HC13031051攻击防范实验手册.docx
《HC13031051攻击防范实验手册.docx》由会员分享,可在线阅读,更多相关《HC13031051攻击防范实验手册.docx(24页珍藏版)》请在冰点文库上搜索。
HC13031051攻击防范实验手册
HCIE-Security攻击防范上机指导书
(学员用书)
ISSUE2.00
目录
1防火墙攻击防范实验3
1.1搭建攻击测试环境3
1.2DHCPSnooping技术7
1.3TCP反向源探测方式的SYNFlood攻击防范11
1.4基于接口的Flood攻击防范14
1.5配置地址扫描攻击防范功能18
1.6配置URPF20
1防火墙攻击防范实验
1.1搭建攻击测试环境
实验目的
安装SEAL攻击软件。
组网设备
一台Windos32位主机
实验拓扑图
略
配置步骤
Setp1双击Seal安装文件,开始安装Seal。
Setp2安装所有的Seal组件。
Setp3指定安装目录,点击安装Install按钮。
Setp4完成安装Seal,并启动Seal程序。
Setp5启动Seal程序,首次启动。
在开始所有程序中找到Seal程序目录,点击SEALAgent,启动Agent,然后在点击Seal,启动Seal程序。
Setp6启动Seal程序后,进入license认证页面。
Seal需要安装License才可使用。
有俩种方法可以激活License:
●输入华为员工W3账号和密码,并点击OK。
此时保证PC连接华为公司内网,方可认证成功。
●导入License文件,并点击OK。
此时方式需要收集本PC的ESN,并填写至指定电子流中(
Setp7完成License的操作后,添加相应的组件。
Attacker用于模拟DDos攻击。
AppReplay用于模拟入侵攻击。
Setp8配置Attacker页面,完成初始化配置。
1)点击设备管理,在Devicelist处添加AddDevice
2)输入主机IP地址为127.0.0.1(固定本机环回地址),并点击Bind。
3)选择使用的网卡(可以通过IP地址判断具体的网卡),并选择Apply,并点击OK。
完成初始化配置。
1.2DHCPSnooping技术
实验目的
DHCPServer仿冒者攻击
中间人攻击与IP/MACSpoofing攻击
改变CHADDR值的DoS攻击
组网设备
PC1台、DHCPServer1台、USG防火墙1台
实验拓扑图
设备上应用DHCPSnooping典型组网图示
组网需求:
如图所示,DHCPSnooping的作用就如同在Client和DHCPServer之间建立的一道防火墙。
DHCPSnooping是一种DHCP安全特性,通过MAC地址限制,DHCPSnooping安全绑定、IP+MAC绑定、Option82特性等功能过滤不信任的DHCP消息,解决了设备应用DHCP时遇到DHCPDoS攻击、DHCPServer仿冒攻击、ARP中间人攻击及IP/MACSpoofing攻击的问题。
配置步骤
Setp1将接口加入安全区域,并配置域间包过滤,以保证网络基本通信正常
Setp2配置USG为DHCPRelay
#配置接口GigabitEthernet0/0/2接口地址
system-view
[USG]sysnameDHCP-Relay
[DHCP-Relay]interfaceGigabitEthernet0/0/2
[DHCP-Relay-GigabitEthernet0/0/2]ipaddress100.1.1.124
[DHCP-Relay-GigabitEthernet0/0/2]quit
#配置要实现DHCP中继功能接口
[DHCP-Relay]interfaceGigabitEthernet0/0/1
[DHCP-Relay-GigabitEthernet0/0/1]ipaddress10.1.1.25424
[DHCP-Relay-GigabitEthernet0/0/1]dhcpselectrelay
[DHCP-Relay-GigabitEthernet0/0/1]iprelayaddress100.1.1.2
[DHCP-Relay-GigabitEthernet0/0/1]quit
Setp3开启DHCPSnooping功能
#启用全局和接口DHCPSnooping功能
[DHCP-Relay]dhcpsnoopingenable
[DHCP-Relay]interfaceGigabitEthernet0/0/1
[DHCP-Relay-GigabitEthernet0/0/1]dhcpsnoopingenable
[DHCP-Relay-GigabitEthernet0/0/1]quit
[DHCP-Relay]interfaceGigabitEthernet0/0/2
[DHCP-Relay-GigabitEthernet0/0/2]dhcpsnoopingenable
Setp4配置Trusted接口
#配置DHCPServer侧接口为“Trusted”
[DHCP-Relay-GigabitEthernet0/0/2]dhcpsnoopingtrusted
[DHCP-Relay-GigabitEthernet0/0/2]quit
说明:
