- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
17-攻擊檢測及防範命令
本章節下載: 17-攻擊檢測及防範命令 (186.62 KB)
1.1.1 attack-defense apply policy
1.1.3 attack-defense tcp fragment enable
1.1.6 defense icmp-flood action drop-packet
1.1.7 defense icmp-flood enable
1.1.9 defense icmp-flood rate-threshold
1.1.10 defense scan add-to-blacklist
1.1.11 defense scan blacklist-timeout
1.1.14 defense syn-flood action
1.1.15 defense syn-flood enable
1.1.17 defense syn-flood rate-threshold
1.1.18 defense udp-flood action drop-packet
1.1.19 defense udp-flood enable
1.1.21 defense udp-flood rate-threshold
1.1.22 display attack-defense policy
1.1.23 display attack-defense statistics interface
1.1.25 display flow-statistics statistics
1.1.26 display flow-statistics statistics interface
1.1.28 reset attack-defense statistics interface
1.1.30 signature-detect action drop-packet
1.1.31 signature-detect large-icmp max-length
【命令】
attack-defense apply policy policy-number
undo attack-defense apply policy
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
policy-number:攻擊防範策略編號,取值範圍為1~128。
【描述】
attack-defense apply policy命令用來在接口上應用攻擊防範策略。undo attack-defense apply policy命令用來恢複缺省情況。
缺省情況下,接口上未應用任何攻擊防範策略。
需要注意的是:
· 在接口上應用的攻擊防範策略必須提前通過attack-defense policy命令創建。
· 一個接口上隻能應用一個攻擊防範策略(可多次配置,最後一次配置的有效),但一個攻擊防範策略可應用到多個接口上。
相關配置可參考命令attack-defense policy和display attack-defense policy。
【舉例】
# 將攻擊防範策略1應用到接口GigabitEthernet1/1上。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/1
[Sysname-GigabitEthernet1/1] attack-defense apply policy 1
【命令】
attack-defense policy policy-number [ interface interface-type interface-number ]
undo attack-defense policy policy-number [ interface interface-type interface-number ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
policy-number:攻擊防範策略編號,取值範圍為1~128。
interface interface-type interface-number:指定獨享此策略的接口。其中,interface-type interface-number表示接口類型和接口編號。若指定該參數,則表示該策略僅能應用於這一個指定的接口上,否則可應用於多個接口上。
【描述】
attack-defense policy命令用來創建一個攻擊防範策略,並進入攻擊防範策略視圖。undo attack-defense policy命令用來刪除指定的攻擊防範策略。
缺省情況下,不存在任何攻擊防範策略。
相關配置可參考命令display attack-defense policy。
【舉例】
# 創建攻擊防範策略1。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1]
attack-defense tcp fragment enable命令用來開啟TCP分片攻擊防範功能。
undo attack-defense tcp fragment enable命令用來關閉TCP分片攻擊防範功能。
【命令】
attack-defense tcp fragment enable
undo attack-defense tcp fragment enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【描述】
attack-defense tcp fragment enable命令用來開啟TCP分片攻擊防範功能。
undo attack-defense tcp fragment enable命令用來關閉TCP分片攻擊防範功能。
缺省情況下,TCP分片攻擊防範功能處於開啟狀態。
【舉例】
# 開啟TCP分片攻擊防範功能。
<Sysname> system-view
[Sysname] attack-defense tcp fragment enable
【命令】
blacklist enable
undo blacklist enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
blacklist enable命令用來使能黑名單功能。undo blacklist enable命令用來恢複缺省情況。
缺省情況下,黑名單功能處於未使能狀態。
黑名單功能使能後,可以手工或自動添加黑名單表項。自動添加黑名單功能可與掃描攻擊防範功能以及用戶登錄認證功能進行配合,關於掃描攻擊防範功能的具體配置請參見命令defense scan add-to-blacklist。
相關配置可參考命令display attack-defense policy和defense scan。
【舉例】
# 使能黑名單功能。
<Sysname> system-view
【命令】
blacklist ip source-ip-address [ timeout minutes ]
undo blacklist { all | ip source-ip-address [ timeout ] }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
source-ip-address:加入黑名單的IP地址,用於匹配報文的源IP。該IP地址不能為廣播地址、127.0.0.0/8、D類地址或E類地址。
all:指定所有的黑名單表項。
timeout minutes:指定黑名單表項的老化時間。其中minutes表示老化時間,取值範圍為1~1000,單位為分鍾。若不配置該參數,那麼該黑名單表項永不老化,除非用戶手動將其刪除。
【描述】
blacklist ip命令用來添加黑名單表項。將指定IP地址加入黑名單後,設備將會過濾來自這個IP地址的所有報文。undo blacklist命令用來刪除黑名單表項或取消指定黑名單表項的老化時間。
需要注意的是:
· undo blacklist ip source-ip-address timeout命令用來取消為source-ip-address配置的老化時間,並將該黑名單表項恢複為永不老化。
· 所有的黑名單表項隻有在黑名單功能處於使能狀態的情況下才生效。
· 已經存在的黑名單表項的老化時間可以修改,修改後的值立即生效。
相關配置可參考命令blacklist enable和display blacklist。
【舉例】
# 將IP地址192.168.1.2加入黑名單,指定其老化時間為20分鍾。
<Sysname> system-view
[Sysname] blacklist ip 192.168.1.2 timeout 20
【命令】
defense icmp-flood action drop-packet
undo defense icmp-flood action
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
defense icmp-flood action drop-packet命令用來配置對ICMP Flood攻擊報文的處理方式為丟棄。undo defense icmp-flood action命令用來恢複缺省情況。
缺省情況下,檢測到ICMP Flood攻擊後,僅輸出告警日誌。
