什么是本机防攻击？

CPU防攻击

CPU防攻击的核心是CPCAR（Control Plane Committed Access Rate），即基于协议报文的限速。设备支持通过命令行修改CPCAR，包括协议报文的CPCAR、上送到CPU的所有报文的CPCAR以及协议联动后的CPCAR。并且，在默认CPCAR不能满足业务需求时，支持动态自适应调整协议报文的默认CPCAR。

应用层协议联动功能

协议联动功能是指设备对基于会话连接的应用层数据的保护功能。当 OSPF、 BGP、 FTP 等协议会话连接建立后，基于协议的默认CPCAR就不再起作用，设备以协议联动设定的CPCAR对建立会话连接的报文进行限速。通常，协议联动设定的CPCAR要比默认CPCAR大很多，以此来保证业务运行的可靠性和稳定性。

动态自适应调整协议报文的默认CPCAR值

动态自适应调整协议报文的默认CPCAR值应用在用户接入相关的协议报文（如ARP协议）上，主要解决协议报文默认CPCAR值无法满足上送速率的场景。开启该功能后，设备会根据协议报文的丢包情况和CPU占用率调整默认CPCAR值。

用户级限速

用户侧主机遭受病毒攻击时向网络中发送大量的协议报文，导致设备的CPU占用率过高，性能下降，从而影响正常的业务。此时，管理员可以配置用户级限速功能。用户级限速功能是指基于用户MAC地址识别用户，对用户的特定报文进行限速，使得单个用户发起攻击时只对该用户进行限速，而不影响其他用户。与CPCAR基于设备对协议报文进行限速相比，基于用户MAC地址进行限速能够精确到每个用户，对正常用户的影响更小。其处理流程如下：

1. 设备对收到的用户协议报文的源MAC地址进行哈希计算，将收到的不同源MAC地址的报文放到不同的限速桶中。
2. 当单位时间内限速桶内的报文超过了限速值时，该限速桶会丢弃收到的报文。并且每隔一定时间对限速桶内的丢包数目进行统计，如果限速桶丢弃的报文数目超过限速值，设备会发送该限速桶的丢包日志。

攻击溯源

攻击溯源针对设备CPU的DOS攻击进行防御。通过对上送报文进行统计分析，将超过了配置阈值的报文视为用户攻击报文，并据报文信息找到攻击源用户、攻击源端口，并发送日志、告警告知管理员或直接进行惩罚。

其具体过程如下：

1. 报文解析：从IP地址、MAC地址以及端口三个维度对上送CPU的报文进行报文解析，其中端口通过“物理端口+VLAN”标识。
2. 流量分析：根据IP地址、MAC地址或者端口信息统计接收到的协议报文数量。
3. 攻击源识别：当单位时间上送CPU的报文数量超过了阈值时，则认为是攻击。
4. 识别后处理：当检测到攻击后，会发送日志、告警通知管理员或者直接实施惩罚，如丢弃攻击报文。
   
   攻击溯源原理

   此外，攻击溯源还提供了白名单功能。将合法用户加入到通过白名单中，设备不对白名单内的用户报文进行溯源和攻击惩罚处理，从而保证合法用户的报文能够正常上送CPU处理。白名单可以通过ACL或端口灵活设置。

攻击防范

攻击防范是在进行所有报文统一限速之前，通过分析经过设备的报文的内容和行为，判断报文是否具有攻击特征，并根据配置对具有攻击特征的报文执行一定的防范措施。攻击防范主要包含畸形报文攻击防范、分片报文攻击防范、TCP SYN泛洪攻击防范、UDP泛洪攻击防范和ICMP泛洪攻击防范。

畸形报文攻击

分片报文攻击

分片报文攻击是通过向目标设备发送分片出错的报文，使得目标设备在处理分片错误的报文时崩溃、重启或消耗大量的CPU资源，影响目标设备承载的业务正常运行。分片报文攻击防范是指设备实时检测出分片报文并予以丢弃或者限速处理，实现对本设备的保护。

