安全

IP源防攻击

1、ip safe guard

利用dhcp snooping功能，生成端口、vlan、sip、mac的绑定表，只有命中绑定表的报文才允许通过

2、urpf

如果是对称路由，采用严格urpf检查（sip命中路由表，且报文的端口号与路由表的端口号一致)；如果是非对称路由，采用松散urpf(sip命中路由表即可）

可以避免ip伪造报文进行欺骗

CPU防攻击

避免上送给CPU的数据流量过大

方法：

1、对上送CPU的流量进行限速，采用的方式可以是：黑命中、CPCAR、CPU同一限速、deny等

      CPU限速可以是多级，比如第一级基于协议，如ARP、ICMP、IGMP等；第二级基于队列，同一类型的协议划为一个队列，如ARP、ICMP、IGMP是控制管理协议，一个队列

     OSPF、BGP等路由协议报文是一个队列；第三级基于CPU总接口

  2、应用层协议联动

       对于如FTP session、BGP session等协议可以提高限速或不限速

3、攻击溯源 

对报文来源的流量进行统计，如SMAC、SMAC+VLAN，当发现流量超过了警戒值，则认为是攻击，采取deny动作，不转发给CPU

攻击防范

分为畸形报文攻击和泛洪攻击

1、没有IP净荷的报文

2、没有净荷的IGMP报文

3、LAND攻击：源ip和目的ip都为攻击目标ip的tcp syn报文

4、smurf攻击：目的IP地址为广播地址，源ip为攻击目标ip的icmp echo request报文

5、TCP标志为非法攻击：6个标志位全为1或全为0或syn、fin同时有效

6、分片报文攻击

1）分片数量非常大，甚至超过8189个（因为ip分片的最小长度是8字节）

        2）分片数据重叠，不同的分片有重复数据段，或一个分片是另一分片的一部分

3）offset巨大攻击

4）重组后的ip报文总长度超过65535字节

7、tcp syn泛洪：只发送tcp syn报文，但不回应tcp syn+ack报文

8、udp 泛洪：

fraggle：与smurf攻击一直，不过采用了udp echo request报文，端口号为7

udp诊断端口攻击：发送大量的udp端口为7、13、19的udp报文

9、icmp泛洪攻击：发送非常快速的icmp echo报文

流量抑制

对未知单播、未知组播、组播和广播流量进行CAR抑制，一般设为端口流量的百分之几十。

出端口可以block未知单播、未知组播、广播流量