DHCPClinet侧所有接口开启DHCPsnooping(如果用户侧接口没有配置“Trusted”模式,那么开启了接口的Snooping特性后,接口模式默认为“Untrusted”),这样可以防止DHCPServer仿冒者攻击。
Setp5配置对特定报文检查和DHCPSnooping绑定表
#配置在DHCPClinet侧接口进行ARP报文和IP报文检查
[DHCP-Relay]interfaceGigabitEthernet0/0/1
[DHCP-Relay-GigabitEthernet0/0/1]dhcpsnoopingcheckarpenable
[DHCP-Relay-GigabitEthernet0/0/1]dhcpsnoopingcheckipenable
#配置在DHCPClinet侧接口进行DHCPRequest报文检查
[DHCP-Relay-GigabitEthernet0/0/1]dhcpsnoopingcheckdhcp-requestenable
#配置在DHCPClinet侧接口进行CHADDR检查
[DHCP-Relay-GigabitEthernet0/0/1]dhcpsnoopingcheckdhcp-chaddrenable
#配置静态绑定表项
[DHCP-Relay-GigabitEthernet0/0/1]dhcpsnoopingbind-tablestaticip-address10.1.1.1mac-address00e0-fc5e-008a
[DHCP-Relay-GigabitEthernet0/0/1]quit
Setp6配置DHCP上送速率限制
#配置DHCP上送速率检查
[DHCP-Relay]dhcpsnoopingcheckdhcp-rate90
[DHCP-Relay]dhcpsnoopingcheckdhcp-rateenable
Setp7配置Option82
#配置DHCP报文中携带接口信息
[DHCP-Relay]interfaceGigabitEthernet0/0/1
[DHCP-Relay-GigabitEthernet0/0/1]dhcpoption82insertenable
[DHCP-Relay-GigabitEthernet0/0/1]quit
Setp8配置对没有表项报文的转发行为
#配置对全局ARP报文和IP报文转发行为
[DHCP-Relay]dhcpsnoopingnomatch-packetarpactiondiscard
[DHCP-Relay]dhcpsnoopingnomatch-packetipactiondiscard
#配置对接口ARP报文和IP报文转发行为
[DHCP-Relay]interfaceGigabitEthernet0/0/1
[DHCP-Relay-GigabitEthernet0/0/1]dhcpsnoopingnomatch-packetarpactiondiscard
[DHCP-Relay-GigabitEthernet0/0/1]dhcpsnoopingnomatch-packetipactiondiscard
结果检查
#查看全局和接口视图下DHCPSnooping功能状态
[DHCP-Relay]displaydhcpsnoopingglobal
dhcpsnoopingenable
dhcpsnoopingnomatch-packetipactiondiscard
dhcpsnoopingnomatch-packetarpactiondiscard
dhcpsnoopingcheckdhcp-rateenable
dhcpsnoopingcheckdhcp-ratealarmenable
dhcpsnoopingcheckdhcp-rate90
dhcpsnoopingcheckdhcp-ratealarmthreshold40
#查看DHCPSnooping绑定表表项信息
[DHCP-Relay]displaydhcpsnoopingbind-tablestatic
bind-table:
ifnamevrfvsip/cvlanmac-addressip-addresstplease
-------------------------------------------------------------------------
GE0/0/10000-0000/000000e0-fc5e-008a10.1.1.1S0
-------------------------------------------------------------------------
binditemcount:
1binditemtotalcount:
1
#显示接口上DHCPSnooping相关信息
[DHCP-Relay]displaydhcpsnoopinginterfaceGigabitEthernet0/0/1
dhcpsnoopingenable
dhcpsnoopingcheckarpenable
dhcpsnoopingalarmarpenable
dhcpsnoopingalarmarpthreshold10
dhcpsnoopingnomatch-packetarpactiondiscard
