Storm Control, Port Blocking和Protected Port介绍

  拒绝服务 (DoS)攻击最难阻止和防范的攻击之一,它的普遍以及难以驾驭在于它的本质是正常的网络流量。想想,当我们访问因特网时,我们浏览网页,收发邮件,听歌,上微博……其中我们创建了大量网络流量,想一想如果是50台机器,产生的流量是多么大。

  DoS攻击就是这类正常的流量,攻击者能通过制造大量这种流量让网络和管理设备过载,缺乏处理和回应的资源,从而当接受到正常服务请求时无法对其作出正确回应。在这篇文章中,挨踢小茶将会介绍3种2层的技术来减少这种攻击所带来的影响,他们是Storm Control, Port Blocking和Protected Port。

Storm Control

  首先介绍一下Storm Control,这种机制能减少广播所带来的不利影响,可以通过控制单播、多播和广播报文来管制网络。一共有3种方法控制流量:

  • 全网的带宽百分比
  • 每秒传输的比特数,用”bps”关键词定义
  • 每秒传输的报文数,用”pps”关键词定义

  同时,我们能对超过阀值做出相应动作:关闭端口或者发送一个SNMP trap报文。

  其中的阀值被分为上限和下限,当流量超过阀值上限的时候,定义的相应动作将被执行。而只有流量恢复到达到阀值下限的时候,端口才会恢复到正常的状态。

(config-if)#storm-control {unicast | multicast | broadcast} level {HIGH_PERC [LOW_PERC] | bps HIGH_BPS [LOW_BPS] | pps HIGH_PPS [LOW_PPS]}

定义监控的网络流量阀值

(config-if)#storm-control action {shutdown | trap}

定义达到阀值上限后执行的动作

 

Protected Port

  Protected Port和VlAN的定义是类似的,区别在于前者只分为non-protected port和protected port。Protected Port的特点在于同一个交换机上两个保护端口(这个特性只是本地有效)是不能相互通信的。但是non-protected port和protected port通信却是正常的。任何类型的端口都可以定义为保护端口,不管是access口还是trunk口。

  现在,你一定想知道这个特性是如何减缓DoS的了。通过把可疑的端口和接关键业务(服务器群)的端口设置为protected port,他们之间就不能互相传输数据,只有控制信息会被传输。

注意:Protected Port不能和PVLAN一起使用

(config-if)#switchport protected

把端口配置为protected port

 

Port Blocking

  首先需要注意的是Port blocking不是真正地阻止端口和它的通信,只有那些未知的流量会被阻止。也就是说,这种机制只会阻止那些交换机不知道目的地的流量(Unknown Unicast)。

  Port blocking会直接丢弃这些封包,防止攻击者利用这个弱点进行攻击。

注意:这个特性只适用于那些固定设备,也就是说,如果一个网络设备不可用了(关机或者故障),它的ARP cach会超时老化,这个设备就不能在网络中使用,除非手动把该ARP记录添加到所有交换机上(当然你也可以配置ARP永不老化)。

(config-if)#switchport block {unicast | multicast}

配置未知目的地的单播或者多播

译自:http://blog.centilin.com/everything_it/storm-control-port-blocking-and-protected-port/



 
 » 除非注明,本博客文章均为挨踢小茶原创,转载请以链接形式标明本文地址
该日志由 挨踢小茶 于2012年05月14日发表在 路由交换 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: Storm Control, Port Blocking和Protected Port介绍 | 挨踢茶馆
关键字: , , ,

Storm Control, Port Blocking和Protected Port介绍:目前有17 条留言

  1. 7楼
    Angela Zou:

    呵呵, 感谢博主还把偶的网址还留着. 很不容易, 许多人翻译完之后就对内容持作者权了. 你的网站还做的真不错, 呵呵, 需要学习学习. 要么然偶都没有国内的流量进来… 🙂

    2012-05-31 下午 9:13 [回复]
    • 哈哈,我尊重别人,别人才能尊重我嘛,而且对我来说举手之劳而已。反倒原作者如果有机会看到了对自己也是一种鼓励和动力不是么。
      你的博客也非常棒!我现在才知道原来是个国人写的。。。 😀

      2012-05-31 下午 10:33 [回复]
      • 你写的范围还真是广阿, 我对VMWare都不怎么了解. 多数是做Juniper和Security, 还有一点点Wireless. 我写编程的少, 编程的话, 也是新手上路, 呵呵. ❗

        要交换网址吗? 给我发个邮件吧, 当交个朋友.

        2012-05-31 下午 11:19 [回复]
        • Vmware我只是停留在使用阶段而已……你见笑了,Juniper还真没接触过,是个新新手,Security我以后还蛮想向这个方面发展,多多指教啊。
          友链加上了,以后好好交流交流哈哈。

          2012-06-01 上午 12:34 [回复]
  2. 谢谢博主分享了啊

    2012-05-18 上午 10:40 [回复]
  3. 内容是极易难求的知识,学习下!

    2012-05-15 下午 9:21 [回复]
  4. 流量攻击是最麻烦的。

    2012-05-15 下午 6:13 [回复]
    • 特别是DoS,很难防范。

      2012-05-15 下午 8:03 [回复]
      • 一般主机商不是有防范措施么? 😎

        2012-05-16 下午 2:16 [回复]
        • 肯定有的,我这个是针对所有网络部署的机制,不仅仅针对主机哈哈。

          2012-05-16 下午 3:11 [回复]
        • 恩,一般都会有的,不过这些机制对所有网络都是有效的。

          2012-05-16 下午 3:13 [回复]
  5. 地板
    海纳百川:

    记得当前毕业论文就是写关于网络安全的,可是工作确是软件开发。被导师逼的。

    2012-05-15 下午 4:28 [回复]
    • 软件实现网络安全?我毕业论文是无线网络封包相关的,也是比较坑爹。

      2012-05-15 下午 4:51 [回复]
  6. 板凳
    行畔博客:

    我那种小站应该没人攻击的吧? 😎

    2012-05-15 下午 12:58 [回复]
    • 这些机制一般用来防范内部攻击的拉哈哈。小站慢慢也就变大了

      2012-05-15 下午 4:53 [回复]
  7. 自己开始写博客才真的了解到,每天坚持更新是一个多么难得的好习惯。好的博客对于我们这些游客而言收获真的不少。

    2012-05-14 下午 4:26 [回复]
    • 重在坚持啊,总是有江郎才尽的感觉。。

      2012-05-15 下午 4:54 [回复]

发表评论



快捷键:Ctrl+Enter

无觅相关文章插件,快速提升流量