相關配置可參考命令defense icmp-flood enable、defense icmp-flood rate-threshold、defense icmp-flood ip和display attack-defense policy。
【舉例】
# 在攻擊防範策略1中配置丟棄ICMP Flood攻擊報文。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense icmp-flood action drop-packet
【命令】
defense icmp-flood enable
undo defense icmp-flood enable
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
defense icmp-flood enable命令用來使能ICMP Flood攻擊防範。undo defense icmp-flood enable命令用來恢複缺省情況。
缺省情況下,ICMP Flood攻擊防範處於未使能狀態。
相關配置可參考命令defense icmp-flood rate-threshold、defense icmp-flood ip、defense icmp-flood action drop-packet和display attack-defense policy。
【舉例】
# 在攻擊防範策略1中使能ICMP Flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense icmp-flood enable
【命令】
defense icmp-flood ip ip-address rate-threshold high rate-number [ low rate-number ]
undo defense icmp-flood ip ip-address [ rate-threshold ]
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
ip-address:指定要保護的IP地址。該IP地址不能為廣播地址、127.0.0.0/8、D類地址或E類地址。
high rate-number:指定攻擊防範的觸發閾值。其中,rate-number為向指定IP地址每秒發送的ICMP報文數目,取值範圍為1~65535。使能ICMP Flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送ICMP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了ICMP Flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。
low rate-number:指定攻擊檢測的恢複閾值。其中,rate-number為向指定IP地址每秒發送的ICMP報文數目,取值範圍為1~65535,缺省值為觸發閾值的3/4。當處於攻擊防範狀態的設備監測到向指定IP地址發送ICMP報文的速率低於該恢複閾值時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【描述】
defense icmp-flood ip命令用來對指定IP地址配置ICMP Flood攻擊防範參數,包括觸發閾值和恢複閾值。undo defense icmp-flood ip命令用來取消對指定IP地址的ICMP Flood攻擊防範參數配置。
缺省情況下,未對任何指定IP地址配置ICMP Flood攻擊防範參數。
每個攻擊防範策略下最多可以同時對32個IP地址配置ICMP Flood攻擊防範參數。
相關配置可參考命令defense icmp-flood enable、defense icmp-flood action drop-packet和display attack-defense policy。
【舉例】
# 指定針對IP地址192.168.1.2的ICMP Flood攻擊防範參數,觸發閾值為2000,恢複閾值為1000。當設備監測到向該IP地址每秒發送的ICMP報文數持續達到或超過2000時,啟動攻擊防範措施;當設備監測到該值低於1000時,認為攻擊結束,並恢複為攻擊檢測狀態。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense icmp-flood ip 192.168.1.2 rate-threshold high 2000 low 1000
【命令】
defense icmp-flood rate-threshold high rate-number [ low rate-number ]
undo defense icmp-flood rate-threshold
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
high rate-number:指定攻擊防範的觸發閾值。其中,rate-number為向某IP地址每秒發送的ICMP報文數目,取值範圍為1~65535。使能ICMP Flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送ICMP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了ICMP Flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。
low rate-number:指定攻擊檢測的恢複閾值。其中,rate-number為向某IP地址每秒發送的ICMP報文數目,取值範圍為1~65535。當處於攻擊防範狀態的設備監測到向某IP地址發送ICMP報文的速率低於該恢複閾值時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【描述】
defense icmp-flood rate-threshold命令用來配置ICMP Flood攻擊防範的全局參數,包括觸發閾值和恢複閾值。對於沒有專門配置ICMP Flood攻擊防範參數的IP地址,設備采用該全局參數設置來進行保護。undo defense icmp-flood rate-threshold命令用來恢複缺省配置。
缺省情況下,觸發閾值為每秒1000個報文數,恢複閾值為每秒750個報文數。
閾值的取值需要根據實際網絡應用場景進行調整,通常情況下網絡中的ICMP報文流量相對TCP流量、UDP流量而言較小,因此可以適當調小觸發閾值;若到被保護網絡的帶寬較小,可承受的流量壓力較小,則建議調小恢複閾值,反之,可以將恢複閾值調大一些。
相關配置可參考命令defense icmp-flood enable、defense icmp-flood action drop-packet和display attack-defense policy。
【舉例】
# 指定ICMP Flood攻擊防範的全局參數,觸發閾值為3000,恢複閾值為1000。當設備監測到向某IP地址每秒發送的ICMP報文數持續達到或超過3000時,啟動攻擊防範措施;當設備監測到該值低於1000時,認為攻擊結束,並恢複為攻擊檢測狀態。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense icmp-flood rate-threshold high 3000 low 1000
【命令】
defense scan add-to-blacklist
undo defense scan add-to-blacklist
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
defense scan add-to-blacklist命令用來使能掃描攻擊防範的黑名單添加功能。undo defense scan add-to-blacklist命令用來恢複缺省情況。
缺省情況下,掃描攻擊防範的黑名單添加功能處於未使能狀態。
在掃描攻擊防範使能的情況下,若設備監測到某IP地址發起的新建連接的速率達到或超過指定閾值(由defense scan max-rate命令配置),則認為該IP地址發起了掃描攻擊,並丟棄該IP地址的後續報文,直到監測值低於閾值才認為攻擊結束。若同時使能了掃描攻擊防範的黑名單添加功能,則設備會將檢測到的掃描攻擊報文的源IP地址加入黑名單,由黑名單對攻擊報文進行過濾,該黑名單表項在指定的老化時間(由defense scan blacklist-timeout命令配置)後被刪除。
需要注意的是:
· 要使掃描攻擊防範添加的黑名單生效,必須保證黑名單功能處於使能狀態。
· 掃描攻擊檢測自動添加某黑名單表項後,如果在短時間內(目前為1秒)手動將其刪除,則係統不會再次添加,因為係統會把再次檢測到的攻擊報文認為是同一次攻擊尚未結束的報文。
相關配置可參考命令defense scan blacklist-timeout、defense scan enable、defense scan max-rate和blacklist enable。
【舉例】
# 使能掃描攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense scan enable
# 指定啟動掃描攻擊防範的連接速率閾值為每秒2000個連接。
[Sysname-attack-defense-policy-1] defense scan max-rate 2000
