1、FPM(也叫NGACL)
FPM是Cisco IOS新一代的ACL,叫做Flexible Packet Matching,灵活的包匹配。
- 根据任意条件,无状态的匹配数据包的头部,负载,或者全部。
- 分析协议,更易于规则的创建。
- 用于替代传统的ACL,对特定的恶意流量的基础架构过滤。
如下是一个示例:
FPM的限制:
①无状态的,如果是有状态的,那和防火墙也没啥差别了。
②只能匹配IPv4单播包。
③不能去分析报文的IP options 。
④不支持tunnel或者MPLS接口。
⑤一些特殊的网卡FlexWAN Cards也不支持。
⑥非初始化的fragment也不能匹配。
FPM三种匹配流量的方式:
①使用协议头描述文件(Protocol Header Description File,PHDF);
②基于offset(偏移量)和length直接匹配流量;
③以上两种的混合。
比如,如下是ip.phdf的一部分(XML文件):
注意:可能以后配置都是xml or JSON的文件格式了!
2、举例说明FPM功能:
2-1、PHDF文件
我们看一下Router上的PHDF文件:
R1#dir system:/fpm/phdf/?
system:/fpm/phdf/ether.phdf system:/fpm/phdf/icmp.phdfsystem:/fpm/phdf/ip.phdf system:/fpm/phdf/tcp.phdfsystem:/fpm/phdf/udp.phdf例如我们查看ip.phdf文件:
R1#more system:/fpm/phdf/ip.phdf <<<这会显示出“1”中截图所示信息
2-2、以login invalid为例
R1尝试去Telnet R2,这里故意输错密码,可以看到如下结果:
R1#telnet 12.1.1.2
Trying 12.1.1.2 ... OpenUser Access VerificationUsername: ciscoPassword: % Login invalid <<<这个信息肯定是在PHDF文件中的一个信息Username:对这个过程进行分析:
其中的报文中,主要包含Telnet Data,这里面主要的信息是在建立Telnet远程连接时,输入的username,另一个是password,这里有10个包是包含了cisco这个信息(如果手速够快,多个字符也可能在一个包中)。另一个是错误的密码“123”有三个包。
注意:我们输入用户名cisco能看到,是因为对端回显,而不是我们键盘直接输入在显示器显示的效果,所以,我们这里抓取到了10个报文,而密码123是看不到的,没有回显,所以是3个报文。
后续出现的关键信息:
这里,我们就可以写class-map和policy-map去实现,让这个信息不出现在我们的显示中。还是如之前所说的,关键的参数是“偏移量”(也就是指定一个位置算起,到我们需要匹配的数据的地方,到底有多少个字节),然后是长度有多长字节,匹配的信息是哪些等。
例如这里吧invalid给deny掉:它的偏移量是10个字节(包含\r\n% Login)包括2个字节的空格,也就是在invalid出现之前,有10个字节,而invalid有7个字节(ASCII)。
3、配置操作:
3-1 加载PHDF文件
由于Telnet是TCP的,所以我们加载ip.phdf和tcp.phdf就好了
R1(config)#load protocol system:/fpm/phdf/ip.phdf
R1(config)#load protocol system:/fpm/phdf/tcp.phdf
3-2 配置Class-map
Class-map分为stack(堆栈类,就是匹配所有的TCP流量)和access-control(访问控制器类)
R1(config)#class-map type stack match-all ip-tcp
R1(config-cmap)#match field ip protocol eq 0x6 next tCP (IP协议号6-TCP;17-UDP;1-ICMP;47-GRE;50-ESP;51-AH)R1(config)#class-map type access-control match-all DENY-invalid
R1(config-cmap)#match field TCP source-port eq 23R1(config-cmap)#match field IP length eq 0x47 (这里是IP长度)R1(config-cmap)#match start TCP payload-start offset 10 size 7 string invalid (string invalid可以换为正则表达式regex [Ii][Nn][Vv][Aa][Ll][Ii][Dd])注意,关键是看从哪个头部开始计算,这里是TCP负载开始,如果是IP负载开始,那么offset就是30,如果是L3开始,那就还要加上IP头部,offset就是50。
命令分别如下:
R1(config-cmap)#match start IP payload-start offset 30 size 7 string invalid
R1(config-cmap)#match start l3-start payload-start offset 50 size 7 string invalid
另外,上面IP长度包中显示的是10进制,16进制为47:
3-3 配置Policy-map
Policy-map只是access-control类型的。
R1(config)#policy-map type access-control TCP-Policy
R1(config-pmap)#class DENY-invalidR1(config-pmap-c)#dropR1(config-pmap-c)#exitR1(config-pmap)#exitR1(config)#policy-map type access-control FPM-POlicyR1(config-pmap)#class ip-tcpR1(config-pmap-c)#service-policy TCP-Policy3-4 在接口调用Policy-map
R1(config)#int f0/0
R1(config-if)#service-policy type access-control input FPM-POlicy查看匹配情况:
R1#show policy-map type access-control interface f0/0
FastEthernet0/0 Service-policy access-control input: FPM-POlicy Class-map: ip-tcp (match-all) 39 packets, 2579 bytes 5 minute offered rate 0 bps Match: field IP protocol eq 0x6 next TCP Service-policy access-control : TCP-Policy Class-map: DENY-invalid (match-all) 3 packets, 255 bytes 5 minute offered rate 0 bps Match: field TCP source-port eq 23 Match: field IP length eq 0x47 Match: start TCP payload-start offset 10 size 7 string "invalid" drop Class-map: class-default (match-any) 36 packets, 2324 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: any Class-map: class-default (match-any) 0 packets, 0 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: any验证,输入了错误的密码后,一直卡在这里
R1#telnet 12.1.1.2
Trying 12.1.1.2 ... OpenUser Access VerificationUsername: ciscoPassword:在查看一下接口上的信息:
R1#show policy-map type access-control interface f0/0
FastEthernet0/0 Service-policy access-control input: FPM-POlicy Class-map: ip-tcp (match-all) 83 packets, 5648 bytes 5 minute offered rate 0 bps Match: field IP protocol eq 0x6 next TCP Service-policy access-control : TCP-Policy Class-map: DENY-invalid (match-all) 9 packets, 765 bytes 5 minute offered rate 0 bps Match: field TCP source-port eq 23 Match: field IP length eq 0x47 Match: start TCP payload-start offset 10 size 7 string "invalid" drop Class-map: class-default (match-any) 74 packets, 4883 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: any Class-map: class-default (match-any) 0 packets, 0 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: any