Перейти к содержанию

CoPP. Настройка auto-defend

Описание и назначение функции и выполняемой настройки

Auto-defend — механизм автоматической защиты управляющей плоскости в рамках CoPP (cpu-defend), предназначенный для обнаружения и реакции на аномальный или атакующий трафик, направленный на CPU.

Функция обеспечивает:

  • автоматическое выявление источников атакующего трафика;
  • применение защитных действий без участия администратора;
  • ограничение или блокировку источников перегрузки CPU;
  • генерацию уведомлений о событиях.

Основные сценарии использования:

  • защита от DoS/DDoS атак на управляющую плоскость;
  • автоматическое подавление всплесков служебного трафика (например, TCP, ICMP);
  • локализация источников аномальной активности.

Необходимые условия и предварительные требования

  • Создана и активирована политика cpu-defend.
  • Настроен базовый CoPP (при необходимости — CAR, blacklist/whitelist).
  • Понимание типов трафика, поступающих на CPU.
  • Определены допустимые уровни нагрузки (threshold).
  • Устройство работает в штатном режиме.

Основная информация о применяемых технологиях

Auto-defend

Auto-defend — механизм динамической защиты CPU, который:

  • отслеживает интенсивность трафика;
  • сравнивает её с заданным порогом (threshold);
  • определяет источник атаки (trace-type);
  • применяет защитное действие (action).

Алгоритм работы:

  1. Фиксируется превышение порога трафика.
  2. Выполняется идентификация источника.
  3. Применяется защитное действие (например, error-down порта).
  4. При необходимости генерируется событие (alarm).

Trace-type

Trace-type определяет способ идентификации источника атаки:

  • по IP-адресу;
  • по MAC-адресу;
  • по комбинации параметров (IP, MAC, VLAN, порт).

Выбор влияет на точность локализации источника.

Auto-port-defend

Auto-port-defend — механизм защиты на уровне порта:

  • применяется к интерфейсу, через который поступает атакующий трафик;
  • может переводить порт в защитное состояние;
  • использует таймер aging-time для восстановления.

Назначение применяемой команды/конфигурации

1
2
3
4
5
6
7
8
9
SW4(config-policy-1)#auto-defend ?
  action          Action
  alarm           Auto-defend alarm
  attack-packet   Attack-packet
  disable         Disable auto-defend
  enable          Enable auto-defend
  protocol        protocol type
  threshold       Auto-defend threshold
  trace-type      Trace-type
Основные параметры:

  • auto-defend enable / disable
    Включение или отключение механизма.

  • auto-defend threshold <value>
    Порог срабатывания (интенсивность трафика).

  • auto-defend protocol <type> enable
    Выбор протоколов для контроля.

  • auto-defend action <type>
    Действие при обнаружении атаки.

  • auto-defend alarm enable
    Включение уведомлений о событиях.

  • auto-defend attack-packet sample default
    Настройка обработки пакетов, определённых как атакующие.

1
2
3
4
5
6
7
8
SW4(config-policy-1)#auto-defend trace-type
  source-ip                Source-ip
  source-ip-portvlan       Source-ip + Source-portvlan
  source-mac               Source-mac
  source-mac-ip            Source-mac + Source-ip
  source-mac-ip-portvlan   Source-mac + Source-ip + Source-portvlan
  source-mac-portvlan      Source-mac + Source-portvlan
  source-portvlan          Source-portvlan
  • auto-defend trace-type <type>
    Определяет способ идентификации источника атаки.
1
2
3
SW4(config-policy-1)#auto-port-defend ?
  aging-time   aging-time
  protocol     protocol type

  • auto-port-defend aging-time <seconds>
    Время восстановления порта после блокировки.

  • auto-port-defend protocol <type> enable
    Применение защиты для указанного протокола.

Пример конфигурации

1
2
3
4
5
6
7
8
SW4(config-policy-1)#auto-defend action error-down
SW4(config-policy-1)#auto-defend alarm enable
SW4(config-policy-1)#auto-defend attack-packet sample default
SW4(config-policy-1)#auto-defend protocol tcp enable
SW4(config-policy-1)#auto-defend threshold 256
SW4(config-policy-1)#auto-defend trace-type source-mac
SW4(config-policy-1)#auto-port-defend aging-time 40
SW4(config-policy-1)#auto-port-defend protocol tcp enable
Настройка:

  • включена автоматическая защита для TCP;
  • задан порог срабатывания;
  • используется идентификация по MAC-адресу;
  • при атаке порт переводится в error-down;
  • включено восстановление через 40 секунд.

Изучение состояния устройства

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
SW4#sh cpu-defend policy 1
  Policy Name                             :1
  Description                             :
  Priority                                :blacklist user-defined-flow whitelist
...
 Attack-source-trace Configuration
  Attack - source - trace                 :enable
  Attack-source-trace Threshold           :256
  Attack - source - trace Alarm           :enable
  Attack-source-trace Alarm Threshold     :128
  All Packet PPS                          :200
...
Команда отображает:

  • состояние механизма auto-defend;
  • параметры threshold;
  • включение alarm;
  • состояние отслеживания источников атак.

Просмотр конфигурации

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
SW4#show run
!
 auto-defend enable
 auto-defend threshold 256
 auto-defend alarm enable
 auto-defend action  error-down
 auto-port-defend aging-time  40
 auto-defend trace-type source-mac
 auto-defend protocol tcp enable
 auto-port-defend protocol tcp enable
!

История возникновения команды

Команды применимы для:

  • аппаратных платформ CIT серии L3200;
  • версий программного обеспечения v1.0.2 и выше.

Версия ПО

Функциональность является актуальной, начиная с версии ПО v1.0.2.

Ссылка на внешнюю документацию

Стандарт

  • RFC 6192 — Protecting the Router Control Plane