# 配置將檢測到的掃描攻擊報文的源IP地址加入黑名單,黑名單表項的老化時間為20分鍾。
[Sysname-attack-defense-policy-1] defense scan add-to-blacklist
[Sysname-attack-defense-policy-1] defense scan blacklist-timeout 20
[Sysname-attack-defense-policy-1] quit
# 為使黑名單添加功能生效,使能黑名單功能。
[Sysname] blacklist enable
【命令】
defense scan blacklist-timeout minutes
undo defense scan blacklist-timeout
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
minutes:黑名單表項的老化時間,取值範圍為1~1000,單位為分鍾。
【描述】
defense scan blacklist-timeout命令用來配置掃描攻擊防範添加的黑名單的老化時間。undo defense scan blacklist-timeout命令用來恢複缺省情況。
缺省情況下,黑名單表項的老化時間為10分鍾。
相關配置可參考命令defense scan add-to-blacklist、defense scan enable、defense scan max-rate和blacklist enable。
【舉例】
# 配置掃描攻擊防範添加的黑名單的老化時間為20分鍾。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense scan blacklist-timeout 20
【命令】
defense scan enable
undo defense scan enable
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
defense scan enable命令用來使能掃描攻擊防範。undo defense scan enable命令用來恢複缺省情況。
缺省情況下,掃描攻擊防範處於未使能狀態。
在掃描攻擊防範使能的情況下,若設備監測到某IP地址發起的新建連接的速率達到或超過指定閾值(由defense scan max-rate命令配置),則認為該IP地址發起了掃描攻擊,並丟棄該IP地址的後續報文,直到監測值低於閾值才認為攻擊結束。
相關配置可參考命令defense scan add-to-blacklist、defense scan blacklist-timeout、defense scan max-rate和blacklist enable。
【舉例】
# 使能掃描攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense scan enable
【命令】
defense scan max-rate rate-number
undo defense scan max-rate
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
rate-number:表示每秒新建連接的數目閾值,取值範圍為1~10000。
【描述】
defense scan max-rate命令用來配置啟動掃描攻擊防範的連接速率閾值。undo defense scan max-rate命令用來恢複缺省情況。
缺省情況下,連接速率閾值為每秒4000個連接。
在掃描攻擊防範使能的情況下,若設備監測到某IP地址發起的新建連接的速率達到或超過指定閾值,則認為該IP地址發起了掃描攻擊,並丟棄該IP地址的後續報文,直到監測值低於閾值才認為攻擊結束。
相關配置可參考命令defense scan add-to-blacklist、defense scan blacklist-timeout、defense scan enable和blacklist enable。
【舉例】
# 使能掃描攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense scan enable
# 指定啟動掃描攻擊防範的連接速率閾值為每秒2000個連接。
[Sysname-attack-defense-policy-1] defense scan max-rate 2000
【命令】
defense syn-flood action drop-packet
undo defense syn-flood action
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
drop-packet:表示丟棄SYN Flood攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有新建連接的報文都會被丟棄。
【描述】
defense syn-flood action命令用來配置對SYN Flood攻擊報文的處理方式。undo defense syn-flood action命令用來恢複缺省情況。
缺省情況下,僅輸出告警日誌。
相關配置可參考命令defense syn-flood enable和display attack-defense policy。
【舉例】
# 配置對SYN Flood攻擊報文的處理方式為丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense syn-flood action drop-packet
【命令】
defense syn-flood enable
undo defense syn-flood enable
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
defense syn-flood enable命令用來使能SYN Flood攻擊防範。undo defense syn-flood enable命令用來恢複缺省情況。
缺省情況下,SYN Flood攻擊防範處於未使能狀態。
相關配置可參考命令display attack-defense policy和defense syn-flood。
【舉例】
# 在攻擊防範策略1中使能SYN Flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense syn-flood enable
【命令】
defense syn-flood ip ip-address rate-threshold high rate-number [ low rate-number ]
undo defense syn-flood ip ip-address [ rate-threshold ]
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
ip-address:指定要保護的IP地址。該IP地址不能為廣播地址、127.0.0.0/8、D類地址或E類地址。
high rate-number:指定攻擊防範的觸發閾值。其中,rate-number為向指定IP地址每秒發送的SYN報文數目,取值範圍為1~65535。使能SYN Flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送SYN報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了SYN Flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。
low rate-number:指定攻擊檢測的恢複閾值。其中,rate-number為向指定IP地址每秒發送的SYN報文數目,取值範圍為1~65535,缺省值為觸發閾值的3/4。當處於攻擊防範狀態的設備監測到向指定IP地址發送SYN報文的速率低於該恢複閾值時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。若不指定該參數,則恢複閾值為觸發閾值的3/4。
【描述】
defense syn-flood ip命令用來對指定IP地址配置SYN Flood攻擊防範參數,包括觸發閾值和恢複閾值。undo defense syn-flood ip命令用來取消對指定IP地址的SYN Flood攻擊防範參數配置。
缺省情況下,未對任何指定IP地址配置SYN Flood攻擊防範參數。
每個攻擊防範策略下可以指定多個要保護的IP地址。
相關配置可參考命令defense syn-flood enable、defense syn-flood action drop-packet和display attack-defense policy。
【舉例】
# 指定針對IP地址192.168.1.2的SYN Flood攻擊防範參數,觸發閾值為2000,恢複閾值為1000。當設備監測到向該IP地址每秒發送的SYN報文數持續達到或超過2000時,啟動攻擊防範措施;當設備監測到該值低於1000時,認為攻擊結束,並恢複為攻擊檢測狀態。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense syn-flood ip 192.168.1.2 rate-threshold high 2000 low 1000
【命令】
