Функція захисту від атак може виявляти три типи мережевих атак:
- однопакетні атаки:
- ICMP redirect - надсилання повідомлень про ICMP-переадресацію для зміни таблиці маршрутів;
- ICMP destination unreachable - надсилання ICMP-недосяжних повідомлень;
- ICMP type - надсилання підроблених ICMP-пакетів певного типу;
- ICMPv6 type - надсилання підроблених ICMPv6-пакетів певного типу;
- Land - надсилання шквалу TCP SYN пакетів, що містять IP-адресу жертви як IP-адресу джерела та призначення;
- Large ICMP packet - надсилання надто великих ICMP-пакетів;
- Large ICMPv6 packet - надсилання надто великих ICMPv6-пакетів;
- IP options - надсилання дейтаграм ІР з ненормальними параметрами;
- IP fragment - надсилання ІР-дейтаграм зі зміщенням від 0 до 5;
- IP impossible packet - надсилання ІР-пакетів з однаковими ІР-адресами джерела і призначення;
- Tiny fragment - надсилання надто малих фрагментів, щоб заголовки Layer 4 потрапляли в різні фрагменти;
- Smurf - передача широкомовних ICMP-запитів у цільову мережу з ІР-адресою потерпілого. Хости цільової мережі надсилають потерпілому шквал відповідей;
- TCP flag - надсилання TCP-пакетів з неправильними прапорами, кожна система по-різному їх оброблює;
- Traceroute - використання інструментів traceroute для дослідження мережі жертви;
- WinNuke - надсилання неправильних пакетів на порт 139 жертви;
- UDP bomb - надсилання неправильно сформованих UDP-пакетів;
- UDP Snork - надсилання UDP-пакетів на порт 135 з джерелом порту 135, 7 або 19;
- UDP Fraggle - надсилання в мережу великої кількості UDP-пакетів з вихідним портом 7 та портом призначення 19 і підробною ІР-адресою;
- Teardrop - надсилання фрагментів пакетів, що перекриваються;
- Ping of death - надсилання ICMP-запиту, що перевищує 65535 байт;
- атаки сканування та
- атаки переповнення:
- SYN flood - надсилання великої кількості підроблених SYN-пакетів з підробними адресами джерела;
- ACK flood - надсилання величезної кількості підроблених ACK-пакетів;
- SYN-ACK flood - надсилання величезної кількості підроблених SYN-ACK-пакетів;
- FIN flood - надсилання великої кількості підроблених FIN-пакетів (відключення з'єднання);
- RST flood - надсилання великої кількості підроблених RST-пакетів (припинення з'єднання);
- DNS flood - надсилання великої кількості підроблених DNS-запитів;
- HTTP flood - надсилання великої кількості HTTP GET-запитів для завантаження серверу;
- ICMP flood - надсилання величезної кількості ICMP-запитів;
- ICMPv6 flood - надсилання величезної кількості ICMPv6-запитів;
- UDP flood - надсилання величезної кількості UDP-пакетів;
- атаки фрагментованними TCP-пакетами.
Завдання налаштування виявлення та захисту атаки включають три категорії:
- Налаштування функцій захисту від нападу для інтерфейсу. Для цього потрібно створити політику захисту від нападу, налаштувати в політиці необхідні функції захисту від нападу (наприклад, захист від атаки Smurf, захист від сканування та захист від повені), а потім застосувати політику до інтерфейсу. Для функцій атаки немає конкретного порядку налаштування, і ви можете їх налаштувати за потребою.
- Налаштування функції чорного списку. Цю функцію можна використовувати незалежно або використовувати разом із функцією захисту від сканування від атаки на інтерфейсі.
- Увімкнення функції статистики трафіку. Цю функцію можна використовувати самостійно.
<HPE>system-view
[HPE]attack-defense policy policy-name
Налаштування політики захисту від одно-пакетних атак
Функція захисту від одно-пакетної атаки, зазвичай, застосовується до зовнішніх інтерфейсів і перевіряє лише вхідні пакети інтерфейсів.
