DoS(Denial of Service,拒绝服务)攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。针对DoS攻击采用下列处理流程进行防护:
》对各种报文依据相应的流量门限值进行测速。
》如果流量超限则将报文丢弃;否则根据管理协议报文为高优先级、用户数据报文为低优先级、其他应用协议报文为中优先级的分类原则将其送入软件优先级队列。
管理协议报文包括:目的IP为本机的TELNET、SNMP、HTTP协议报文。
其他协议报文包括:802.11MAC管理、802.1X、ARP、DHCP、HWTACACS、ICMP、IGMP、MLD、LWAPP、ND、NTP、PIM、RADIUS。
注意事项
(1) ADOS报文流量攻击防护是专门针对协议报文目的地是无线控制器的攻击,访问目的地不是AC的协议报文不进行防护。
(2) 业务报文攻击防护是指经由AC转发的业务报文,这类报文的防护没有访问的目的地的限制。
(3) 在快转开启的情况下,ADOS攻击防护功能不起作用,所以需要关闭快转功能。
(4) ADOS攻击防护可能检测攻击来源的MAC,IP或是 端口。
一、组网需求
无线客户端Client1和Client2通过无线局域网络连到无线控制器AC上。
》要求用户对无线控制器AC的管理报文的数量不能超过AC的门限。管理报文包括目的IP地址均为本设备网关的TELNET报文、SNMP报文、HTTP报文。正常情况下CPU分配给管理报文的处理资源有限,过多的管理报文会对CPU造成攻击。当管理报文流量超过系统门限时,将超出门限部分的管理报文丢弃并记录攻击统计。
》同时要求对其它的协议报文的流量进行门限值的限定,超过门限的丢弃。其它的协议报文包括:802.11MAC管理、802.1X、ARP、DHCP、HWTACACS、ICMP、IGMP、MLD、LWAPP、ND、NTP、PIM、RADIUS。
二、使用版本详细命令
请下载文档查阅:http://pan.baidu.com/s/1cjTLr
三、主要配置步骤
1、配置AC
(1)使能ADOS防攻击
<AC>system-view [AC]anti-attack enable
(2)取消快转使能后,ADOS防攻击才生效
[AC]undo l2fw fast-forwarding
(3)配置AC的地址
[AC]interface vlan 1 [AC-Vlan-interface1]ip address 1.1.1.250 24
(4) 配置用户地址池
[AC]dhcp enable [AC]dhcp server ip-pool test [AC-dhcp-pool-test]network 1.1.1.0 24
(5)配置AP1
[AC]wlan service-template 1 clear [AC-wlan-st-1]ssid test_ap1 [AC-wlan-st-1]authentication-method open-system [AC-wlan-st-1]bind WLAN-ESS 1 [AC-wlan-st-1]service-template enable [AC-wlan-st-1]quit [AC]wlan radio-policy 1 [AC-wlan-rp-1]quit [AC]wlan ap test_ap1 model wa2100 [AC-wlan-ap-test_ap1]serial-id hhx1 [AC-wlan-ap-test_ap1]radio 1 type 11g [AC-wlan-ap-test_ap1-radio-1]service-template 1 [AC-wlan-ap-test_ap1-radio-1]radio-policy 1 [AC-wlan-ap-test_ap1-radio-1]radio enable [AC-wlan-ap-test_ap1-radio-1]quit [AC-wlan-ap-test_ap1]quit
四、验证结果
请查看步骤下载的文档