defense syn-flood rate-threshold high rate-number [ low rate-number ]
undo defense syn-flood rate-threshold
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
high rate-number:指定攻擊防範的觸發閾值。其中,rate-number為向某IP地址每秒發送的SYN報文數目,取值範圍為1~65535。使能SYN Flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送SYN報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了SYN Flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。
low rate-number:指定攻擊檢測的恢複閾值。其中,rate-number為向某IP地址每秒發送的SYN報文數目,取值範圍為1~65535。當處於攻擊防範狀態的設備監測到向某IP地址發送SYN報文的速率低於該恢複閾值時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【描述】
defense syn-flood rate-threshold命令用來配置SYN Flood攻擊防範的全局參數,包括觸發閾值和恢複閾值。對於沒有專門配置SYN Flood攻擊參數的IP地址,設備采用全局的參數設置來進行保護。undo defense syn-flood rate-threshold命令用來恢複缺省情況。
缺省情況下,觸發閾值為每秒1000個報文數,恢複閾值為每秒750個報文數。
閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的SYN報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。若到被保護網絡的帶寬較小,可承受的流量壓力較小,則建議調小恢複閾值,反之,可以將恢複閾值調大一些。
相關配置可參考命令defense syn-flood enable和display attack-defense policy。
【舉例】
# 指定SYN Flood攻擊防範的全局參數,觸發閾值為3000,恢複閾值為1000。當設備監測到向某IP地址每秒發送的SYN報文數持續達到或超過3000時,啟動攻擊防範措施;當設備監測到該值低於1000時,認為攻擊結束,並恢複為攻擊檢測狀態。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense syn-flood rate-threshold high 3000 low 1000
【命令】
defense udp-flood action drop-packet
undo defense udp-flood action
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
defense udp-flood action drop-packet命令用來配置對UDP Flood攻擊報文的處理方式為丟棄。undo defense udp-flood action命令用來恢複缺省情況。
缺省情況下,檢測到UDP Flood攻擊後,僅輸出告警日誌。
相關配置可參考命令defense udp-flood enable、defense udp-flood rate-threshold、defense udp-flood ip和display attack-defense policy。
【舉例】
# 在攻擊防範策略1中配置丟棄後續的UDP Flood攻擊報文。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense udp-flood action drop-packet
【命令】
defense udp-flood enable
undo defense udp-flood enable
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
defense udp-flood enable命令用來使能UDP Flood攻擊防範。undo defense udp-flood enable命令用來恢複缺省情況。
缺省情況下,UDP Flood攻擊防範處於未使能狀態。
相關配置可參考命令defense udp-flood rate-threshold、defense udp-flood ip、defense udp-flood action drop-packet和display attack-defense policy。
【舉例】
# 在攻擊防範策略1中使能UDP Flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense udp-flood enable
【命令】
defense udp-flood ip ip-address rate-threshold high rate-number [ low rate-number ]
undo defense udp-flood ip ip-address [ rate-threshold ]
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
ip-address:指定要保護的IP地址。該IP地址不能為廣播地址、127.0.0.0/8、D類地址或E類地址。
high rate-number:指定攻擊防範的觸發閾值。其中,rate-number為向指定IP地址每秒發送的UDP報文數目,取值範圍為1~65535。使能UDP Flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送UDP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了UDP Flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。
low rate-number:指定攻擊檢測的恢複閾值。其中,rate-number為向指定IP地址每秒發送的UDP報文數目,取值範圍為1~65535,缺省值為觸發閾值的3/4。當處於攻擊防範狀態的設備監測到向指定IP地址發送UDP報文的速率低於該恢複閾值時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。若不指定該參數,則恢複閾值為觸發閾值的3/4。
【描述】
defense udp-flood ip命令用來對指定IP地址配置UDP Flood攻擊防範參數,包括觸發閾值和恢複閾值。undo defense udp-flood ip命令用來取消對指定IP地址的UDP Flood攻擊防範參數配置。
缺省情況下,未對任何指定IP地址配置UDP Flood攻擊防範參數。
每個攻擊防範策略下最多可以同時對32個IP地址配置UDP Flood攻擊防範參數。
相關配置可參考命令defense udp-flood enable、defense udp-flood action drop-packet和display attack-defense policy。
【舉例】
# 指定針對IP地址192.168.1.2的UDP Flood攻擊防範參數,觸發閾值為2000,恢複閾值為1000。當設備監測到向該IP地址每秒發送的UDP報文數持續達到或超過2000時,啟動攻擊防範措施;當設備監測到該值低於1000時,認為攻擊結束,並恢複為攻擊檢測狀態。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense udp-flood ip 192.168.1.2 rate-threshold high 2000 low 1000
【命令】
defense udp-flood rate-threshold high rate-number [ low rate-number ]
undo defense udp-flood rate-threshold
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
high rate-number:指定攻擊防範的觸發閾值。其中,rate-number為向某IP地址每秒發送的UDP報文數目,取值範圍為1~65535。使能UDP Flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送UDP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了UDP Flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。
low rate-number:指定攻擊檢測的恢複閾值。其中,rate-number為向某IP地址每秒發送的UDP報文數目,取值範圍為1~65535。當處於攻擊防範狀態的設備監測到向某IP地址發送UDP報文的速率低於該恢複閾值時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【描述】
