各种协议抗攻击

各种协议抗攻击

ARP抗攻击简介

   在局域网中，通过ARP协议把IP地址转换为MAC地址。ARP协议对网络安全具有重要的意义。通过网络向网关发送大量非法的ARP报文，造成网关不能为正常主机提供服务，这就是基于ARP的拒绝服务攻击。对于这种攻击，防范措施是一方面对ARP报文限速，另一方面检测出攻击源，对攻击源头采取隔离措施。

    ARP攻击识别分为基于主机和基于物理端口两个类别。基于主机又细分为基于源IP地址/VLAN ID/物理端口和基于链路层源MAC地址/ VLAN ID /物理端口。每种攻击识别都有限速水线和告警水线。当ARP报文速率超过限速水线时，超限报文将被丢弃。当ARP报文速率超过告警水线时，将打印警告信息，发送TRAP，基于主机的攻击识别还会对攻击源头采取隔离措施。ARP抗攻击还能检测出ARP扫描。ARP扫描是指链路层源MAC地址固定而源IP地址变化，或者链路层源MAC地址和源IP地址固定而目标IP 地址不断变化。由于存在误判的可能，对检测出有ARP扫描嫌疑的主机不进行隔离，只是提供给管理员参考。

    需要说明的是，ARP抗攻击只是针对攻击交换机本身的ARP拒绝服务服务攻击，而不是针对ARP欺骗或者是解决网络中的ARP攻击问题。

IP防扫描简介

    众所周知，许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的。因此大量的扫描报文急剧占用了网络带宽，导致网络通讯无法正常进行。为此，锐捷三层设备提供了防IP攻击的功能，用以防止黑客扫描和类似“冲击波”病毒的攻击，还能减少三层设备的CPU负担。

目前发现的IP攻击主要有两种：

配置NFPP

（1）目的IP地址变化的扫描。这种扫描是最危害网络的，不但消耗网络带宽，增加设备的负担，而且更是大部分黑客攻击手段的前奏。

（2）向不存在目的IP地址高速发送IP报文。这种攻击主要是针对设备CPU的负担来设计。

对三层设备来说，如果目的IP地址存在，则报文会被交换芯片直接转发，不会占用设备

CPU的资源，而如果目的IP地址不存在，IP报文会送到CPU，由CPU发送ARP请求

询问目的IP地址对应的MAC地址，如果送到CPU的报文太多，会消耗CPU资源。当

然，这种攻击的危害比第一种小得多了。

对于“向不存在的目的IP地址高速发IP报文”这种IP攻击，防范措施是一方面对IP报文限速，另一方面检测出攻击源，对攻击源头采取隔离措施。

IP攻击识别分为基于主机和基于物理端口两个类别。基于主机是采用源IP地址/VLAN ID/物理端口三者结合识别的。每种攻击识别都有限速水线和告警水线。当IP报文速率超过限速水线时，超限报文将被丢弃。当IP报文速率超过告警水线时，将打印警告信息，发送TRAP，基于主机的攻击识别还会对攻击源头采取隔离措施。

ICMP抗攻击

    ICMP协议作为诊断网络故障的常用手段，它的基本原理是主机发出ICMP回音请求报文（ICMP echo request），路由器或者交换机接收到这个请求报文后会回应一个ICMP回音应答（ICMP echo reply）报文。在上述这个处理过程中需要设备的CPU进行处理，这样就必然需要消耗CPU的一部分资源。如果攻击者向目标设备发送大量的ICMP回音请求，这样势必会导致设备的CPU资源被大量消耗，严重的情况可能导致设备无法正常工作，这种攻击方式也被人们命名为“ICMP洪水”。对于这种攻击，防范措施是一方面对ICMP报文限速，另一方面检测出攻击源，对攻击源头采取隔离措施。

ICMP 攻击识别分为基于主机和基于物理端口两个类别。基于主机方式是采用源IP地址/虚拟局域网号/端口三者结合来识别的。每种攻击识别都有限速水线和告警水线。当ICMP报文速率超过限速水线时，将被丢弃。当ICMP报文速率超过告警水线时，将打印警告信息，发送TRAP，基于主机的攻击识别还会对攻击源头采取隔离措施。

