华为交换机应对常见网络攻击解决方案华为被网络攻击

网络维护工作中最常见的攻击相信很多维护人员都会遇到,例如ARP攻击,TCP Flood攻击,口令暴力破解等。面对来势汹汹的各类攻击,华为网络设备针对各类攻击也有应对之策。

结合实验环境,我们用常见的办法cpu-defend和arp限速来应对ARP攻击。

实验拓扑

实验环境

实验拓扑图如上,应用到设备环境PC2(模拟受害者PC)、Vmnet1-attacker攻击者,用Kali虚拟机来模拟攻击),Vmnet2-Internet模拟到互联网)。实验中我们通过Kali来ARP攻击PC2,使PC2无法访问互联网,受实验条件所限我们通过ping来测试验证结果。

基本配置

PC2 设置

LSW2配置

dis cur

#

sysname LSW2

#

router id 1.1.1.1

#

vlan batch 10 20 30

#

interface Vlanif10

ip address 192.168.10.1 255.255.255.0

#

interface Vlanif20

ip address 192.168.20.1 255.255.255.0

#

interface Vlanif30

ip address 192.168.30.254 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 20

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 30

#

interface GigabitEthernet0/0/4

port link-type access

port default vlan 20

#

interface LoopBack0

ip address 1.1.1.1 255.255.255.255

#

ospf 1 router-id 1.1.1.1

area 0.0.0.0

network 1.1.1.1 0.0.0.0

network 192.168.10.1 0.0.0.0

network 192.168.20.1 0.0.0.0

network 192.168.30.254 0.0.0.0

#

AR2的配置

dis cur

#

sysname AR2

#

router id 2.2.2.2

#

lldp enable

#

interface GigabitEthernet0/0/0

ip address 192.168.30.1 255.255.255.0

#

interface GigabitEthernet0/0/1

ip address 192.168.137.254 255.255.255.0

#

interface LoopBack0

ip address 2.2.2.2 255.255.255.255

#

ospf 1 router-id 2.2.2.2

default-route-advertise always

area 0.0.0.0

network 0.0.0.0 255.255.255.255

network 2.2.2.2 0.0.0.0

network 192.168.30.1 0.0.0.0

network 192.168.40.1 0.0.0.0

#

ip route-static 0.0.0.0 0.0.0.0 192.168.137.1

#

Kali(模拟攻击者)配置:

Kali配置

实验测试

未攻击前,测试PC2的连通性:

PC2 测试网关及Kali

PC2 PING沿途IP

PC2 Tracert路径

PC2的ARP表

从上图我们可知,PC2可以正常访问互联网。现在我们通过Kali 来模拟攻击,看下效果。

开始模拟攻击,测试PC2的连通性:

攻击命令:arpspoof -i eth0 -t 192.168.20.10 192.168.20.1

i参数指定接口,-t 设置目标,192.168.20.10为受害机(即PC2),192.168.20.1为网关(PC2的网关)。

实验测试出错

上图是我们测试时报错,发现是权限问题,在命令前加sudo就可以解决。即

sudo arpspoof -i eth0 -t 192.168.20.10 192.168.20.1

模拟攻击

测试我们发现PC2的网关的MAC地址原本应该是4c1f-ccd9-77df,却被Kali覆盖成00:0c:29:c6:62:8c,这样造成的后果就是PC2无法平常通信了,也就无法正常上网。

PC2无法PING 114.114.114.114

PC2 网关MAC被覆盖

通过实验现象我们很容易看出,ARP欺骗能够让受害机无法学习到正确的网关MAC地址,导致受害机无法正常上网。

解决对策

当局域网出现大量ARP广播流量时,不仅普通电脑会感觉到受影响,同时大量的ARP广播报文会消耗交换机的CPU资源,因此针对常见的网络攻击如ARP、TCP Flood、口令暴力破解等常见攻击,可以通过交换机cpu-defend模块来加固系统,减少设备CPU资源销毁,针对攻击者的流量进行限速或设置惩罚时间进行选择性丢弃,这样能最大程度保护网络免受影响。

配置cpu-defend:

cpu-defend policy test

auto-defend enable

auto-defend attack-packet sample 10

auto-defend threshold 50(这里的阈值,根据实际现网环境中设备性能及实际情况来合理设置,默认是60)

auto-defend alarm enable

auto-defend protocol arp dhcp tcp telnet icmp udp(这里可以针对常见的协议选择性配置,实际环境中发现对暴力破解,ssh\telnet均有效果,ssh也是属于tcp类型协议)

auto-defend action deny timer 120 (该命令会丢弃一些攻击包,谨慎配置)

cpu-defend-policy test global

同时,还可以针对ARP协议进行源IP地址或源MAC进行特定的限速,如:

arp限速:

arp speed-limit source-ip maximum 35

arp speed-limit source-mac maximum 35

arp-miss speed-limit source-ip maximum 20

实验总结

网络环境并不太平,针对复杂环境需要掌握一些常见应对网络攻击的方法,才能有效地阻断攻击者对网络的破坏。


【免责声明】上述实验技术分享仅供学术和经验交流,不可用于非法用途。请严格遵守国家相关法律法规,因非法滥用造成的后果需自行承担法律责任。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注