华为攻击防范简介

定义

        攻击防范是一种重要的网络安全特性。它通过分析上送CPU处理的报文的内容和行为，判断报文是否具有攻击特性，并配置对具有攻击特性的报文执行一定的防范措施。

攻击防范主要分为畸形报文攻击防范、分片报文攻击防范和泛洪攻击防范。

目的

        目前，网络的攻击日益增多，而通信协议本身的缺陷以及网络部署问题，导致网络攻击造成的影响越来越大。特别是对网络设备的攻击，将会导致设备或者网络瘫痪等严重后果。

攻击防范针对上送CPU的不同类型攻击报文，采用丢弃或者限速的手段，以保障设备不受攻击的影响，使业务正常运行。

攻击防范应用场景

• 畸形报文攻击防范，防止畸形报文攻击。

• 分片报文攻击防范，限制分片报文的速率，防止分片报文对CPU造成攻击，占用过多CPU和设备资源。

• 泛洪攻击防范，包括以下三种：

  • TCP SYN泛洪攻击防范，限制TCP SYN报文的速率，防止CPU处理TCP SYN报文占用过多资源；
  • UDP泛洪攻击防范，对特定端口发送的UDP报文直接丢弃；
  • ICMP泛洪攻击防范，限制ICMP泛洪攻击报文的上送速率，防止CPU处理ICMP泛洪攻击报文占用过多资源。

配置攻击防范示例

实验拓扑：

 在R1上配置攻击防范

1.使能畸形报文攻击防范。 
 system-view
[Huawei] sysname R1
[R1] anti-attack abnormal enable



2.使能分片报文攻击防范，并限制分片报文接收的速率为15000bit/s。 
[R1] anti-attack fragment enable
[R1] anti-attack fragment car cir 15000


3.使能泛洪攻击防范。 

# 使能TCP SYN攻击防范，并限制TCP SYN报文接收的速率为15000bit/s。
[R1] anti-attack tcp-syn enable
[R1] anti-attack tcp-syn car cir 15000


# 使能UDP泛洪攻击防范，对特定端口发送的UDP报文直接丢弃。
[R1] anti-attack udp-flood enable

# 使能ICMP泛洪攻击防范，并限制ICMP泛洪报文接收的速率为15000bit/s。
[R1] anti-attack icmp-flood enable
[R1] anti-attack icmp-flood car cir 15000

验证配置结果：

 配置完成后，可以通过执行命令display anti-attack statistics查看报文攻击防范的统计数据。

由显示信息可知，R1上产生了TCP SYN报文的丢弃计数，表明攻击防范功能已经生效。