• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ER5100 ER5200 之间搭建IPsec VPN 被攻击

2018-04-16提问
  • 0关注
  • 1收藏,3177浏览
粉丝:0人 关注:0人

问题描述:

ER5100V201R014为被拨入端(总公司) 电信专线 固定IP

ER5200V201R014为拨入端(分公司) 电信专线 固定IP

两端之间均采用 “主模式”,开启了“DPD”,协商类型为:“IKE协商”;

已安全稳定使用一年多,最近一个月频繁出现VPN断链;断链后:ER5200V201R014为拨入端(分公司)VPN状态仍显示:连接在线状态(日志记录也并无异常)

经查看ER5100V201R014为被拨入端(总公司)的日志,发现每次VPN断链失效前,均有类似的记录,并且相关IP均为外地或国外,IP都不是我们公司的;

--------------------------

此现象在春节后,一直偶发性发生;

经过重新启动路由器,或者 重启 IPSEC功能 可暂时恢复正常。

本人对这些通讯报文均不懂,还请各位大神看看,帮忙出出主意,看如何防范或补救?

---------------------------

ER5100V201R014为被拨入端(总公司)的最近一次日志内容如下:


组网及组网描述:

日期时间 级别 信息来源 信息内容
2018/4/13 Debug VPN 520093697 安全策略[TO-SZ]: 删除IPSEC SA(SPI=0xbfa1f818)。
2018/4/13 Debug VPN 520093697 安全策略[TO-SZ]: 删除IPSEC SA(SPI=0x9f0d6874)。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到46.5.140.245:20707。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到46.5.140.245:42355。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到46.5.140.245:7060。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到46.5.140.245:55167。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到46.5.140.245:22116。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到46.5.140.245:24128。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到46.5.140.245:20871。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到46.5.140.245:20871。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:13410。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:24162。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:2322。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:42420。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:13410。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:55969。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:60570。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:46199。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:52711。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:7467。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:49347。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:15628。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:60570。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:53472。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:47043。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:7467。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:13523。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:3798。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:41529。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:55969。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:63990。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:3798。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:13410。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:2381。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:55969。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:49347。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:17485。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:35858。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:54522。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:53472。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:29308。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:60570。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:54522。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:29308。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:54522。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:41529。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:35858。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到45.76.132.145:52711。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:3465。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:51599。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:35732。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:4971。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:43456。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:3465。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:55132。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:35732。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:4971。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:43572。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:28251。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:35732。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:42514。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:3465。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:55765。
2018/4/13 Debug VPN 520093707 安全策略[(null)]: 发送PAYLOAD_MALFORMED通告信息到66.70.168.178:28251。
2018/4/13 Debug VPN 520093703 报文来自216.218.206.122:18723: 收到未知对端216.218.206.122的ISAKMP主模式协商请求。

-----------------------

这些均是全部开启状态的

IDS防范
  启用IDS防范功能
   丢弃攻击报文,不记入日志
   丢弃攻击报文,并记入日志

WAN口Ping扫描 UDP扫描 TCP SYN扫描
TCP NULL扫描 TCP Stealth FIN扫描 TCP Xmas Tree扫描
SYN Flood攻击 UDP Flood攻击 ICMP Flood攻击
Smurf攻击 WinNuke攻击 Fraggle攻击
Land攻击 IP Spoofing攻击 碎片包攻击
TearDrop攻击 Ping Of Death攻击  

最佳答案

这台路由器是不是只作为和总部建立IPsec VPN的出口,有没有从这台路由器上公网的需求?如果只是建立IPsec VPN的话,可以这样试试:

在wan口上做一个地址过滤,只允许接收来自对端公网地址,端口为500和4500的报文,其他的报文一律过滤掉,这样的话,不接受来自其他IP地址的协商报文,就可以保证正常的IPsec隧道不受影响

ER5100 wan口做地址过滤,操作打开是在哪里设置? 防火墙?入站通信缺省策略?

zhiliao_TyMFT 发表时间:2018-04-16
回复zhiliao_TyMFT:

设置入站通信策略

风干工程师肉干要不要 发表时间:2018-04-16

操作 序号 行为 源接口 源IP地址范围 源端口范围 目的IP地址 服务类型 生效时间 状态 描述 编辑 1 允许 WAN 121.35.**.*** 所有端口 192.168.1.0 所有服务 所有时间 启用 SZ固定

zhiliao_TyMFT 发表时间:2018-04-16

感觉这里不大对劲,默认是:禁止 ------------------ 入站通信策略设置 入站通信策略主要控制从因特网到局域网方向的数据流。可使用数据包的协议类型、源IP地址、源端口、目的IP地址、目的端口及生效时间来控制因特网中的计算机访问局域网中的资源。 入站通信缺省策略: 禁止 ------------------------------------ 新增策略 只能选择:允许

zhiliao_TyMFT 发表时间:2018-04-16
0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明