C114门户论坛百科APPEN| 举报 切换到宽版

亚星游戏官网

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

亚星游戏官网-yaxin222  大校

注册:2007-10-23

爱心徽章,08年为希翼小学奉献爱心纪念徽章

发表于 2013-3-27 17:12:59 |显示全部楼层
C6500E未知二层协议报文攻击导致脱管
震惊,思科高端交换机C6500E竟被中毒PC击败!前段时间,楼主企业网络出了点神奇的事情,企业部分的PC重启后无法上网,Ping网关出现了丢包,楼主登录到C6500E进行分析,发现远程连接不上,后通过管理数据口查看CPU使用率竟持续100%:
3-1.png

于是楼主开始对网络的流量进行分析,楼主发现在二层网络上存在大量的二层未知协议数据包,仔细分析报文,其目的MAC为二层网关地址(即C6500E设备本身的MAC地址),与设备上显示的自身MAC地址一致:
3-2.png

各种攻击报文抓包结果如下:
3-3.png

其特点为,目的MACC65E设备本身的MAC,但是以太类型字段全部为未知协议,如0x12340x79990x9111等等。
楼主尝试了如下方法对这些攻击报文进行防御:
1) 采用编号为200-299Protocol type-code access list进行防御;
该方法首先创建access-list 200,并指定未知协议号0x1234,动作为deny
创建policy-map和class-map绑定access-list 200;
3-4.png

policy-map下没有deny的选项,于是将该策略动作设置为空;
3-5.png

最后将该策略下发在端口入方向:
3-6.png

结果:无效,无法防止未知协议攻击,CPU冲高,设备脱管;
3-7.png

2) 采用IP access-list进行防御:
查看思科支撑的access-list,如下:
3-8.png

如果采用IP access-list,则deny选项里没有针对未知协议的防御功能:
3-9.png

因此IP access-list无法防御未知协议攻击;
3)采用48-bitMAC address access list进行防御:
发现不能指定某个未知协议,不能区分未知协议报文与正常报文。如果采用48-bit MAC address accesslist针对设备本身的MAC地址进行deny,那么连发送到设备的合法报文也会被deny,因此该方法行不通。
4) 采用MAC access-list进行防御,
在全局下创建MAC access-list,把某种未知协议例如0x1234的报文deny掉,目的MAC地址配置为本机MAC,
然后在接口下直接应用该MAC access-list,
这时设备CPU使用率很低,未知协议0x1234的攻击被拦截:
该方法虽能防御未知协议攻击,但弊端不少:
1、 只能在端口下直接应用Mac access-list,配置成policy-map之后在全局下应用无效;
2、 以太协议类型字段值范围为0x0000~0xFFFF,未知协议可能有60K之多,那么要屏蔽所有未知协议攻击,那么MAC access-list下将要配置60K以上的rule,大量消耗系统access-list资源;
3-10.png

各位网友是否遇到此类事情,欢迎共同探讨!

举报本楼

本帖有 2 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图  

GMT+8, 2024-11-30 10:34 , Processed in 0.159972 second(s), 19 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部
XML 地图 | Sitemap 地图