defense udp-flood rate-threshold命令用來配置啟動UDP Flood攻擊防範的全局參數,包括觸發閾值和恢複閾值。對於沒有專門配置UDP Flood攻擊防範參數的IP地址,設備采用該全局參數來進行保護。undo defense udp-flood rate-threshold命令用來恢複缺省情況。
缺省情況下,觸發閾值為每秒1000個報文數,恢複閾值為每秒750個報文數。
閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象的UDP報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。若到被保護網絡的帶寬較小,可承受的流量壓力較小,則建議調小恢複閾值,反之,可以將恢複閾值調大一些。
相關配置可參考命令defense udp-flood enable、defense udp-flood action drop-packet和display attack-defense policy。
【舉例】
# 指定UDP Flood攻擊防範的全局參數,觸發閾值為3000,恢複閾值為1000。當設備監測到向某IP地址每秒發送的UDP報文數持續達到或超過3000時,啟動攻擊防範措施;當設備監測到該值低於1000時,認為攻擊結束,並恢複為攻擊檢測狀態。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] defense udp-flood rate-threshold high 3000 low 1000
【命令】
display attack-defense policy [ policy-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
policy-number:攻擊防範策略編號,取值範圍為1~128。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display attack-defense policy命令用來顯示攻擊防範策略的配置信息,主要包括各類型攻擊防範的使能情況、對攻擊報文的處理方式和相關的閾值參數。
如果不指定參數policy-number,則顯示所有攻擊防範策略的摘要信息。
相關配置可參考命令attack-defense policy。
【舉例】
# 顯示攻擊防範策略1的配置信息。
<Sysname> display attack-defense policy 1
Attack-defense Policy Information
------------------------------------------------------------
Policy number : 1
Bound interfaces : GigabitEthernet1/1
------------------------------------------------------------
Smurf attack-defense : Enabled
ICMP redirect attack-defense : Disabled
ICMP unreachable attack-defense : Disabled
Large ICMP attack-defense : Enabled
Max-length : 250 bytes
TCP flag attack-defense : Enabled
Tracert attack-defense : Enabled
Fraggle attack-defense : Enabled
WinNuke attack-defense : Enabled
LAND attack-defense : Enabled
Source route attack-defense : Enabled
Route record attack-defense : Enabled
Scan attack-defense : Enabled
Add to blacklist : Enabled
Blacklist timeout : 10 minutes
Max-rate : 1000 connections/s
Signature-detect action : Drop-packet
--------------------------------------------------------------------------
ICMP flood attack-defense : Enabled
ICMP flood action : Syslog
ICMP flood high-rate : 2000 packets/s
ICMP flood low-rate : 750 packets/s
ICMP flood attack-defense for specific IP addresses:
IP High-rate(packets/s) Low-rate(packets/s)
192.168.1.1 1000 500
192.168.2.1 2000 1000
--------------------------------------------------------------------------
UDP flood attack-defense : Enabled
UDP flood action : Drop-packet
UDP flood high-rate : 2000 packets/s
UDP flood low-rate : 750 packets/s
UDP Flood attack-defense for specific IP addresses:
IP High-rate(packets/s) Low-rate(packets/s)
192.168.1.1 1000 500
192.168.2.1 2000 500
--------------------------------------------------------------------------
SYN flood attack-defense : Enabled
SYN flood action : Drop-packet
SYN flood high-rate : 2000 packets/s
SYN flood low-rate : 750 packets/s
SYN Flood attack-defense for specific IP addresses:
IP High-rate(packets/s) Low-rate(packets/s)
192.168.1.1 1000 750
192.168.2.1 2000 1000
表1-1 display attack-defense policy命令顯示信息描述表
|
字段 |
描述 |
|
Policy number |
攻擊防範策略編號 |
|
Bound interfaces |
攻擊防範策略應用的接口名 |
|
Smurf attack-defense |
Smurf攻擊防範的狀態 |
|
ICMP redirect attack-defense |
ICMP Redirect攻擊防範的狀態 |
|
ICMP unreachable attack-defense |
ICMP Unreachable攻擊防範的狀態 |
|
Large ICMP attack-defense |
Large ICMP攻擊防範的狀態 |
|
Max-length |
ICMP報文所允許的最大長度 |
|
TCP flag attack-defense |
TCP Flag攻擊防範的狀態 |
|
Tracert attack-defense |
Tracert攻擊防範的狀態 |
|
Fraggle attack-defense |
Fraggle攻擊防範的狀態 |
|
WinNuke attack-defense |
WinNuke攻擊防範的狀態 |
|
LAND attack-defense |
LAND攻擊防範的狀態 |
|
Source route attack-defense |
Source Route攻擊防範的狀態 |
|
Route record attack-defense |
Route Record攻擊防範的狀態 |
|
Scan attack-defense |
掃描攻擊防範的狀態 |
|
Add to blacklist |
掃描攻擊防範的黑名單添加功能狀態 |
|
Blacklist timeout |
黑名單的老化時間 |
|
Max-rate |
每秒新建連接的數目閾值 |
|
Signature-detect action |
對單包攻擊報文的處理方式,包括丟棄(Drop-packet)和輸出告警日誌(Syslog) |
|
ICMP flood attack-defense |
ICMP Flood攻擊防範的狀態 |
|
ICMP flood action |
對ICMP Flood攻擊報文的處理方式,包括丟棄(Drop-packet)和輸出告警日誌(Syslog) |
|
ICMP flood high-rate |
ICMP Flood攻擊防範的觸發閾值 |
|
ICMP flood low-rate |
ICMP Flood攻擊檢測的恢複閾值 |
|
ICMP flood attack-defense for specific IP addresses |