dhcpsnoopingcheckipenable
dhcpsnoopingnomatch-packetipactiondiscard
dhcpsnoopingalarmdhcp-replyenable
dhcpsnoopingalarmdhcp-replythreshold10
dhcpsnoopingcheckdhcp-chaddrenable
dhcpsnoopingalarmdhcp-chaddrenable
dhcpsnoopingalarmdhcp-chaddrthreshold10
dhcpsnoopingcheckdhcp-requestenable
dhcpsnoopingalarmdhcp-requestenable
dhcpsnoopingalarmdhcp-requestthreshold10
arptotal0
iptotal0
dhcp-requesttotal0
chaddr&srcmactotal0
dhcp-replytotal0
[DHCP-Relay]displaydhcpoption82interfaceGigabitEthernet0/0/1
dhcpoption82insertenable
[DHCP-Relay]displaydhcpsnoopinginterfaceGigabitEthernet0/0/2
dhcpsnoopingenable
dhcpsnoopingtrusted
arptotal0
iptotal0
dhcp-requesttotal0
chaddr&srcmactotal0
dhcp-replytotal0
1.3TCP反向源探测方式的SYNFlood攻击防范
实验目的
了解TCP反向源探测方式的SYNFlood攻击防范典型组网和配置方法。
组网设备
PC2台、USG5000系列防火墙1台。
实验拓扑图
基于IP地址的SYNFlood攻击防范实验组网图示
配置步骤(命令行)
Setp1完成统一安全网关基本配置。
(略)
Setp2配置域间防火墙策略。
(略)
Setp3完成需求配置。
#进入G1/0/3,启用攻击防范功能。
[USG]interfaceGigabitEthernet1/0/3
[USG_A-GigabitEthernet1/0/3]anti-ddosflow-statisticenable
#SYN报文的大于2000个/秒,启用SYNFlood源探测攻击防范功能。
[USG_A]anti-ddossyn-floodsource-detectalert-rate2000
Setp4通过Sear发起攻击流量。
#打开Sear测试软件的Attacker测试模块,在右侧的TestTemplate中,双击选择SynFlood。
这是看到左侧TestCase出现了Synflood测试项目。
#SelectAgent绑定使用的物理网卡,依次选择Port1,然后选择Bind,然后选择合适的网卡,然后Apply,最后选择OK按钮。
#CaseContent是测试参数,填写相应的测试参数,主要是源IP,真实的目的IP,其他保持默认即可。
注:
目的IP地址应该为真实的目的IP地址,否则将会发送全F的广播包。
或者将AutomaticGetNextHOPMAC取消勾选,填写任意的Mac地址。
#最后选择开始按钮,并通过滑动条,调整攻击报文的速度。
配置步骤(Web)
Setp1完成统一安全网关基本配置。
(略)
Setp2配置域间防火墙策略。
(略)
Setp3完成需求配置。
#进入G1/0/3,启用攻击防范功能。
#SYN报文的大于2000个/秒,启用SYNFlood源探测攻击防范功能。
Setp4通过Sear发起攻击流量。
(略)
结果检查
●SYNFlood攻防配置前,被攻击PC接受流量明显增加,CPU占用率增加,SYNFlood攻防配置后,被攻击PC流量及CPU恢复正常。
●SYNFlood攻防配置前,防火墙存在大量TCPSYN半连接会话,TTL5秒,SYNFlood攻防配置后,TCPSYN半连接会话无法建立。
●SYNFlood攻防配置后,防火墙打印SYNFlood攻击日志。
●SYNFlood攻防配置后,查看防火墙丢包统计,存在大量TCPSYN报文丢弃。
1.4基于接口的Flood攻击防范
实验目的
了解基于接口的Flood攻击防范典型组网和配置方法,包括防范UDPFlood、ICMPFlood、HTTPFlood、HTTPSFlood、DNSFlood和SIPFlood攻击。
组网设备
主机2台、USG系列防火墙1台
实验拓扑图
基于接口攻击防范实验组网图示
组网需求
●需要隔离外部恶意用户对接口GigabitEthernet1/0/3的Flood攻击行为。
配置步骤(命令行)
Setp1统一安全网关基本配置。
Setp2配置域间防火墙策略。
Setp3需求配置。
#进入G1/0/3,启用攻击防范功能。
[USG]interfaceGigabitEthernet1/0/3
[USG_A-GigabitEthernet1/0/3]anti-ddosflow-statisticenable
#并配置接口的攻击防范报文速率上限阈值。
[USG]anti-ddosdns-request-floodsource-detectmodebasicalert-rate3000
