FAQ-如何定位常见的攻击,解决办法包括哪些

发布时间:  2015-02-13 浏览次数:  170 下载次数:  0
问题描述
如何定位常见的攻击,解决办法包括哪些?
解决方案
常见的攻击,可以通过以下步骤进行定位:
1. 清除上送CPU的报文统计计数。
2. 等待1分钟后,查看这段时间内上送CPU和丢弃的协议报文数量,如ICMP、TTL Expired、SSH、FTP等。如果上送或丢弃的报文数量较大,则可认为是攻击,如ICMP攻击、TTL Expired攻击、SSH流量攻击、FTP攻击等。
3. 通过IP源跟踪或者攻击溯源来确认攻击源。
对于这些攻击,可以在确认攻击源之后,通过在cpu-defend policy中配置黑名单功能来禁止该源的攻击上送控制平面,也可以通过配置auto-defend的自动惩罚功能来丢弃攻击报文。
另外,对于ICMP攻击,还可以针对该攻击源设备的ICMP报文速率进行抑制;对于SSH、FTP攻击,还可以通过配置流策略以丢弃攻击报文。

END