對指定IP地址的ICMP Flood攻擊防範配置 |
|
UDP flood attack-defense |
UDP Flood攻擊防範的狀態 |
|
UDP flood action |
對UDP Flood攻擊報文的處理方式,包括丟棄(Drop-packet)和輸出告警日誌(Syslog) |
|
UDP flood high-rate |
UDP Flood攻擊防範的觸發閾值 |
|
UDP flood low-rate |
UDP Flood攻擊檢測的恢複閾值 |
|
UDP flood attack on IP |
對指定IP地址的UDP Flood攻擊防範配置 |
|
SYN flood attack-defense |
SYN Flood攻擊防範的狀態 |
|
SYN flood action |
對SYN Flood攻擊報文的處理方式,包括丟棄(Drop-packet)和輸出告警日誌(Syslog) |
|
SYN flood high-rate |
SYN Flood攻擊防範的觸發閾值 |
|
SYN flood low-rate |
SYN Flood攻擊檢測的恢複閾值 |
|
SYN flood attack on IP |
對指定IP地址的SYN Flood攻擊防範配置 |
# 顯示所有攻擊防範策略的概要配置信息。
<Sysname> display attack-defense policy
Attack-defense Policy Brief Information
------------------------------------------------------------
Policy Number Bound Interface
1 GigabitEthernet1/1
50 None
128 GigabitEthernet1/2
表1-2 display attack-defense policy命令顯示信息描述表
|
字段 |
描述 |
|
Policy number |
攻擊防範策略編號 |
|
Bound Interface |
攻擊防範策略應用的接口名 |
【命令】
display attack-defense statistics interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
interface-type interface-number:接口類型和接口編號。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display attack-defense statistics interface命令用來顯示接口上的攻擊防範統計信息,主要包括檢測到的攻擊次數以及丟棄的攻擊報文數。
相關配置可參考命令attack-defense policy和attack-defense apply policy。
【舉例】
# 顯示接口GigabitEthernet1/1上的攻擊防範統計信息。
<Sysname> display attack-defense statistics interface gigabitethernet 1/1
Attack-defense Statistics Information
------------------------------------------------------------
Interface : GigabitEthernet1/1
------------------------------------------------------------
Attack policy number : 1
Fraggle attacks : 1
Fraggle packets dropped : 100
ICMP redirect attacks : 1
ICMP redirect packets dropped : 100
ICMP unreachable attacks : 1
ICMP unreachable packets dropped : 100
LAND attacks : 1
LAND attack packets dropped : 100
Large ICMP attacks : 1
Large ICMP packets dropped : 100
Route record attacks : 1
Route record packets dropped : 100
Source route attacks : 1
Source route packets dropped : 100
Smurf attacks : 1
Smurf packets dropped : 100
TCP flag attacks : 1
TCP flag packets dropped : 100
Tracert attacks : 1
Tracert packets dropped : 100
WinNuke attacks : 1
WinNuke packets dropped : 100
Scan attacks : 1
Scan attack packets dropped : 100
SYN flood attacks : 1
SYN flood packets dropped : 100
ICMP flood attacks : 1
ICMP flood packets dropped : 100
UDP flood attacks : 1
UDP flood packets dropped : 100
表1-3 display attack-defense statistics interface命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
攻擊防範策略應用的接口名 |
|
Attack policy number |
攻擊防範策略編號 |
|
Fraggle attacks |
Fraggle攻擊次數 |
|
Fraggle packets dropped |
丟棄的Fraggle報文數 |
|
ICMP redirect attacks |
ICMP Redirect攻擊次數 |
|
ICMP redirect packets dropped |
丟棄的ICMP Redirect報文數 |
|
ICMP unreachable attacks |
ICMP Unreachable攻擊次數 |
|
ICMP unreachable packets dropped |
丟棄的ICMP Unreachable報文數 |
|
LAND attacks |
LAND攻擊次數 |
|
LAND attack packets dropped |
丟棄的LAND報文數 |
|
Large ICMP attacks |
Large ICMP攻擊次數 |
|
Large ICMP packets dropped |
丟棄的Large ICMP報文數 |
|
Route record attacks |
Route Record攻擊次數 |
|
Route record packets dropped |
丟棄的Route Record報文數 |
|
Source route attacks |
Source Route攻擊次數 |
|
Source route packets dropped |
Source Route報文數 |
|
Smurf attacks |
Smurf攻擊次數 |
|
Smurf attack packets dropped |
丟棄的Smurf報文數 |
|
TCP flag attacks |
TCP Flag攻擊次數 |
|
TCP flag packets dropped |
丟棄的TCP Flag報文數 |
|
Tracert attacks |
Tracert攻擊次數 |
|
Tracert packets dropped |
丟棄的Tracert報文數 |
|
WinNuke attacks |
WinNuke攻擊次數 |
|
WinNuke packets dropped |
丟棄的WinNuke報文數 |
|
Scan attacks |
掃描攻擊次數 |
|
Scan attack packets dropped |
丟棄的掃描攻擊報文數 |
|
SYN flood attacks |
SYN Flood攻擊次數 |
|
SYN flood attack packets dropped |
丟棄的SYN Flood攻擊報文數 |
|
ICMP flood attacks |
ICMP Flood攻擊次數 |
|
ICMP flood attack packets dropped |
丟棄的ICMP Flood攻擊報文數 |
|
UDP flood attacks |
UDP Flood攻擊次數 |
|
UDP flood attack packets dropped |
丟棄的UDP Flood攻擊報文數 |
【命令】
display blacklist { all | ip source-ip-address } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
ip source-ip-address:顯示指定IP地址的黑名單表項。其中,source-ip-address表示黑名單表項的IP地址,該IP地址不能為廣播地址、127.0.0.0/8、D類地址或E類地址。
