wǎng)端口Ethernet0/1為被監(jiān)控端口，并且對該端口的接收和發(fā)送的報(bào)文都進(jìn)行監(jiān)控。

<Quidway>

system-view