- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
17-TCP攻擊防禦命令
本章節下載: 17-TCP攻擊防禦命令 (119.95 KB)
tcp anti-naptha enable命令用來開啟防止Naptha攻擊功能。
undo tcp anti-naptha enable命令用來關閉防止Naptha攻擊功能。
【命令】
tcp anti-naptha enable
undo tcp anti-naptha enable
【缺省情況】
防止Naptha攻擊功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟防止Naptha攻擊功能後,設備周期性地對各狀態的TCP連接數進行檢測(檢測周期由tcp check-state interval命令配置),當某狀態的最大TCP連接數超過指定的最大連接數後(最大連接數由tcp state命令配置),將加速該狀態下TCP連接的老化。
【舉例】
# 開啟防止Naptha攻擊功能。
<Sysname> system-view
[Sysname] tcp anti-naptha enable
【相關命令】
· tcp state
· tcp check-state interval
tcp check-state interval命令用來配置TCP連接狀態的檢測周期。
undo tcp check-state interval命令用來恢複缺省情況。
【命令】
tcp check-state interval interval
undo tcp check-state interval
【缺省情況】
TCP連接狀態的檢測周期為30秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interval:TCP連接狀態的檢測周期,取值範圍為1~60,單位為秒。
【使用指導】
設備周期性地檢測處於CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五種狀態的TCP連接數,如果檢測到某個狀態的TCP連接數目超過設定的最大連接數時,將加速該狀態下TCP連接的老化。
開啟防止Naptha攻擊功能後,設備才會周期性地對各狀態的TCP連接數進行檢測。
【舉例】
# 配置TCP連接狀態的檢測周期為40秒。
<Sysname> system-view
[Sysname] tcp check-state interval 40
【相關命令】
· tcp anti-naptha enable
· tcp state
tcp state命令用來配置TCP連接的某一狀態下的最大TCP連接數。
undo tcp state命令用來恢複為缺省情況。
【命令】
tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit number
undo tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit
【缺省情況】
CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五種狀態最大TCP連接數均為50。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
closing:TCP連接的CLOSING狀態。
established:TCP連接的ESTABLISHED狀態。
fin-wait-1:TCP連接的FIN_WAIT_1狀態。
fin-wait-2:TCP連接的FIN_WAIT_2狀態。
last-ack:TCP連接的LAST_ACK狀態。
connection-limit number:最大TCP連接數,取值範圍為0~500,取值為0時,表示不會加速該狀態下TCP連接的老化。
【使用指導】
開啟防止Naptha攻擊功能後,各狀態的最大TCP連接數限製才能生效,連接數目超過最大連接數後,將加速該狀態下TCP連接的老化。
【舉例】
# 配置ESTABLISHED狀態下的最大TCP連接數為100。
<Sysname> system-view
[Sysname] tcp state established connection-limit 100
【相關命令】
· tcp anti-naptha enable
· tcp check-state interval
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
