【RG-NPE】RG-NPE如何防流量攻击

发布时间：2013-09-18

点击量：8232

应用场景

NPE设备部署在网络出口，如果有攻击者发起攻击，NPE将首先收到攻击报文并作出处理。对于流量攻击，会导致NPE设备的CPU过高，导致设备处理能力下降，内网用户反馈上网卡、延时高等问题，此时可以开启防攻击功能，使设备在遭到攻击时，仍能正常转发数据，避免用户上网收到影响。

功能原理

NPE的防流量攻击，实现手段可以简单地归为如下两种：

1、ip session filter功能

NPE在默认情况下，是先建立会话流表再去匹匹配ACL，也就是说，就算在接口配置deny ip any any 的ACL，这个时候一个数据包来到接口后，还会先建立一条会话，再去匹配ACL被丢弃。那么这种特性就会有一个问题，如果遇到大量的伪源IP攻击，或者是端口扫描时，虽然有ACL拒绝了这种报文的转发，但是还是会把NPE的流表给占满，而导致正常的数据无法建流而被丢弃。

ip session filter就是为解决以上问题而开发的，ip session filter的原理是：在建立流表前去匹配调用的ACL，如果被ACL拒绝就不会再去建流了。Ip session filter 是全局生效的，开启此功能后不管从那个接口进入的数据，都会匹配到被调用的ACL。所以在配置此策略的ACL时一定要注意，一是放通内外网管理NPE的流量；二是放通内网用户到外网的数据；三是放通外网的用户访问内网流量，一般情况是服务器所映射的公网IP。

2、SCPP/ACPP

设备防攻击模块就是对需要进入控制层面处理的数据报文进行分类，过滤，限速，从而达到保护控制层面的关键资源的目的。如果配置了ip session filter之后，设备CPU都无法降下来，此时可以开启设备防攻击功能，

一、组网需求

1、需要增强设备自身的管理安全性；

2、防内外网流量攻击。

二、配置要点

1、针对流表型攻击，需要先分析客户网络的配置，分析出所有合法的流量加入到ACL中，然后全局配置ip session filter，调用ACL；这样只有合法的流量到达NPE时才会创建流表，该配置建议在命令行下配置完成；

说明：ip session filter调用ACL后，所有未匹配中ACL的流量将均被丢弃，因此调用前，一定需要确认ACL中是否包含了所有放通的流量：

如管理流量、内网访问外网流量、外网访问服务器流量、ospf协议、snmp等；

2、针对到设备本地的攻击，需要配置防流量攻击，该配置可以在web上完成；

3、配置黑洞路由：当映射使用的公网地址或者地址池中的地址不是接口IP地址时需要使用。

说明：

①如果网络配置和流量未变更时，show cpu发现ktimer进程突然占用大量CPU，说明设备可能遭受流表型攻击，使用show ip fpm st 命令查看Active的流表总数是否超出正常值很多，如达到近100W或者更多，如是，需要检查NPE上是否配置了ip session filter，调用的ACL是否禁止了非法流量；如果确认ACL配置无问题，但NPE上流表还是经常被占满，请在内网流控/行为审计设备上进行每IP会话数限制；

②如果检查CPU，发现tnet进程占用大量CPU，说明设备受到流量型攻击，需要配置防流量攻击，或者之前阀值设置太高，具体配置见配置步骤2，一般配置上防流量攻击后5-10分钟，设备CPU会降回稳定值；

③web配置的防流量攻击下发的值过小，建议调整成速率为500 pps，突发速率为600 pps的值；同时将内网需要经常性与NPE通信的地址（如SNMP管理IP、内网管理员IP）加入管理IP中免于到设备本地的发包速率控制。

