控制层面的攻击
下列列舉了控制層面主要存在的攻擊:
?? ?1. 慢路徑拒絕服務攻擊(slow-path denial of service attack)
?? ?攻擊方式:癱瘓正常的服務。(如果持續以進程交換的方式處理大量的數據包,那么設備將不堪重負)
?? ?設備CPU的3中功能:
?? ?? 處理控制層面的流量
?? ?? 處理管理層面流量
?? ?? 處理慢路徑數據面流量
?? ?所以上述3中功能任意遭到攻擊,都會對另外兩種功能構成威脅。
?? ?
?? ?2. 路由協議欺騙
?? ?路由協議決定了數據在給定網絡中的傳輸路徑,其安全性至關重要,若攻擊者向路由協議注入虛假的路由信息,則可以重路由流量,重路由的目的在于篡改流量的傳輸路徑,或攔截流量供攻擊者使用。
?? ?
?? ?消除控制層面的攻擊
?? ?控制面監管(CoPP)
?? ?控制面監管(Control Plane Policing)能有效抵御針對控制面的攻擊,其原理和普通的流量監管機制相同。CoPP監控訪問控制面的流量,對流量的類型和數量進行管理,以達到保護控制面的目的。
?? ?
?? ?設備的路由處理器(route processor)被劃分為兩個主要部分:
?? ?? 控制面:包括運行在進程級并控制最高級IOS功能的進程組。
?? ?? 中央交換引擎:負載非分布式線卡接口收到的數據包進行高速路由。線卡處理器通常負責對分布式接口收到的數據包進行高速路由。
?? ?
?? ?CoPP提供了兩種監管類型,一種為獨立的監管類型,另一種為中央交換引擎實施的監管類型。CoPP包括以下兩種控制面板監管服務:
?? ?? 分布式控制面板服務(distribute control plane service)
?? ?? 聚合控制面板服務(aggregate control plane service)
?? ?
?? ?注意:所有控制面流量(包括哪些支持分布式處理線卡收到的流量)都會配置聚合控制面服務,一般而言,應該首先考慮使用分布式控制面服務,再使用聚合控制面服務。只有流量的目的地確定為控制面,上述兩種控制面服務才能對流量進行操作,此外,僅當設備做出路由決定之后,輸入控制面服務才會執行,輸出控制面服務在流量離開控制面后執行,且盡在聚合控制面服務中可用。
?? ?
?? ?目的地被歸為控制面的流量包括:
?? ?? 路由協議控制數據包
?? ?? 目標地址為本地設備IP的數據包
?? ?? 管理協議數據包
?? ?
配置MQC(模塊化服務質量命令行界面):
?? ?1. 定義流量類型:
?? ?
?? ?2. 定義流量策略:
?? ?
?? ?
???
?? ?3. 應用流量策略:
?? ?
?? ?配置示例:
?? ?
????
????
?? ?如果采用支持分布式控制面服務的線卡,則上面的命令略有變化,下列配置顯示了將流量策略ssh-policy應用到控制面線卡插槽1的命令,本例屬于分布式控制面服務應用的一個例子。
???
?
?? ?
?? ?
?? ?
轉載于:https://www.cnblogs.com/MomentsLee/p/10162788.html
總結
- 上一篇: [OI]字符串DP小结
- 下一篇: 跨域请求的问题