华为网络设备攻击防范

畸形报文攻击防范

攻击行为

畸形报文攻击是通过向交换机发送有缺陷的IP报文，使得交换机在处理这样的IP包时会出现崩溃，给交换机带来损失。

畸形报文攻击主要有如下几种：

• 没有IP载荷的泛洪攻击

• IGMP空报文攻击

• LAND攻击

• Smurf攻击

• TCP标志位非法攻击

安全策略

为了避免交换机被畸形报文攻击导致瘫痪，保证正常的网络服务，可以配置畸形报文攻击防范。交换机对畸形报文攻击防范的主要措施是判断是否是几种畸形报文攻击报文类型之一，若是，则直接丢弃畸形报文。

配置方法

使能畸形报文攻击防范功能（缺省情况下，该功能处于使能状态）。

<HUAWEI> system-view
[HUAWEI] anti-attack abnormal enable

TCP SYN泛洪攻击防范

攻击行为

TCP SYN泛洪攻击是一种古老而有效的攻击方式。它属于拒绝服务攻击，这类攻击完全依赖于TCP连接的建立方式。

攻击者向交换机发送SYN报文，然后对于交换机返回的SYN+ACK报文不作回应。交换机如果没有收到攻击者的ACK回应，就会一直等待，形成半连接。攻击者利用这种方式，让交换机上生成大量的半连接，迫使其大量资源浪费在这些半连接上。

安全策略

为了避免TCP SYN泛洪攻击，可以在交换机上配置TCP SYN泛洪攻击防范功能，通过限制TCP SYN报文的发送速率来防范TCP SYN泛洪攻击，保证受到攻击时系统资源不被耗尽。

配置方法

使能TCP SYN泛洪攻击防范功能（缺省情况下，该功能处于使能状态）。

<HUAWEI> system-view
[HUAWEI] anti-attack tcp-syn enable
[HUAWEI] anti-attack tcp-syn car cir 8000  //限制TCP SYN报文接收的速率。缺省情况下，TCP SYN报文接收的速率为155000000bit/s。

UDP泛洪攻击防范

攻击行为

• Fraggle攻击

  Fraggle攻击的原理是利用UDP 7号端口，7端口的服务和ICMP echo基本一样，都是把收到的报文载荷原封不动的回复回去，以测试源和目的之间的网络状况。和Smurf攻击的原理一样，把源地址伪造成受害者地址，目的地址写成某个广播地址，目的端口为7，源端口可以不是7，也可以是7。如果该广播网络有很多主机都起了UDP echo服务，那么受害者将收到很多回复报文，达到攻击的效果。

• UDP诊断端口攻击

  对诊断端口（7-echo，13-daytime，19-Chargen等）随机发包，如果同时发送的数据包数量很大，造成泛洪，可能影响网络设备正常工作。很多设备厂家都会默认打开一些端口，以进行网络诊断、设备管理等作用，但同时也是暴露给攻击者一个很好的攻击机会。

安全策略

为了避免UDP泛洪攻击，可以在交换机上配置UDP泛洪攻击防范功能。交换机上配置UDP泛洪攻击防范功能，对于端口号为7、13和19的报文，直接丢弃。

配置方法

使能UDP泛洪攻击防范功能（缺省情况下，该功能处于使能状态）。

<HUAWEI> system-view
[HUAWEI] anti-attack udp-flood enable