12-TCP攻擊防禦命令
本章節下載: 12-TCP攻擊防禦命令 (114.61 KB)
【命令】
attack-defense tcp fragment enable
undo attack-defense tcp fragment enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
attack-defense tcp fragment enable命令用於配置TCP分片報文攻擊防範功能。
undo attack-defense tcp fragment enable命令用於關閉TCP分片報文攻擊防範功能。
【舉例】
# 配置TCP分片攻擊防範功能。
<Sysname> System-view
[Sysname] attack-defense tcp fragment enable
【命令】
display tcp status [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display tcp status命令用來顯示所有TCP連接的狀態,使用戶隨時監控TCP連接。
【舉例】
# 顯示所有TCP連接狀態。
<Sysname> display tcp status
*: TCP MD5 Connection
TCPCB Local Add:port Foreign Add:port State
03e37dc4 0.0.0.0:4001 0.0.0.0:0 Listening
04217174 100.0.0.204:23 100.0.0.253:65508 Established
表1-1 display tcp status命令顯示信息描述表
字段 |
描述 |
*: TCP MD5 Connection |
如果某個連接前有星號標識,則表示該TCP連接是采用MD5加密算法認證的連接 |
TCPCB |
TCP控製塊 |
Local Add:port |
本端IP地址及端口號 |
Foreign Add:port |
對端IP地址及端口號 |
State |
TCP連接的狀態 |
【命令】
tcp anti-naptha enable
undo tcp anti-naptha enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
tcp anti-naptha enable命令用來使能防止Naptha攻擊功能。undo tcp anti-naptha enable命令用來關閉防止Naptha攻擊功能。
缺省情況下,防止Naptha攻擊功能處於關閉狀態。
需要注意的是,關閉防止Naptha攻擊功能後,tcp state命令和tcp timer check-state命令的配置都會被刪除。
【舉例】
# 使能防止Naptha攻擊功能。
<Sysname> system-view
[Sysname] tcp anti-naptha enable
【命令】
tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack | syn-received } connection-number number
undo tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack | syn-received } connection-number
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
closing:TCP連接的CLOSING狀態。
established:TCP連接的ESTABLISHED狀態。
fin-wait-1:TCP連接的FIN_WAIT_1狀態。
fin-wait-2:TCP連接的FIN_WAIT_2狀態。
last-ack:TCP連接的LAST_ACK狀態。
syn-received:TCP連接的SYN_RECEIVED狀態。
connection-number number:處於某個狀態的最大TCP連接數。number的取值範圍為0~500。
【描述】
tcp state命令用來配置某一狀態下的最大TCP連接數,連接數目超過最大連接數後,將加速該狀態下TCP連接的老化。undo tcp state命令用來恢複缺省情況。
缺省情況下,六種狀態下的最大TCP連接數均為5。
需要注意的是,
· 配置本命令前,需要先使能防止Naptha攻擊功能,否則會提示錯誤;
· 可以分別配置六種狀態下的最大連接數;
· 如果某一狀態下的最大連接數為0,則表示不會加速該狀態下TCP連接的老化。
相關配置可參考命令tcp anti-naptha enable。
【舉例】
# 配置ESTABLISHED狀態下的最大TCP連接數為100。
<Sysname> system-view
[Sysname] tcp anti-naptha enable
[Sysname] tcp state established connection-number 100
【命令】
tcp syn-cookie enable
undo tcp syn-cookie enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
tcp syn-cookie enable命令用來使能SYN Cookie功能,防止設備受到SYN Flood攻擊。undo tcp syn-cookie enble命令用來關閉SYN Cookie功能。
缺省情況下,SYN Cookie功能處於使能狀態。
【舉例】
# 使能SYN Cookie功能。
<Sysname> system-view
[Sysname] tcp syn-cookie enable
【命令】
tcp timer check-state time-value
undo tcp timer check-state
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
time-value:TCP連接狀態的輪詢檢測時間間隔,取值範圍為1~60,單位為秒。
【描述】
tcp timer check-state命令用來配置TCP連接狀態的輪詢檢測時間間隔。undo tcp timer check-state命令用來恢複缺省情況。
缺省情況下,TCP連接狀態的輪詢檢測時間間隔為30秒。
設備周期性地檢測處於六種狀態的TCP連接數,如果檢測到某個狀態的TCP連接數目超過設定的最大連接數時,則加速該狀態下TCP連接的老化。
需要注意的是,配置本命令前,需要先使能防止Naptha攻擊功能,否則會提示錯誤。
相關配置可參考命令tcp anti-naptha enable。
【舉例】
# 配置TCP連接狀態的輪詢檢測時間間隔為40秒。
<Sysname> system-view
[Sysname] tcp anti-naptha enable
[Sysname] tcp timer check-state 40
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!