本機(jī)防攻擊-網(wǎng)絡(luò)運(yùn)維

2020-05-01 17:13 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運(yùn)維工程師，在網(wǎng)絡(luò)中，存在著大量針對CPU的惡意攻擊報文以及需要正常上送CPU的各類報文。今天我們來說一說本機(jī)反攻擊方面的內(nèi)容。

本機(jī)防攻擊簡介

本機(jī)防攻擊可保護(hù)CPU，解決CPU因處理大量正常上送CPU的報文或者惡意攻擊報文造成的業(yè)務(wù)中斷問題。

定義

在網(wǎng)絡(luò)中，存在著大量針對CPU（Central Processing Unit）的惡意攻擊報文以及需要正常上送CPU的各類報文。針對CPU的惡意攻擊報文會導(dǎo)致CPU長時間繁忙的處理攻擊報文，從而引發(fā)其他業(yè)務(wù)的斷續(xù)甚至系統(tǒng)的中斷；大量正常的報文也會導(dǎo)致CPU占用率過高，性能下降，從而影響正常的業(yè)務(wù)。
為了保護(hù)CPU，保證CPU對正常業(yè)務(wù)的處理和響應(yīng)，設(shè)備提供了本機(jī)防攻擊功能。本機(jī)防攻擊針對的是上送CPU的報文，主要用于保護(hù)設(shè)備自身安全，保證已有業(yè)務(wù)在發(fā)生攻擊時的正常運(yùn)轉(zhuǎn)，避免設(shè)備遭受攻擊時各業(yè)務(wù)的相互影響。

基本原理

本機(jī)防攻擊包括CPU防攻擊和攻擊溯源兩部分。

· CPU防攻擊針對上送CPU的報文進(jìn)行限制和約束，使單位時間內(nèi)上送CPU報文的數(shù)量限制在一定的范圍之內(nèi)，從而保護(hù)CPU的安全，保證CPU對業(yè)務(wù)的正常處理。

1. 多級安全機(jī)制，保證設(shè)備的安全，實(shí)現(xiàn)了對設(shè)備的分級保護(hù)。

設(shè)備通過以下策略實(shí)現(xiàn)對設(shè)備的分級保護(hù)：

o 第一級：通過黑名單來過濾上送CPU的非法報文。

o 第二級：CPCAR（Control Plane Committed Access Rate）。對上送CPU的報文按照協(xié)議類型進(jìn)行速率限制，保證每種協(xié)議上送CPU的報文不會過多。

o 第三級：對上送CPU的報文，按照協(xié)議優(yōu)先級進(jìn)行調(diào)度，保證優(yōu)先級高的協(xié)議先得到處理。

o 第四級：對上送CPU的報文統(tǒng)一限速，對超過統(tǒng)一限速值的報文隨機(jī)丟棄，保證整體上送CPU的報文不會過多，保護(hù)CPU安全。

1. 動態(tài)鏈路保護(hù)功能的CPU報文限速，是指當(dāng)設(shè)備檢測到SSH Session數(shù)據(jù)、Telnet Session數(shù)據(jù)、HTTP Session數(shù)據(jù)、FTP Session數(shù)據(jù)以及BGP Session數(shù)據(jù)建立時，會啟動對此Session的動態(tài)鏈路保護(hù)功能，后續(xù)上送報文
如匹配此Session特征信息，此類數(shù)據(jù)將會享受高速率上送的權(quán)利，由此保證了此Session相關(guān)業(yè)務(wù)的運(yùn)行可靠性、穩(wěn)定性。

· 攻擊溯源針對DoS攻擊進(jìn)行防御。設(shè)備通過對上送CPU的報文進(jìn)行分析統(tǒng)計(jì)，然后對統(tǒng)計(jì)的報文設(shè)置一定的閾值，將超過閾值的報文判定為攻擊報文，再對這些攻擊報文根據(jù)報文信息找出攻擊源用戶或者攻擊源接口，最后通過
日志、告警等方式提醒管理員以便管理員采用一定的措施來保護(hù)設(shè)備，或者直接丟棄攻擊報文以對攻擊源進(jìn)行懲罰。

如圖1所示，攻擊溯源包括報文解析、流量分析、攻擊源識別和發(fā)送日志告警通知管理員以及實(shí)施懲罰四個過程。

圖1  攻擊溯源原理 



通過圖1所示的四個過程，找出攻擊源，然后管理員通過ACL或配置黑名單的方式限制攻擊源，以保護(hù)設(shè)備CPU。


艾銻無限科技專業(yè)：IT外包、企業(yè)外包、北京IT外包、桌面運(yùn)維、弱電工程、網(wǎng)站開發(fā)、wifi覆蓋方案,網(wǎng)絡(luò)外包,網(wǎng)絡(luò)管理服務(wù),網(wǎng)管外包,綜合布線,服務(wù)器運(yùn)維服務(wù),中小企業(yè)it外包服務(wù),服務(wù)器維保公司,硬件運(yùn)維,網(wǎng)站運(yùn)維服務(wù)
 
以上文章由北京艾銻無限科技發(fā)展有限公司整理