網(wǎng)絡(luò)運(yùn)維|本機(jī)防攻擊

2020-07-09 10:54 作者：艾銻無(wú)限 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，在這里介紹下防火墻NAT的應(yīng)用場(chǎng)景。簡(jiǎn)單網(wǎng)絡(luò)安全運(yùn)維，從Web管理輕松學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。
網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無(wú)限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無(wú)限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽(yáng)豐臺(tái)北京周邊海淀、大興、昌平、門(mén)頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息
大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運(yùn)維工程師，在網(wǎng)絡(luò)中，存在著大量針對(duì)CPU的惡意攻擊報(bào)文以及需要正常上送CPU的各類報(bào)文。今天我們來(lái)說(shuō)一說(shuō)本機(jī)反攻擊方面的內(nèi)容。

本機(jī)防攻擊簡(jiǎn)介

本機(jī)防攻擊可保護(hù)CPU，解決CPU因處理大量正常上送CPU的報(bào)文或者惡意攻擊報(bào)文造成的業(yè)務(wù)中斷問(wèn)題。

定義

在網(wǎng)絡(luò)中，存在著大量針對(duì)CPU（Central Processing Unit）的惡意攻擊報(bào)文以及需要正常上送CPU的各類報(bào)文。針對(duì)CPU的惡意攻擊報(bào)文會(huì)導(dǎo)致CPU長(zhǎng)時(shí)間繁忙的處理攻擊報(bào)文，從而引發(fā)其他業(yè)務(wù)的斷續(xù)甚至系統(tǒng)的中斷；大量正常的報(bào)文也會(huì)導(dǎo)致CPU占用率過(guò)高，性能下降，從而影響正常的業(yè)務(wù)。
為了保護(hù)CPU，保證CPU對(duì)正常業(yè)務(wù)的處理和響應(yīng)，設(shè)備提供了本機(jī)防攻擊功能。本機(jī)防攻擊針對(duì)的是上送CPU的報(bào)文，主要用于保護(hù)設(shè)備自身安全，保證已有業(yè)務(wù)在發(fā)生攻擊時(shí)的正常運(yùn)轉(zhuǎn)，避免設(shè)備遭受攻擊時(shí)各業(yè)務(wù)的相互影響。

基本原理

本機(jī)防攻擊包括CPU防攻擊和攻擊溯源兩部分。

• CPU防攻擊針對(duì)上送CPU的報(bào)文進(jìn)行限制和約束，使單位時(shí)間內(nèi)上送CPU報(bào)文的數(shù)量限制在一定的范圍之內(nèi)，從而保護(hù)CPU的安全，保證CPU對(duì)業(yè)務(wù)的正常處理。
  1. 多級(jí)安全機(jī)制，保證設(shè)備的安全，實(shí)現(xiàn)了對(duì)設(shè)備的分級(jí)保護(hù)。

設(shè)備通過(guò)以下策略實(shí)現(xiàn)對(duì)設(shè)備的分級(jí)保護(hù)：

• 第一級(jí)：通過(guò)黑名單來(lái)過(guò)濾上送CPU的非法報(bào)文。
• 第二級(jí)：CPCAR（Control Plane Committed Access Rate）。對(duì)上送CPU的報(bào)文按照協(xié)議類型進(jìn)行速率限制，保證每種協(xié)議上送CPU的報(bào)文不會(huì)過(guò)多。
• 第三級(jí)：對(duì)上送CPU的報(bào)文，按照協(xié)議優(yōu)先級(jí)進(jìn)行調(diào)度，保證優(yōu)先級(jí)高的協(xié)議先得到處理。
• 第四級(jí)：對(duì)上送CPU的報(bào)文統(tǒng)一限速，對(duì)超過(guò)統(tǒng)一限速值的報(bào)文隨機(jī)丟棄，保證整體上送CPU的報(bào)文不會(huì)過(guò)多，保護(hù)CPU安全。
• 動(dòng)態(tài)鏈路保護(hù)功能的CPU報(bào)文限速，是指當(dāng)設(shè)備檢測(cè)到SSH Session數(shù)據(jù)、Telnet Session數(shù)據(jù)、HTTP Session數(shù)據(jù)、FTP Session數(shù)據(jù)以及BGP Session數(shù)據(jù)建立時(shí)，會(huì)啟動(dòng)對(duì)此Session的動(dòng)態(tài)鏈路保護(hù)功能，后續(xù)上送報(bào)文如匹配此Session特征信息，此類數(shù)據(jù)將會(huì)享受高速率上送的權(quán)利，由此保證了此Session相關(guān)業(yè)務(wù)的運(yùn)行可靠性、穩(wěn)定性。

• 攻擊溯源針對(duì)DoS攻擊進(jìn)行防御。設(shè)備通過(guò)對(duì)上送CPU的報(bào)文進(jìn)行分析統(tǒng)計(jì)，然后對(duì)統(tǒng)計(jì)的報(bào)文設(shè)置一定的閾值，將超過(guò)閾值的報(bào)文判定為攻擊報(bào)文，再對(duì)這些攻擊報(bào)文根據(jù)報(bào)文信息找出攻擊源用戶或者攻擊源接口，最后通過(guò)日志、告警等方式提醒管理員以便管理員采用一定的措施來(lái)保護(hù)設(shè)備，或者直接丟棄攻擊報(bào)文以對(duì)攻擊源進(jìn)行懲罰。

如圖1所示，攻擊溯源包括報(bào)文解析、流量分析、攻擊源識(shí)別和發(fā)送日志告警通知管理員以及實(shí)施懲罰四個(gè)過(guò)程。 通過(guò)圖1所示的四個(gè)過(guò)程，找出攻擊源，然后管理員通過(guò)ACL或配置黑名單的方式限制攻擊源，以保護(hù)設(shè)備CPU。