交换机配置攻击溯源

应用场景
查看上送CPU的报文统计信息，如果某种类型的报文上送或丢弃的数量较大，则可以初步判断网络中存在这种报文类型的网络攻击。
<HUAWEI> reset cpu-defend statistics      //清除上送CPU报文的统计信息，并等待一段时间……
<HUAWEI> display cpu-defend statistics all  //查看上送CPU报文的统计信息
例如黑客通过控制网络中主机发送大量的ping报文（ICMP），造成网络设备花费大量资源处理攻击报文，CPU占用率高，合法用户业务中断。
那么出现网络攻击时，如何快速定位攻击源呢？
攻击溯源通过对上送CPU的报文进行采样分析，如果报文速率（pps）超过设置的阈值，则认为是攻击报文。
对攻击报文进行分析，可以找到攻击源的IP地址、MAC地址、接口和VLAN。

实现原理

 

 配置思路
1.创建防攻击策略
2.配置攻击溯源
 （采样比、检查阈值、溯源模式、防范的报文类型、白名单、告警功能、惩罚措施）
3.应用防攻击策略

操作步骤

  angelscript

<HUAWEI> system-view  //进入系统视图
[HUAWEI] cpu-defend policy test    //创建防攻击策略，策略名为test
[HUAWEI-cpu-defend-policy-test] auto-defend enable   //使能攻击溯源功能
[HUAWEI-cpu-defend-policy-test] auto-defend threshold 64   //配置攻击溯源检查阈值
[HUAWEI-cpu-defend-policy-test] auto-defend attack-packet sample 10  //配置攻击溯源采样比
[HUAWEI-cpu-defend-policy-test] auto-defend alarm enable      //使能攻击溯源告警功能
[HUAWEI-cpu-defend-policy-test] auto-defend alarm threshold  64  //配置攻击溯源告警阈值
[HUAWEI-cpu-defend-policy-test] auto-defend action deny     //配置攻击溯源的惩罚措施
[HUAWEI-cpu-defend-policy-test] quit   //返回系统视图
[HUAWEI] cpu-defend-policy test  global   //应用防攻击策略

 

 

标签：攻击,defend,报文,HUAWEI,交换机,test,cpu,溯源
来源： https://www.cnblogs.com/xig112635/p/15344289.html