all:顯示所有黑名單表項。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display blacklist命令用來顯示黑名單信息,主要包括黑名單的使能情況、黑名單的配置以及相關統計信息。
相關配置可參考命令blacklist enable和blacklist ip。
【舉例】
# 顯示所有黑名單表項的相關信息。
<Sysname> display blacklist all
Blacklist information
------------------------------------------------------------------------------
Blacklist : enabled
Blacklist items : 1
------------------------------------------------------------------------------
IP Type Aging started Aging finished Dropped packets
YYYY/MM/DD hh:mm:ss YYYY/MM/DD hh:mm:ss
2.2.1.2 manual 2008/08/27 19:15:39 Never 0
1.1.1.2 auto 2008/09/01 18:26:31 2008/09/01 18:36:31 4294967295
1.1.1.3 manual 2008/09/02 06:13:20 2008/09/02 07:54:47 4294967295
--------------------------------------------------------------------------
表1-4 display blacklist all命令顯示信息描述表
|
字段 |
描述 |
|
Blacklist |
黑名單功能的使能情況 |
|
Blacklist items |
已有的黑名單表項數目 |
|
IP |
黑名單表項的IP地址 |
|
Type |
黑名單表項的類型 · manual:手工添加 · auto:掃描攻擊防範時自動添加 |
|
Aging started |
黑名單表項的添加時間 |
|
Aging finished |
黑名單表項的老化時間;若永不老化,則顯示Never |
|
Dropped packets |
丟棄來自該IP地址的報文數目 |
【命令】
display flow-statistics statistics { destination-ip dest-ip-address | source-ip src-ip-address } [ vpn-instance vpn-instance-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
destination-ip dest-ip-address:顯示指定目的IP地址的流量統計信息。其中,dest-ip-address表示目的IP地址,該IP地址不能為廣播地址、127.0.0.0、D類地址或E類地址。
source-ip src-ip-address:顯示指定源IP地址的流量統計信息。其中,src-ip-address表示源IP地址,該IP地址不能為廣播地址、127.0.0.0、D類地址或E類地址。
vpn-instance vpn-instance-name:顯示指定VPN實例的流量統計信息。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示待查詢的統計對象位於公網中。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display flow-statistics statistics命令用來顯示接口上基於IP地址的流量統計信息。
【舉例】
# 顯示源IP地址為192.168.1.2的流量統計信息。
<Sysname> display flow-statistics statistics source-ip 192.168.1.2
Flow Statistics Information
-----------------------------------------------------------
IP Address : 192.168.1.2
-----------------------------------------------------------
Total number of existing sessions : 70
Session establishment rate : 10/s
TCP sessions : 10
Half-open TCP sessions : 10
Half-close TCP sessions : 10
TCP session establishment rate : 10/s
UDP sessions : 10
UDP session establishment rate : 10/s
ICMP sessions : 10
ICMP session establishment rate : 10/s
RAWIP sessions : 10
RAWIP session establishment rate : 10/s
表1-5 display flow-statistics statistics命令顯示信息描述表
|
字段 |
描述 |
|
IP Address |
統計對象的源IP地址 |
|
Total number of existing sessions |
所有連接數目 |
|
Session establishment rate |
新建連接的速率 |
|
TCP sessions |
TCP連接的數目 |
|
Half-open TCP sessions |
半開連接的數目 |
|
Half-close TCP sessions |
半閉連接的數目 |
|
TCP session establishment rate |
新建TCP連接的速率 |
|
UDP sessions |
UDP連接的數目 |
|
UDP session establishment rate |
新建UDP連接的速率 |
|
ICMP sessions |
ICMP連接的數目 |
|
ICMP session establishment rate |
新建ICMP連接的速率 |
|
RAWIP sessions |
RAWIP連接的數目 |
|
RAWIP session establishment rate |
新建RAWIP連接的速率 |
【命令】
display flow-statistics statistics interface interface-type interface-number { inbound | outbound } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
interface-type interface-number:接口類型和接口編號。
inbound:顯示接口入方向的流量統計信息。
outbound:顯示接口出方向的流量統計信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display flow-statistics statistics interface命令用來顯示接口上的流量統計信息。
【舉例】
# 顯示接口GigabitEthernet1/1入方向上的流量統計信息。
<Sysname> display flow-statistics statistics interface gigabitethernet 1/1 inbound
Flow Statistics Information
------------------------------------------------------------
Interface : GigabitEthernet1/1
------------------------------------------------------------
Total number of existing sessions : 70
Session establishment rate : 10/s
TCP sessions : 10
Half-open TCP sessions : 10
Half-close TCP sessions : 10
TCP session establishment rate : 10/s
UDP sessions : 10
UDP session establishment rate : 10/s
ICMP sessions : 10
ICMP session establishment rate : 10/s
RAWIP sessions : 10
RAWIP session establishment rate : 10/s
表1-6 display flow-statistics statistics interface命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
進行流量統計的接口名 |
|
Total number of existing sessions |