DHCP抗攻击简介

    DHCP协议被广泛地应用在局域网环境里来动态分配IP地址。DHCP协议对网络安全起着非常重要的意义。目前，存在的最广泛的DHCP攻击就是称为“DHCP耗竭”的攻击，这种攻击通过伪造的MAC地址来广播DHCP请求的方式进行。目前网络上存在多种这样的攻击工具都可以很容易地实现上述攻击。如果发出的DHCP请求足够多的话，网络攻击者就可以在一段时间内耗竭DHCP服务器所提供的地址空间，这样当一台合法的主机请求一个DHCP IP地址的时候无法成功，从而无法访问网络。对于这种攻击，防范措施是一方面对DHCP报文限速，另一方面检测出攻击源，对攻击源头采取隔离措施。

DHCP攻击识别分为基于主机和基于物理端口两个类别。基于主机方式是采用链路层源MAC地址/虚拟局域网号/端口三者结合来识别的。每种攻击识别都有限速水线和告警水线。当DHCP报文速率超过限速水线时，超限的DHCP报文将被丢弃。当DHCP报文速率超过告警水线时，将打印警告信息，发送TRAP，基于主机的攻击识别还会对攻击源头采取隔离措施。

DHCPv6抗攻击

    DHCPv6协议被广泛地应用在局域网环境里来动态分配IPv6地址。和DHCPv4协议一样，

DHCPv6协议存在安全问题，对DHCPv4协议的攻击方法同样适用于DHCPv6协议。网络攻击

者可以发出大量DHCPv6请求，在一段时间内耗竭DHCPv6服务器所提供的地址空间，这样当一台合法的主机请求一个IPv6地址的时候无法成功，从而无法访问网络。对于这种攻击，防范措施是一方面对DHCPv6报文限速，另一方面检测出攻击源，对攻击源头采取隔离措施。

DHCPv6攻击识别分为基于主机和基于物理端口两个类别。基于主机方式是采用链路层源MAC地址/虚拟局域网号/端口三者结合来识别的。每种攻击识别都有限速水线和告警水线。当DHCP报文速率超过限速水线时，超限的DHCPv6报文将被丢弃。当DHCPv6报文速率超过告警水线时，将打印警告信息，发送TRAP，基于主机的攻击识别还会对攻击源头采取隔离措施。

ND抗攻击简介

    ND的全称是NeighborDiscovery，翻译成汉语是“邻居发现”，在IPv6网络中主要负责地址解析、路由器发现、前缀发现和重定向。邻居发现使用5类报文：邻居请求、邻居公告、路由器请求、路由器公告和重定向报文，英语名称分别为Neighbor Solicitation、Neighbor Advertisement、Router Solicitation、Router Advertisement和Redirect，前四类报文的英语缩写分别为NS、NA、RS和RA。下文把邻居发现使用的5类报文统称为ND报文。

ND snooping通过监听网络中的ND报文，过滤非法的ND报文，监听网络中的IPv6用户，并将监听到的IPv6用户绑定到端口，防止IPv6地址盗用。ND snooping要求把ND报文送CPU，

如果ND报文的速率很高，会造成对CPU的攻击，所以需要实现ND guard，对ND报文进行限速。

    NDguard按用途把ND报文分成3类：邻居请求和邻居公告为第一类，路由器请求为第二类，路由器公告和重定向报文为第三类。第一类报文用于地址解析；第二类报文用于主机发现网关；路由器公告用于通告网关和前缀，重定向报文用于通告更优的下一跳，都和路由有关系。所以划分到第三类。

    目前仅实现基于物理端口识别ND报文攻击。可以对三类报文分别配置限速水线和告警水线。当ND报文速率超过限速水线时，超限的ND报文将被丢弃。当ND报文速率超过告警水线时，将打印警告信息，发送TRAP。