三、配置步骤

1、配置ip session filter，避免因流表攻击导致设备流表被占满：

①IP sessoin filter功能需要我们先去分析用户的配置，再根据配置来做ACL，如用户的配置为：

a、以下为用户接口IP，G0/0为内网接口；G0/1为外网接口

GigabitEthernet 0/0 10.98.1.6/30 YES UP

GigabitEthernet 0/1 61.157.137.6/30 YES UP

b、用户设置的WEB管理端口

ip http port 8080　

c、用户内网的网段

ip route 10.0.0.0 255.0.0.0 　 10.98.1.5

以上信息可以看出用户的内网都是10.0.0.0/8网段的。

d、用户所做的端口映射或者ip映射

ip nat inside source static tcp 10.139.24.3 21 61.157.144.49 21 permit-inside

ip nat inside source static tcp 10.139.24.3 20 61.157.144.49 80 permit-inside

ip nat inside source static 10.135.11.2 61.157.144.34 permit-inside

从端口映射或者是IP映射可以看出，我们需要放通从外网访问的IP和端口。

②ip session filter的ACL配置

针对用户的配置，也就是需要放通的服务配置ACL

ip access-list extended 197

10 permit tcp any host 10.98.1.6 eq telnet //ACL条目10到70是放通所有IP到设备接口的telnet，WEB管理和ping，针对内网接口放还放通SNMP管理

20 permit tcp any host 10.98.1.6 eq 8080

30 permit icmp any host 10.98.1.6

40 permit udp any host 10.98.10.6 eq snmp 　

50 permit tcp any host 61.157.137.6 eq telnet

60 permit tcp any host 61.157.137.6 eq 8080

70 permit icmp any host 61.157.137.6

80 deny ip 10.0.0.0 0.255.255.255 host 10.98.1.6 //80,90两个条目是拒绝内网的IP，扫描NPE的接口。

90 deny ip 10.0.0.0 0.255.255.255 host 61.157.137.6

100 permit ip 10.0.0.0 0.255.255.255 any //放通内网IP到所有资源的访问

110 permit tcp any host 61.157.144.49 eq ftp //110到130这三个条目是放通任意IP来访问映射的内网服务器的资源。

120 permit tcp any host 61.157.144.49 eq www

130 permit ip any host 61.157.144.34

③ip session filter 的启用

ip session filter 197　　　　 // ACL 197即我们前面所配置的ACL

注意：

被ip session filter调用的ACL是全局生效的，而且是在建立流表前匹配，也就是说被此ACL拒绝的数据不会建流而直接被丢弃，所以一定要确保该放通的资源都放通后再启用；

Ip session filter对NPE本身所发出的数据是不生效的。通过IP session filter 的流量，回来时不会再匹配ip session filter所调用的ACL。也就是说能出去就能回来，如上案例中，我们只放通了私网到公网的流量，没有放通公网到NAT转换地址流量，但是内网的用户依然是可以正常上网。

2、配置防止到设备本地的流量型攻击：

命令行下配置方法：

进入全局配置模式：

control-plane

ef-rnfp enable //使用默认规则，启用设备防攻击

security web permit 192.168.1.100 //添加管理员IP地址，管理员IP将不受配置的速率限制，可以添加多个管理IP

security web permit 192.168.2.100 //将常用的管理员IP、及内网需要对NPE进行SNMP读取信息的主机地址加入到管理员IP列表

anti-arp-spoof scan 20 //默认配置，防ARP扫描

attack threshold 500 //默认配置，配置当本地防攻击模块丢弃报文的速率达到多少 pps 时（即本地攻击确认阀值），认为网络中存在攻击；

control-plane protocol //协议层，针对所有送往本地的协议控制流。例如链路层协议的协议报文，路由协议报文等。

acpp bw-rate 500 bw-burst-rate 600 // bw-rate为流量限速，bw-burst-rate为突发流量峰值限制，单位均为pps，两者最大可以各设置为600，此处建议分别设置为500和600

control-plane manage //管理层，针对所有送往本地的管理协议流。例如 web 管理，telnet，snmp 等，另外 arp 也属于这一类