[USG]anti-ddosdns-reply-floodsource-detectalert-rate3000
[USG]anti-ddossip-floodsource-detectalert-rate3000
[USG]anti-ddosudp-flooddynamic-fingerprint-learnalert-speed100
[USG]anti-ddosudp-frag-flooddynamic-fingerprint-learnalert-speed100
[USG]anti-ddoshttps-floodsource-detectalert-rate3000
[USG]anti-ddoshttp-flooddefendalert-rate10000
[USG]anti-ddoshttp-floodsource-detectmodebasic
[USG]firewalldefendarp-floodinterfaceGigabitEthernet0/0/0max-rate500
Setp4通过Sear发起攻击流量。
#打开Sear测试软件的Attacker测试模块,在右侧的TestTemplate中,双击选择SynFlood。
这是看到左侧TestCase出现了Synflood测试项目。
#SelectAgent绑定使用的物理网卡,依次选择Port1,然后选择Bind,然后选择合适的网卡,然后Apply,最后选择OK按钮。
#CaseContent是测试参数,填写相应的测试参数,主要是源IP,真实的目的IP,其他保持默认即可。
#最后选择开始按钮,并通过滑动条,调整攻击报文的速度。
配置步骤(Web)
Setp1统一安全网关基本配置。
(略)
Setp2配置域间防火墙策略。
(略)
Setp3需求配置。
#进入G1/0/3,启用攻击防范功能。
#并配置接口的攻击防范报文速率上限阈值。
Setp4通过Sear发起攻击流量。
(略)
结果检查
●Flood攻防配置前,被攻击PC接受流量明显增加,CPU占用率增加,Flood攻防配置后,被攻击PC流量及CPU恢复正常。
●Flood攻防配置后,防火墙打印Flood攻击日志。
1.5配置地址扫描攻击防范功能
实验目的
了解地址扫描攻击防范功能与配置。
组网设备
主机2台、USG系列防火墙1台
实验拓扑图
地址扫描攻击防范实验组网图示
组网需求:
USG的以太网接口GigabitEthernet1/0/2连接Trust安全区域,以太网接口GigabitEthernet1/0/3连接Untrust域。
需要保护内部网络不受地址扫描的攻击。
配置步骤(命令行)
Setp1完成统一安全网关基本配置。
Setp2配置域间防火墙策略。
Setp3完成需求配置。
#启用黑名单功能。
[USG]firewallblacklistenable
#启用地址扫描攻击防范功能。
[USG]firewalldefendip-sweepenable
#启用攻击防范的动作是丢弃。
[USG_A]firewalldefendactiondiscard
#配置地址扫描攻击防范功能。
[USG]firewalldefendip-sweepmax-rate1000
[USG]firewalldefendip-sweepblacklist-timeout20
Setp4通过Sear发起攻击流量。
#打开Sear测试软件的Attacker测试模块,在右侧的TestTemplate中,双击选择ICMPscanattack。
这是看到左侧TestCase出现了ICMPscanattack测试项目。
#SelectAgent绑定使用的物理网卡,依次选择Port1,然后选择Bind,然后选择合适的网卡,然后Apply,最后选择OK按钮。
#CaseContent是测试参数,填写相应的测试参数,主要是源IP,真实的目的IP,其他保持默认即可。
#最后选择开始按钮,并通过滑动条,调整攻击报文的速度。
配置步骤(Web)
Setp1完成统一安全网关基本配置。
(略)
Setp2配置域间防火墙策略。
(略)
Setp3完成需求配置。
#启用黑名单功能。
#启用地址扫描攻击防范功能。
#配置地址扫描攻击防范功能。
Setp4通过Sear发起攻击流量。
(略)
结果检查
1.扫描攻防配置后,防火墙打印IP扫描攻击日志。
2.扫描攻防配置后,攻击PC列入黑名单,无法通过防火墙访问网络,timeout时间过后恢复正常访问。
1.6配置URPF
介绍单播逆向路径转发的配置举例。
实验目的
了解单播逆向路径转发配置。
组网设备
USG系列防火墙2台
实验拓扑图
本例在ISP入口点启动IPv6URPF功能。
客户NGFW_A与ISPNGFW_B直连,在NGFW_B的接口GigabitEthernet1/0/1上启动IPv6URPF。
要求严格检查,源地址在IPv6ACL2010中的报文在任何情况下都能通过检查;在NGFW_A的接口GigabitEthernet1/0/1上启动IPv6URPF,要求严格检查,开启缺省路由匹配。
配置URPF组网图
配置步骤
Setp1配置NGFW_BIPv6功能。
[NGFW_B]ipv6
Setp2配置IPv6ACL2010,允许2002:
:
1/64网段的流量通过IPv6URPF检查