- Введіть system-view:
<HPE>system-view
- Увійдіть в перегляд правил захисту від атак:
[HPE]attack-defense policy policy-name
- Налаштуйте розпізнавання підписів для одно-пакетних атак:
[HPE]signature detect { fraggle | fragment | impossible | ip-option-abnormal |
land | large-icmp | large-icmpv6 | ping-of-death |
smurf | snork | tcp-all-flags | tcp-fin-only |
tcp-invalid-flags | tcp-null-flag | tcp-syn-fin |
teardrop | tiny-fragment | traceroute | udp-bomb |
winnuke } [ action { { drop | logging } * | none } ]
[HPE]signature detect icmp-type { icmp-type-value | address-mask-reply |
address-mask-request | destination-unreachable |
echo-reply | echo-request | information-reply |
information-request | parameter-problem | redirect |
source-quench | time-exceeded | timestamp-reply |
timestamp-request } [ action { { drop | logging } * |
none } ]
[HPE]signature detect icmpv6-type { icmpv6-type-value | destination-unreachable |
echo-reply | echo-request | group-query |
group-reduction | group-report | packet-too-big |
parameter-problem | time-exceeded } [ action { { drop |
logging } * | none } ]
[HPE]signature detect ip-option { option-code | internet-timestamp |
loose-source-routing | record-route | route-alert |
security | stream-id | strict-source-routing } [ action
{ { drop | logging } * | none } ]
Спочатку виявлення підписів вимкнено для всіх видів одно-пакетних атак. Ви можете налаштувати виявлення декількох одно-пакетних атак.
- Не обов'язково. Налаштуйте поріг довжини ICMP-пакетів, який запускає захист від атаки великими ICMP-пакетами:
[HPE]signature { large-icmp | large-icmpv6 } max-length довжина
Типово, довжина рівна 4000 байтам;
- Не обов'язково. Вкажіть дію, яку виконуватиме пристрій після виявлення одно-пакетної атаки та рівень детектування:
[HPE]signature level { high | info | low | medium }
action { { drop | logging } * | none }
Типово, пристрій налаштований на logging і робить запис у журнал тривоги у разі виявлення одно-пакетної атаки. Дії logging та drop характерні для рівнів medium та high.
Налаштування політики захисту від сканування
Функція захисту від сканування, зазвичай, застосовується до зовнішніх інтерфейсів і перевіряє лише вхідні пакети інтерфейсів.
- Введіть system-view:
<HPE>system-view
- Увійдіть в перегляд правил захисту від атак:
[HPE]attack-defense policy policy-name
- Налаштуйте виявлення атак сканування:
[HPE]scan detect level { high | low | medium }
action { block-source [ timeout хвилин ] | logging } *
На початку не налаштовано.
Налаштування політики захисту від повені (флуду)
Налаштуйте політику захисту від повені на інтерфейсі, який підключається до зовнішньої мережі для захисту внутрішніх серверів.
Коли пристрій виявляє, що швидкість надсилання запитів на з'єднання до сервера постійно досягає або перевищує вказаний поріг тиші, то пристрій вважає, що сервер знаходиться під атакою та переходить у стан захисту від атаки. Потім пристрій виконує дії захисту в налаштованому режимі (зазвичай, пристрій лише робить запис у журнали тривоги, але може бути налаштований на відмову від наступних пакетів запитів на з'єднання).
Коли пристрій виявить, що швидкість передачі пакетів на сервер опускається нижче порогу тиші, він вважає, що атака на сервер закінчена, і повертається до стану виявлення атак і припиняє вживати дії захисту.
Ви можете налаштувати захист від атаки для конкретних IP-адрес. Для IP-адрес, для яких ви не налаштовуєте захист від атаки, пристрій використовує глобальні налаштування захисту від атак.
Щоб налаштувати політику захисту від SYN-повені:
- Введіть system-view:
<HPE>system-view
- Увійдіть в перегляд правил захисту від атак:
[HPE]attack-defense policy policy-name
- Увімкніть виявлення SYN-flood атаки для ІР-адрес у загальному:
[HPE]syn-flood detect non-specific
На початку вимкнено.
- Налаштуйте глобальні дії та пороги тиші для захисту від SYN-повені:
[HPE]syn-flood threshold значення-порогу
Типово, поріг дії встановлено як 1000 пакетів за секунду;
- Налаштуйте глобальну дію після виявлення SYN flood атаки:
[HPE]syn-flood action { client-verify | drop | logging } *
Типово, не налаштовано.
