拒绝服务 (DoS)攻击最难阻止和防范的攻击之一,它的普遍以及难以驾驭在于它的本质是正常的网络流量。想想,当我们访问因特网时,我们浏览网页,收发邮件,听歌,上微博……其中我们创建了大量网络流量,想一想如果是50台机器,产生的流量是多么大。
DoS攻击就是这类正常的流量,攻击者能通过制造大量这种流量让网络和管理设备过载,缺乏处理和回应的资源,从而当接受到正常服务请求时无法对其作出正确回应。在这篇文章中,挨踢小茶将会介绍3种2层的技术来减少这种攻击所带来的影响,他们是Storm Control, Port Blocking和Protected Port。
Storm Control
首先介绍一下Storm Control,这种机制能减少广播所带来的不利影响,可以通过控制单播、多播和广播报文来管制网络。一共有3种方法控制流量:
- 全网的带宽百分比
- 每秒传输的比特数,用"bps"关键词定义
- 每秒传输的报文数,用"pps"关键词定义
同时,我们能对超过阀值做出相应动作:关闭端口或者发送一个SNMP trap报文。
其中的阀值被分为上限和下限,当流量超过阀值上限的时候,定义的相应动作将被执行。而只有流量恢复到达到阀值下限的时候,端口才会恢复到正常的状态。
(config-if)#storm-control {unicast | multicast | broadcast} level {HIGH_PERC [LOW_PERC] | bps HIGH_BPS [LOW_BPS] | pps HIGH_PPS [LOW_PPS]}
定义监控的网络流量阀值
(config-if)#storm-control action {shutdown | trap}
定义达到阀值上限后执行的动作
Protected Port
Protected Port和VlAN的定义是类似的,区别在于前者只分为non-protected port和protected port。Protected Port的特点在于同一个交换机上两个保护端口(这个特性只是本地有效)是不能相互通信的。但是non-protected port和protected port通信却是正常的。任何类型的端口都可以定义为保护端口,不管是access口还是trunk口。
现在,你一定想知道这个特性是如何减缓DoS的了。通过把可疑的端口和接关键业务(服务器群)的端口设置为protected port,他们之间就不能互相传输数据,只有控制信息会被传输。
注意:Protected Port不能和PVLAN一起使用
(config-if)#switchport protected
把端口配置为protected port
Port Blocking
首先需要注意的是Port blocking不是真正地阻止端口和它的通信,只有那些未知的流量会被阻止。也就是说,这种机制只会阻止那些交换机不知道目的地的流量(Unknown Unicast)。
Port blocking会直接丢弃这些封包,防止攻击者利用这个弱点进行攻击。
注意:这个特性只适用于那些固定设备,也就是说,如果一个网络设备不可用了(关机或者故障),它的ARP cach会超时老化,这个设备就不能在网络中使用,除非手动把该ARP记录添加到所有交换机上(当然你也可以配置ARP永不老化)。
(config-if)#switchport block {unicast | multicast}
配置未知目的地的单播或者多播
译自:http://blog.centilin.com/everything_it/storm-control-port-blocking-and-protected-port/
文章评论
了解了,努力!
呵呵, 感谢博主还把偶的网址还留着. 很不容易, 许多人翻译完之后就对内容持作者权了. 你的网站还做的真不错, 呵呵, 需要学习学习. 要么然偶都没有国内的流量进来... :)
@Angela Zou 哈哈,我尊重别人,别人才能尊重我嘛,而且对我来说举手之劳而已。反倒原作者如果有机会看到了对自己也是一种鼓励和动力不是么。
你的博客也非常棒!我现在才知道原来是个国人写的。。。 :grin:
@挨踢小茶 你写的范围还真是广阿, 我对VMWare都不怎么了解. 多数是做Juniper和Security, 还有一点点Wireless. 我写编程的少, 编程的话, 也是新手上路, 呵呵. :!:
要交换网址吗? 给我发个邮件吧, 当交个朋友.
@Angela Zou Vmware我只是停留在使用阶段而已……你见笑了,Juniper还真没接触过,是个新新手,Security我以后还蛮想向这个方面发展,多多指教啊。
友链加上了,以后好好交流交流哈哈。
谢谢博主分享了啊
内容是极易难求的知识,学习下!
流量攻击是最麻烦的。
@刘印博客 特别是DoS,很难防范。
@挨踢小茶 一般主机商不是有防范措施么?
@Yong 肯定有的,我这个是针对所有网络部署的机制,不仅仅针对主机哈哈。
@Yong 恩,一般都会有的,不过这些机制对所有网络都是有效的。
记得当前毕业论文就是写关于网络安全的,可是工作确是软件开发。被导师逼的。
@海纳百川 软件实现网络安全?我毕业论文是无线网络封包相关的,也是比较坑爹。
我那种小站应该没人攻击的吧?
@行畔博客 这些机制一般用来防范内部攻击的拉哈哈。小站慢慢也就变大了
自己开始写博客才真的了解到,每天坚持更新是一个多么难得的好习惯。好的博客对于我们这些游客而言收获真的不少。
@宁波最好的肛肠医院 重在坚持啊,总是有江郎才尽的感觉。。