分片报文攻击主要分为以下几类：

• 分片数量巨大攻击：同一IP报文中的分片数目超过8189个，造成设备重组分片报文时消耗大量CPU资源。
• 巨大Offset攻击：攻击者向目标设备发送一个Offset值大于8189的分片报文，导致目标设备需要分配巨大的内存空间来存放所有分片报文，消耗大量资源。
• 重复分片攻击 ：重复分片攻击就是把同样的分片报文多次向目标主机发送，造成目标主机的CPU和内存使用不正常。同样的分片包括完全相同的分片和报文不相同但offset相同的分片。
• Syndrop攻击：IP分片错误，第二片包含在第一片之中。即数据包中第二片IP包的偏移量小于第一片结束的位移，而且算上第二片IP包的Data，也未超过第一片的尾部。Syndrop攻击使用了TCP协议，Flag为SYN，而且带有载荷。
• 分片错误攻击：IP报文分片第二片包含在第一片之中，即数据包中第二片IP包的偏移量小于第一片结束的位移。根据采用的协议不同和有效荷载长度不同可分为Syndrop攻击、NewTear攻击、Bonk攻击和Nesta攻击。

对于分片数量巨大攻击、巨大Offset攻击、Syndrop攻击和分片错误攻击，直接丢弃所有分片报文。对于重复分片攻击，设备实现对分片报文进行CAR（Committed Access Rate）限速，保留首片，丢弃其余所有相同的重复分片，保证不对CPU造成攻击。

TCP SYN泛洪攻击

TCP SYN攻击利用了TCP三次握手的漏洞。在TCP的3次握手期间，当接收端（目标设备）收到来自发送端（攻击者）的初始SYN报文时，向发送端返回一个SYN+ACK报文。接收端在等待发送端的最终ACK报文时，该连接一直处于半连接状态。如果接收端最终没有收到ACK报文包，则重新发送一个SYN+ACK到发送端。如果经过多次重试，发送端始终没有返回ACK报文，则接收端关闭会话并从内存中刷新会话，从传输第一个SYN+ACK到会话关闭大约需要30秒。

在这段时间内，攻击者可能发送大量SYN报文到开放的端口，并且不回应接收端的SYN+ACK报文。接收端内存很快就会超过负荷，且无法再接收任何新的连接，并将现有的连接断开。

TCP SYN泛洪攻击

TCP SYN泛洪攻击防范即设备对TCP SYN报文进行速率限制，当目标设备每秒收到的SYN报文数量超过限速值就启动丢弃动作，保证设备受到攻击时资源不被耗尽。

UDP泛洪攻击

UDP泛洪攻击是指攻击者在短时间内向目标设备发送大量的UDP报文，导致目标设备负担过重而不能处理正常的业务。UDP泛洪攻击分为两类：

• Fraggle攻击：攻击者发送源地址为目标设备IP地址，目的地址为广播地址，目的端口号为7的UDP报文。如果该广播网络中有很多主机都启用了UDP响应请求服务，目标设备将会收到很多主机发送的UDP回应报文，设备处理这些报文会消耗CPU资源，造成系统繁忙，从而达到攻击效果。

Fraggle攻击

对于Fraggle攻击，设备开启UDP泛洪攻击防范功能后，默认UDP端口号为7的报文是攻击报文，直接将其丢弃。

• UDP诊断端口攻击：攻击者向目标设备的UDP诊断端口（7-echo，13-daytime，19-Chargen等UDP端口）发送大量UDP请求报文，形成泛洪，消耗网络带宽资源，并且目标设备为这些请求提供服务回应UDP报文时会消耗CPU资源，造成负担过重而不能处理正常的业务。

开启泛洪攻击防范功能后，设备将UDP端口为7、13和19的报文认为是攻击报文，直接丢弃。

ICMP泛洪攻击

网络管理员一般用Ping程序对网络进行监控和故障排除，大概过程如下：

1. 源设备向接收设备发出ICMP请求报文；
2. 接收设备接收到ICMP请求报文后，会向源设备回应一个ICMP响应报文。

如果攻击者向目标设备发送大量的ICMP请求报文，则目标设备会忙于处理这些请求，而无法继续处理其他的数据报文，造成对正常业务的冲击。

ICMP泛洪攻击

ICMP泛洪攻击防范即设备对ICMP报文进行速率限制，当目标设备每秒收到的ICMP报文数量超过限速值就启动丢弃动作，保证设备受到攻击时资源不被耗尽。