文件名称:本机防范攻击-iso 14229-1-2020
文件大小:34.49MB
文件格式:PDF
更新时间:2024-07-31 00:16:18
华为
6.7 本机防范攻击 6.7.1 本机防攻击概述(AR2200) 本机防攻击可保护 CPU,解决 CPU 因处理大量正常上送 CPU 的报文或者恶意攻击报文造成的业 务中断问题。 本机防攻击简介 在网络中,存在着大量针对 CPU 的恶意攻击报文以及需要正常上送 CPU 的各类报文。针对 CPU 的恶意攻击报文会导致 CPU 长时间繁忙的处理攻击报文,从而引发其他业务的断续甚至系统的中 断;大量正常的报文也会导致 CPU 占用率过高,性能下降,从而影响正常的业务。 为了保护 CPU,保证 CPU 对正常业务的处理和响应,设备提供了本机防攻击功能。本机防攻击针 对的是上送 CPU 的报文,主要用于保护设备自身安全,保证已有业务在发生攻击时的正常运转, 避免设备遭受攻击时各业务的相互影响。 本机防攻击基本原理 本机防攻击包括攻击溯源和 CPU 防攻击两部分。 攻击溯源针对 DOS 攻击进行防御。设备通过对上送 CPU 的报文进行分析统计,然后对统计 的报文设置一定的阈值,将超过阈值的报文判定为攻击报文,再对这些攻击报文根据报文信 息找出攻击源用户或者攻击源接口,最后通过日志、告警等方式提醒管理员以便管理员采用 一定的措施来保护设备,或者直接丢弃攻击报文以对攻击源进行惩罚。 如图 1 所示,攻击溯源包括报文解析、流量分析、攻击源识别和发送日志告警通知管理员以 及实施惩罚四个过程。