所有連接數目 |
|
Session establishment rate |
新建連接的速率 |
|
TCP sessions |
TCP連接的數目 |
|
Half-open TCP sessions |
半開連接的數目 |
|
Half-close TCP sessions |
半閉連接的數目 |
|
TCP session establishment rate |
新建TCP連接的速率 |
|
UDP sessions |
UDP連接的數目 |
|
UDP session establishment rate |
新建UDP連接的速率 |
|
ICMP sessions |
ICMP連接的數目 |
|
ICMP session establishment rate |
新建ICMP連接的速率 |
|
RAWIP sessions |
RAWIP連接的數目 |
|
RAWIP session establishment rate |
新建RAWIP連接的速率 |
【命令】
flow-statistics enable { destination-ip | inbound | outbound | source-ip }
undo flow-statistics enable { destination-ip | inbound | outbound | source-ip }
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
destination-ip:表示按照目的IP地址進行流量統計,即對該接口上發送的報文按照目的IP地址進行流量統計。
inbound:表示按照接口的入方向進行流量統計,即對該接口上收到的報文進行流量統計。
outbound:表示按照接口的出方向進行流量統計,即對該接口上發送的報文進行流量統計。
source-ip:表示按照源IP地址進行流量統計,即對該接口上收到的報文按照源IP地址進行流量統計。
【描述】
flow-statistics enable命令用來使能接口上的流量統計功能。undo flow-statistics enable命令用來恢複缺省情況。
缺省情況下,接口上未使能任何類型的流量統計功能。
接口上可使能多種類型的流量統計功能,不同類型的統計結果可通過相關的顯示命令分別查看。
相關配置可參考命令display flow-statistics statistics。
【舉例】
# 在接口GigabitEthernet1/1上使能基於目的IP地址的流量統計功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/1
[Sysname-GigabitEthernet1/1] flow-statistics enable destination-ip
# 可通過如下命令來查看該接口上發送的目的IP地址為2.2.2.2的報文統計信息(此處目的IP地址請根據實際情況配置)。
[Sysname-GigabitEthernet1/1] display flow-statistics statistics destination-ip 2.2.2.2
【命令】
reset attack-defense statistics interface interface-type interface-number
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
interface-type interface-number:接口類型和接口編號。
【描述】
reset attack-defense statistics interface命令用來清除接口上的攻擊防範統計信息。
相關配置可參考命令display attack-defense statistics interface。
【舉例】
# 清除接口GigabitEthernet1/1上的攻擊防範統計信息。
<Sysname> reset attack-defense statistics interface gigabitethernet 1/1
【命令】
signature-detect { fraggle | icmp-redirect | icmp-unreachable | land | large-icmp | route-record | smurf | source-route | tcp-flag | tracert | winnuke } enable
undo signature-detect { fraggle | icmp-redirect | icmp-unreachable | land | large-icmp | route-record | smurf | source-route | tcp-flag | tracert | winnuke } enable
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
fraggle:表示Fraggle類型的報文攻擊。
icmp-redirect:表示ICMP Redirect類型的報文攻擊。
icmp-unreachable:表示ICMP Unreachable類型的報文攻擊。
land:表示LAND類型的報文攻擊。
large-icmp:表示Large ICMP類型的報文攻擊。
route-record:表示Route Record類型的報文攻擊。
smurf:表示Smurf類型的報文攻擊。
source-route:表示Source Route類型的報文攻擊。
tcp-flag:表示TCP Flag類型的報文攻擊。
tracert:表示Tracert類型的報文攻擊。
winnuke:表示WinNuke類型的報文攻擊。
【描述】
signature-detect命令用來使能對單包攻擊報文的特征檢測。undo signature-detect命令用來去使能指定類型的單包攻擊報文的特征檢測。
缺省情況下,所有類型的單包攻擊報文的特征檢測均處於未使能狀態。
相關配置可參考命令display attack-defense policy。
【舉例】
# 在攻擊防範策略1中使能對Fraggle攻擊的特征檢測。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] signature-detect fraggle enable
【命令】
signature-detect action drop-packet
undo signature-detect action
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
signature-detect action drop-packet命令用來配置對單包攻擊報文的處理方式為丟棄。undo signature-detect action命令用來恢複缺省情況。
缺省情況下,檢測到單包攻擊後,僅輸出告警日誌。
相關配置可參考命令display attack-defense policy。
【舉例】
# 在攻擊防範策略1中配置丟棄單包攻擊報文。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] signature-detect action drop-packet
【命令】
signature-detect large-icmp max-length length
undo signature-detect large-icmp max-length
【視圖】
攻擊防範策略視圖
【缺省級別】
2:係統級
【參數】
length:表示ICMP報文的最大長度,取值範圍為28~65534,單位為字節。
【描述】
signature-detect large-icmp max-length命令用來配置啟動Large ICMP攻擊防範的ICMP報文的長度閾值。undo signature-detect large-icmp max-length命令用來恢複缺省情況。
缺省情況下,啟動Large ICMP攻擊防範的ICMP報文的長度閾值為4000個字節。
在Large ICMP攻擊報文的特征檢測已使能的情況下,若設備監測到某ICMP報文的長度超過了指定的閾值,則認為該報文為Large ICMP攻擊報文。
需要注意的是,該命令僅在Large ICMP攻擊報文的特征檢測已使能的情況下有效。
相關配置可參考命令display attack-defense policy和signature-detect large-icmp enable。
【舉例】
# 使能Large ICMP攻擊防範,配置啟動Large ICMP攻擊防範的ICMP報文的長度閾值為5000個字節,並對超過指定報文長度的ICMP報文進行丟棄處理。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] signature-detect large-icmp enable
[Sysname-attack-defense-policy-1] signature-detect large-icmp max-length 5000
[Sysname-attack-defense-policy-1] signature-detect action drop-packet
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