- Налаштуйте виявлення ІР-специфічної SYN flood атаки:
[HPE]syn-flood detect { ip ip-address | ipv6 ipv6-address }
[ vpn-instance vpn-instance-name ]
[ threshold threshold-value ]
[ action { { client-verify | drop | logging } * | none } ]
Типово, виявлення SYN flood атаки не налаштовано для жодної ІР-адреси.
Щоб налаштувати політику захисту від ACK-повені:
- Введіть system-view:
<HPE>system-view
- Увійдіть в перегляд правил захисту від атак:
[HPE]attack-defense policy policy-name
- Увімкніть виявлення ACK-flood атаки для ІР-адрес у загальному:
[HPE]ack-flood detect non-specific
На початку вимкнено.
- Налаштуйте глобальні дії та пороги тиші для захисту від ACK-повені:
[HPE]ack-flood threshold значення-порогу
Типово, поріг дії встановлено як 1000 пакетів за секунду;
- Налаштуйте глобальну дію після виявлення ACK flood атаки:
[HPE]ack-flood action { client-verify | drop | logging } *
Типово, не налаштовано.
- Налаштуйте виявлення ІР-специфічної ACK flood атаки:
[HPE]ack-flood detect { ip ip-address | ipv6 ipv6-address }
[ vpn-instance vpn-instance-name ]
[ threshold threshold-value ]
[ action { { client-verify | drop | logging } * | none } ]
Типово, виявлення ACK flood атаки не налаштовано для жодної ІР-адреси.
Щоб налаштувати політику захисту від SYN-ACK-повені:
- Введіть system-view:
<HPE>system-view
- Увійдіть в перегляд правил захисту від атак:
[HPE]attack-defense policy policy-name
- Увімкніть виявлення SYN-ACK-flood атаки для ІР-адрес у загальному:
[HPE]syn-ack-flood detect non-specific
На початку вимкнено.
- Налаштуйте глобальні дії та пороги тиші для захисту від SYN-ACK-повені:
[HPE]syn-ack-flood threshold значення-порогу
Типово, поріг дії встановлено як 1000 пакетів за секунду;
- Налаштуйте глобальну дію після виявлення SYN-ACK flood атаки:
[HPE]syn-ack-flood action { client-verify | drop | logging } *
Типово, не налаштовано.
- Налаштуйте виявлення ІР-специфічної SYN-ACK flood атаки:
[HPE]syn-ack-flood detect { ip ip-address | ipv6 ipv6-address }
[ vpn-instance vpn-instance-name ]
[ threshold threshold-value ]
[ action { { client-verify | drop | logging } * | none } ]
Типово, виявлення SYN-ACK flood атаки не налаштовано для жодної ІР-адреси.
Щоб налаштувати політику захисту від FIN-повені:
- Введіть system-view:
<HPE>system-view
- Увійдіть в перегляд правил захисту від атак:
[HPE]attack-defense policy policy-name
- Увімкніть виявлення FIN-flood атаки для ІР-адрес у загальному:
[HPE]fin-flood detect non-specific
На початку вимкнено.
- Налаштуйте глобальні дії та пороги тиші для захисту від FIN-повені:
[HPE]fin-flood threshold значення-порогу
Типово, поріг дії встановлено як 1000 пакетів за секунду;
- Налаштуйте глобальну дію після виявлення FIN flood атаки:
[HPE]fin-flood action { client-verify | drop | logging } *
Типово, не налаштовано.
- Налаштуйте виявлення ІР-специфічної FIN flood атаки:
[HPE]fin-flood detect { ip ip-address | ipv6 ipv6-address }
[ vpn-instance vpn-instance-name ]
[ threshold threshold-value ]
[ action { { client-verify | drop | logging } * | none } ]
Типово, виявлення FIN flood атаки не налаштовано для жодної ІР-адреси.
Щоб налаштувати політику захисту від RST-повені:
- Введіть system-view:
<HPE>system-view
- Увійдіть в перегляд правил захисту від атак:
[HPE]attack-defense policy policy-name
- Увімкніть виявлення RST-flood атаки для ІР-адрес у загальному:
[HPE]rst-flood detect non-specific
На початку вимкнено.
- Налаштуйте глобальні дії та пороги тиші для захисту від RST-повені:
[HPE]rst-flood threshold значення-порогу
Типово, поріг дії встановлено як 1000 пакетів за секунду;
- Налаштуйте глобальну дію після виявлення RST-flood атаки:
[HPE]rst-flood action { client-verify | drop | logging } *
Типово, не налаштовано.
