華為交換機應對常見網絡攻擊解決方案(華為被網絡攻擊)
網絡維護工作中最常見的攻擊相信很多維護人員都會遇到,例如ARP攻擊,TCP Flood攻擊,口令暴力破解等。面對來勢洶洶的各類攻擊,華為網絡設備針對各類攻擊也有應對之策。
結合實驗環境,我們用常見的辦法cpu-defend和arp限速來應對ARP攻擊。
實驗拓撲
實驗環境
實驗拓撲圖如上,應用到設備環境PC2(模擬受害者PC)、Vmnet1-attacker(攻擊者,用Kali虛擬機來模擬攻擊),Vmnet2-Internet(模擬到互聯網)。實驗中我們通過Kali來ARP攻擊PC2,使PC2無法訪問互聯網,受實驗條件所限我們通過ping來測試驗證結果。
基本配置
PC2 設置
LSW2配置
#
sysname LSW2
#
router id 1.1.1.1
#
vlan batch 10 20 30
#
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.20.1 255.255.255.0
#
interface Vlanif30
ip address 192.168.30.254 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 30
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 20
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
#
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 192.168.10.1 0.0.0.0
network 192.168.20.1 0.0.0.0
network 192.168.30.254 0.0.0.0
#
AR2的配置
#
sysname AR2
#
router id 2.2.2.2
#
lldp enable
#
interface GigabitEthernet0/0/0
ip address 192.168.30.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.137.254 255.255.255.0
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
#
ospf 1 router-id 2.2.2.2
default-route-advertise always
area 0.0.0.0
network 0.0.0.0 255.255.255.255
network 2.2.2.2 0.0.0.0
network 192.168.30.1 0.0.0.0
network 192.168.40.1 0.0.0.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.137.1
#
Kali(模擬攻擊者)配置:
Kali配置
實驗測試
未攻擊前,測試PC2的連通性:
PC2 測試網關及Kali
PC2 PING沿途IP
PC2 Tracert路徑
PC2的ARP表
從上圖我們可知,PC2可以正常訪問互聯網。現在我們通過Kali 來模擬攻擊,看下效果。
開始模擬攻擊,測試PC2的連通性:
攻擊命令:arpspoof -i eth0 -t 192.168.20.10 192.168.20.1
i參數指定接口,-t 設置目標,192.168.20.10為受害機(即PC2),192.168.20.1為網關(PC2的網關)。
實驗測試出錯
上圖是我們測試時報錯,發現是權限問題,在命令前加sudo就可以解決。即
sudo arpspoof -i eth0 -t 192.168.20.10 192.168.20.1
模擬攻擊
測試我們發現PC2的網關的MAC地址原本應該是4c1f-ccd9-77df,卻被Kali覆蓋成00:0c:29:c6:62:8c,這樣造成的后果就是PC2無法平常通信了,也就無法正常上網。
PC2無法PING 114.114.114.114
PC2 網關MAC被覆蓋
通過實驗現象我們很容易看出,ARP欺騙能夠讓受害機無法學習到正確的網關MAC地址,導致受害機無法正常上網。
解決對策
當局域網出現大量ARP廣播流量時,不僅普通電腦會感覺到受影響,同時大量的ARP廣播報文會消耗交換機的CPU資源,因此針對常見的網絡攻擊如ARP、TCP Flood、口令暴力破解等常見攻擊,可以通過交換機cpu-defend模塊來加固系統,減少設備CPU資源銷毀,針對攻擊者的流量進行限速或設置懲罰時間進行選擇性丟棄,這樣能最大程度保護網絡免受影響。
配置cpu-defend:
cpu-defend policy test
auto-defend enable
auto-defend attack-packet sample 10
auto-defend threshold 50(這里的閾值,根據實際現網環境中設備性能及實際情況來合理設置,默認是60)
auto-defend alarm enable
auto-defend protocolarp dhcp tcp telnet icmp udp(這里可以針對常見的協議選擇性配置,實際環境中發現對暴力破解,ssh\telnet均有效果,ssh也是屬于tcp類型協議)
auto-defend action deny timer 120 (該命令會丟棄一些攻擊包,謹慎配置)
cpu-defend-policy test global
同時,還可以針對ARP協議進行源IP地址或源MAC進行特定的限速,如:
arp限速:
arp speed-limit source-ip maximum 35
arp speed-limit source-mac maximum 35
arp-miss speed-limit source-ip maximum 20
實驗總結
網絡環境并不太平,針對復雜環境需要掌握一些常見應對網絡攻擊的方法,才能有效地阻斷攻擊者對網絡的破壞。
