CoPP (Control Plane Policing)

- CoPP (Control Plane Policing)

 

 

- Server가 아닌 Network Device를 대상으로 수행되는

  DoS 공격을 방어할 수 있다.

 

- 만약 공격자가 Network Device에 대한 DoS 공격을 수행할 경우

  정상적인 Routing 및 기타 작업들이 처리되지 않기 때문에 서비스

  제공에 문제가 발생

- Control Plane에 대한 부하가 심할 경우 Console 접근 등의

  Management Plane 부분도 문제가 발생하여 정상적인 접근이 힘들다.

- 때문에 Data Plane에서 Control Plane으로 이동하는 

  경로를 하나의 가상 interface처럼 지정하여 QoS를 적용시키는

  개념이다.

 

QoS

Policing : 초당 정해진 8000bps 미만이면 버린다.

shaping : 초당 정해진 8000bps 미만이면 자르지 않고 스무스하게 남은 것은 버퍼에 보관한다.

 

공격은 nmap

 

nmap : 포트 시큐리티 툴

           os 버전이 무엇인지 해당 프로세스의 버전. 정보 수집

 

 

nmap -sS 10.10.10.252 -p 23

-> QoS nmap 공격 설정

 

 

 

 

hping3 10.10.10.252 -p 23 -S --flood

-> syn flooding 공격 설정

 

<DSW1>

 

 

conf t

access-list 100 permit tcp any host 10.10.10.252 eq 23

access-list 101 permit icmp any host 10.10.10.252

 

 

 

 

 class-map match-any CoPP_T -> class map을 불러온다.

 

 

 

 

match access-group 100   

match access-group 101

exit

policy-map CoPP_P

class CoPP_T

 

 

 

 

police 8000 conform-action transmit exceed-action drop

-> 이러한 트래픽이 들어왔을 때 초 당 8000번까지 허가한다.

    8000 비트가 넘으면 버린다.

control-plane

 

 

 

 

service-policy input CoPP_P  -> 정책을 비교한다. 인터페이스에 적용

 

 

- 확인 방법

 

 show policy-map control-plane

 

 

 

-> show policy map control-plane으로 100번 telnet, 101번은 icmp

 

- Test는 VLAN 10 내부 Router에서 [ping 10.10.10.252 repeat 10000] 명령어로

  ping test를 해보자

 

 

 

- CoPP 적용 전에는 100% 처리가 돼서 응답이 돌아오고 CoPP 적용 후에는 허용된 만큼의

   트래픽에 대한 응답이 돌아온다.

 

- CoPP 적용 후에도 DSW1이 목적지가 아니라 단순히 DSW1을 경유하는 ICMP의 경우는

  Data Plane을 통해서만 전송되기 때문에 CoPP를 적용받지 않는다.

 

 

Broadcast

 

1) Local (255.255.255.255) ex) 192.168.10.0 /24

2) Direct (모든 Network의 마지막 주소) -> 192.168.10.255

    + helper-address

 

 

Direct broadcast

- IP 브로드캐스트

1. 다이렉트 브로드 캐스트 (DIrected Broadcast)

- 특정 네트워크로만 전송할 수 있도록 하는 연결방식을 말하며, 호스트 부분은 모두 1인것을 의미한다.

2.로컬 브로드캐스트(Local Broadcast)

- 해당 인터페이스와 연결되어 있는 모든 라우터들에게 전송할 수 있도록 하는 연결방식을 말하며

특정 호스트 부분 없이 모두 전송한다.

ex)255.255.255.255

 

 

<Direct-broadcast Test>

 

<DSW1 / DSW2>

 

 

 

conf t

int vlan 10

ip helper-address 10.10.50.255

int fa 1/12

ip directed-broadcast

- 해당 interface에 네트워크 브로드캐스트 주소로 직접 응답을 요청하는 것이다.