- Налаштуйте виявлення ІР-специфічної RST-flood атаки:
[HPE]rst-flood detect { ip ip-address | ipv6 ipv6-address }
[ vpn-instance vpn-instance-name ]
[ threshold threshold-value ]
[ action { { client-verify | drop | logging } * | none } ]
Типово, виявлення RST-flood атаки не налаштовано для жодної ІР-адреси.
Щоб налаштувати політику захисту від ICMP-повені:
- Введіть system-view:
<HPE>system-view
- Увійдіть в перегляд правил захисту від атак:
[HPE]attack-defense policy policy-name
- Увімкніть виявлення ICMP-flood атаки для ІР-адрес у загальному:
[HPE]icmp-flood detect non-specific
На початку вимкнено.
- Налаштуйте глобальні дії та пороги тиші для захисту від ICMP-повені:
[HPE]icmp-flood threshold значення-порогу
Типово, поріг дії встановлено як 1000 пакетів за секунду;
- Налаштуйте глобальну дію після виявлення ICMP-flood атаки:
[HPE]icmp-flood action { client-verify | drop | logging } *
Типово, не налаштовано.
- Налаштуйте виявлення ІР-специфічної ICMP-flood атаки:
[HPE]icmp-flood detect { ip ip-address }
[ vpn-instance vpn-instance-name ]
[ threshold threshold-value ]
[ action { { client-verify | drop | logging } * | none } ]
Типово, виявлення ICMP-flood атаки не налаштовано для жодної ІР-адреси.
Щоб налаштувати політику захисту від ICMPv6-повені:
- Введіть system-view:
<HPE>system-view
- Увійдіть в перегляд правил захисту від атак:
[HPE]attack-defense policy policy-name
- Увімкніть виявлення ICMPv6-flood атаки для ІР-адрес у загальному:
[HPE]icmpv6-flood detect non-specific
На початку вимкнено.
- Налаштуйте глобальні дії та пороги тиші для захисту від ICMPv6-повені:
[HPE]icmpv6-flood threshold значення-порогу
Типово, поріг дії встановлено як 1000 пакетів за секунду;
- Налаштуйте глобальну дію після виявлення ICMPv6-flood атаки:
[HPE]icmpv6-flood action { client-verify | drop | logging } *
Типово, не налаштовано.
- Налаштуйте виявлення ІР-специфічної ICMPv6-flood атаки:
[HPE]icmpv6-flood detect { ipv6 ipv6-address }
[ vpn-instance vpn-instance-name ]
[ threshold threshold-value ]
[ action { { client-verify | drop | logging } * | none } ]
Типово, виявлення ICMPv6-flood атаки не налаштовано для жодної ІР-адреси.
Щоб налаштувати політику захисту від UDP-повені:
- Введіть system-view:
<HPE>system-view
- Увійдіть в перегляд правил захисту від атак:
[HPE]attack-defense policy policy-name
- Увімкніть виявлення UDP-flood атаки для ІР-адрес у загальному:
[HPE]udp-flood detect non-specific
На початку вимкнено.
- Налаштуйте глобальні дії та пороги тиші для захисту від UDP-повені:
[HPE]udp-flood threshold значення-порогу
Типово, поріг дії встановлено як 1000 пакетів за секунду;
- Налаштуйте глобальну дію після виявлення UDP-flood атаки:
[HPE]udp-flood action { client-verify | drop | logging } *
Типово, не налаштовано.
- Налаштуйте виявлення ІР-специфічної UDP-flood атаки:
[HPE]udp-flood detect { ip ip-address | ipv6 ipv6-address }
[ vpn-instance vpn-instance-name ]
[ threshold threshold-value ]
[ action { { client-verify | drop | logging } * | none } ]
Типово, виявлення UDP-flood атаки не налаштовано для жодної ІР-адреси.
Щоб налаштувати політику захисту від DNS-повені:
- Введіть system-view:
<HPE>system-view
- Увійдіть в перегляд правил захисту від атак:
[HPE]attack-defense policy policy-name
- Увімкніть виявлення DNS-flood атаки для ІР-адрес у загальному:
[HPE]dns-flood detect non-specific
На початку вимкнено.
