• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

07 安全命令參考

目錄

12-TCP攻擊防禦命令

本章節下載 12-TCP攻擊防禦命令  (114.61 KB)

12-TCP攻擊防禦命令


1 TCP攻擊防禦配置命令

1.1  TCP攻擊防禦配置命令

1.1.1  attack-defense tcp fragment enable

【命令】

attack-defense tcp fragment enable

undo attack-defense tcp fragment enable

【視圖】

係統視圖

【缺省級別】

2:係統級

【參數】

【描述】

attack-defense tcp fragment enable命令用於配置TCP分片報文攻擊防範功能。

undo attack-defense tcp fragment enable命令用於關閉TCP分片報文攻擊防範功能。

【舉例】

# 配置TCP分片攻擊防範功能。

<Sysname> System-view

[Sysname] attack-defense tcp fragment enable

1.1.2  display tcp status

【命令】

display tcp status [ | { begin | exclude | include } regular-expression ]

【視圖】

任意視圖

【缺省級別】

1:監控級

【參數】

|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。

begin:從包含指定正則表達式的行開始顯示。

exclude:隻顯示不包含指定正則表達式的行。

include:隻顯示包含指定正則表達式的行。

regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。

【描述】

display tcp status命令用來顯示所有TCP連接的狀態,使用戶隨時監控TCP連接。

【舉例】

# 顯示所有TCP連接狀態。

<Sysname> display tcp status

*: TCP MD5 Connection

TCPCB         Local Add:port       Foreign Add:port     State

03e37dc4      0.0.0.0:4001         0.0.0.0:0            Listening

04217174      100.0.0.204:23       100.0.0.253:65508    Established

表1-1 display tcp status命令顯示信息描述表

字段

描述

*: TCP MD5 Connection

如果某個連接前有星號標識,則表示該TCP連接是采用MD5加密算法認證的連接

TCPCB

TCP控製塊

Local Add:port

本端IP地址及端口號

Foreign Add:port

對端IP地址及端口號

State

TCP連接的狀態

 

1.1.3  tcp anti-naptha enable

【命令】

tcp anti-naptha enable

undo tcp anti-naptha enable

【視圖】

係統視圖

【缺省級別】

2:係統級

【參數】

【描述】

tcp anti-naptha enable命令用來使能防止Naptha攻擊功能。undo tcp anti-naptha enable命令用來關閉防止Naptha攻擊功能。

缺省情況下,防止Naptha攻擊功能處於關閉狀態。

需要注意的是,關閉防止Naptha攻擊功能後,tcp state命令和tcp timer check-state命令的配置都會被刪除。

【舉例】

# 使能防止Naptha攻擊功能。

<Sysname> system-view

[Sysname] tcp anti-naptha enable

1.1.4  tcp state

【命令】

tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack | syn-received } connection-number number

undo tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack | syn-received } connection-number

【視圖】

係統視圖

【缺省級別】

2:係統級

【參數】

closing:TCP連接的CLOSING狀態。

established:TCP連接的ESTABLISHED狀態。

fin-wait-1:TCP連接的FIN_WAIT_1狀態。

fin-wait-2:TCP連接的FIN_WAIT_2狀態。

last-ack:TCP連接的LAST_ACK狀態。

syn-received:TCP連接的SYN_RECEIVED狀態。

connection-number number:處於某個狀態的最大TCP連接數。number的取值範圍為0~500。

【描述】

tcp state命令用來配置某一狀態下的最大TCP連接數,連接數目超過最大連接數後,將加速該狀態下TCP連接的老化。undo tcp state命令用來恢複缺省情況。

缺省情況下,六種狀態下的最大TCP連接數均為5。

需要注意的是,

·     配置本命令前,需要先使能防止Naptha攻擊功能,否則會提示錯誤;

·     可以分別配置六種狀態下的最大連接數;

·     如果某一狀態下的最大連接數為0,則表示不會加速該狀態下TCP連接的老化。

相關配置可參考命令tcp anti-naptha enable

【舉例】

# 配置ESTABLISHED狀態下的最大TCP連接數為100。

<Sysname> system-view

[Sysname] tcp anti-naptha enable

[Sysname] tcp state established connection-number 100

1.1.5  tcp syn-cookie enable

【命令】

tcp syn-cookie enable

undo tcp syn-cookie enable

【視圖】

係統視圖

【缺省級別】

2:係統級

【參數】

【描述】

tcp syn-cookie enable命令用來使能SYN Cookie功能,防止設備受到SYN Flood攻擊。undo tcp syn-cookie enble命令用來關閉SYN Cookie功能。

缺省情況下,SYN Cookie功能處於使能狀態。

【舉例】

# 使能SYN Cookie功能。

<Sysname> system-view

[Sysname] tcp syn-cookie enable

1.1.6  tcp timer check-state

【命令】

tcp timer check-state time-value

undo tcp timer check-state

【視圖】

係統視圖

【缺省級別】

2:係統級

【參數】

time-value:TCP連接狀態的輪詢檢測時間間隔,取值範圍為1~60,單位為秒。

【描述】

tcp timer check-state命令用來配置TCP連接狀態的輪詢檢測時間間隔。undo tcp timer check-state命令用來恢複缺省情況。

缺省情況下,TCP連接狀態的輪詢檢測時間間隔為30秒。

設備周期性地檢測處於六種狀態的TCP連接數,如果檢測到某個狀態的TCP連接數目超過設定的最大連接數時,則加速該狀態下TCP連接的老化。

需要注意的是,配置本命令前,需要先使能防止Naptha攻擊功能,否則會提示錯誤。

相關配置可參考命令tcp anti-naptha enable

【舉例】

# 配置TCP連接狀態的輪詢檢測時間間隔為40秒。

<Sysname> system-view

[Sysname] tcp anti-naptha enable

[Sysname] tcp timer check-state 40

 

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們