- Налаштуйте глобальні дії та пороги тиші для захисту від DNS-повені:
[HPE]dns-flood threshold значення-порогу
Типово, поріг дії встановлено як 1000 пакетів за секунду;
- Не обов'язково. Налаштуйте глобальні порти для захисту від DNS-flood атаки:
[HPE]dns-flood port port-list
Типово, захищається лише порт 53.
- Налаштуйте глобальну дію після виявлення DNS-flood атаки:
[HPE]dns-flood action { client-verify | drop | logging } *
Типово, не налаштовано.
- Налаштуйте виявлення ІР-специфічної DNS-flood атаки:
[HPE]dns-flood detect { ip ip-address | ipv6 ipv6-address }
[ vpn-instance vpn-instance-name ]
[ threshold threshold-value ]
[ action { { client-verify | drop | logging } * | none } ]
Типово, виявлення DNS-flood атаки не налаштовано для жодної ІР-адреси.
Щоб налаштувати політику захисту від HTTP-повені:
- Введіть system-view:
<HPE>system-view
- Увійдіть в перегляд правил захисту від атак:
[HPE]attack-defense policy policy-name
- Увімкніть виявлення HTTP-flood атаки для ІР-адрес у загальному:
[HPE]http-flood detect non-specific
На початку вимкнено.
- Налаштуйте глобальні дії та пороги тиші для захисту від HTTP-повені:
[HPE]http-flood threshold значення-порогу
Типово, поріг дії встановлено як 1000 пакетів за секунду;
- Не обов'язково. Налаштуйте глобальні порти для захисту від HTTP-flood атаки:
[HPE]http-flood port port-list
Типово, захищається лише порт 80.
- Налаштуйте глобальну дію після виявлення HTTP-flood атаки:
[HPE]http-flood action { client-verify | drop | logging } *
Типово, не налаштовано.
- Налаштуйте виявлення ІР-специфічної HTTP-flood атаки:
[HPE]http-flood detect { ip ip-address | ipv6 ipv6-address }
[ vpn-instance vpn-instance-name ]
[ threshold threshold-value ]
[ action { { client-verify | drop | logging } * | none } ]
Типово, виявлення HTTP-flood атаки не налаштовано для жодної ІР-адреси.
Налаштування виключень з виявлення атак
Застосування політики захисту від нападу до інтерфейсу
Щоб застосувати політику захисту від нападу до інтерфейсу:
- Введіть system-view:
<HPE>system-view
- Увійдіть у перегляд інтерфейсу:
[HPE]interface interface-type interface-number
- Застосуйте політику захисту від атаки до інтерфейсу.:
[HPE]attack-defense apply policy policy-name
На початку жодна політика захисту від атаки не застосовується до жодного інтерфейсу. Політика захисту від атаки, яка застосовується до інтерфейсу, вже повинна існувати.
Застосування політики захисту від нападу до пристрою
- Введіть system-view:
<HPE>system-view
- Застосуйте політику захисту від атаки до пристрою:
[HPE]attack-defense apply policy policy-name
На початку жодна політика захисту від атаки не застосовується до пристрою.
Приклад
# Налаштувати IP адреси для інтерфейсів (не показано).
# Увімкнути функцію "чорного списку" глобально
<HPE> system-view
[HPE] blacklist global enable
# Створити правила a1 захисту від атаки
[HPE] attack-defense policy a1
# Увімкнути захист від smurf-атак і вказати превентивне журналювання
[HPE-attack-defense-policy-a1] signature-detect smurf enable action logging
# Налаштувати низький рівень виявлення атак скануванням.
# Вказати дію журналювання й блокування-джерела трафіку на 10 хвилин:
[HPE-attack-defense-policy-a1] scan detect level low \
action logging \
block-source timeout 10
# Налаштувати виявлення SYN flood атак для 10.0.0.2.
# Встановити поріг запуску запобігання атакам у 50000.
# Вказати дію журналювання й відхилення пакетів:
[HPE-attack-defense-policy-a1] syn-flood detect ip 10.0.0.2 \
threshold 5000 \
action logging drop
[HPE-attack-defense-policy-a1] quit
#
# Застосувати правила a1 до GigabitEthernet 0/0.
[HPE] interface gigabitethernet 0/0
[HPE-GigabitEthernet0/0] attack-defense apply policy a1
[HPE-GigabitEthernet0/0] quit
#
