- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
19-攻擊檢測與防範命令
本章節下載: 19-攻擊檢測與防範命令 (1.28 MB)
目 錄
1.1.3 ack-flood detect non-specific
1.1.5 ack-flood source-threshold
1.1.6 attack-defense apply policy
1.1.7 attack-defense cpu-core action
1.1.8 attack-defense ipcar action
1.1.9 attack-defense ipcar session-rate-limit enable
1.1.10 attack-defense login block-timeout
1.1.11 attack-defense login enable
1.1.12 attack-defense login max-attempt
1.1.13 attack-defense login reauthentication-delay
1.1.14 attack-defense malformed-packet defend enable
1.1.16 attack-defense signature log non-aggregate
1.1.17 attack-defense top-attack-statistics enable
1.1.18 blacklist destination-ip
1.1.19 blacklist destination-ipv6
1.1.21 blacklist global enable
1.1.24 blacklist logging enable
1.1.27 client-verify dns enable
1.1.28 client-verify dns-reply enable
1.1.29 client-verify http enable
1.1.30 client-verify sip enable
1.1.31 client-verify protected ip
1.1.32 client-verify protected ipv6
1.1.33 client-verify tcp enable
1.1.34 display attack-defense cpu-core flow info
1.1.35 display attack-defense flood statistics ip
1.1.36 display attack-defense flood statistics ipv6
1.1.37 display attack-defense http-slow-attack statistics ip
1.1.38 display attack-defense http-slow-attack statistics ip
1.1.39 display attack-defense http-slow-attack statistics ipv6
1.1.40 display attack-defense http-slow-attack statistics ipv6
1.1.41 display attack-defense malformed-packet statistics
1.1.42 display attack-defense policy
1.1.43 display attack-defense policy ip
1.1.44 display attack-defense policy ipv6
1.1.45 display attack-defense scan attacker ip
1.1.46 display attack-defense scan attacker ipv6
1.1.47 display attack-defense statistics security-zone
1.1.48 display attack-defense top-attack-statistics
1.1.49 display blacklist destination-ip
1.1.50 display blacklist destination-ipv6
1.1.54 display client-verify protected ip
1.1.55 display client-verify protected ipv6
1.1.56 display client-verify trusted ip
1.1.57 display client-verify trusted ipv6
1.1.58 display whitelist object-group
1.1.61 dns-flood detect non-specific
1.1.64 dns-flood source-threshold
1.1.67 dns-reply-flood detect non-specific
1.1.69 dns-reply-flood threshold
1.1.70 dns-reply-flood source-threshold
1.1.74 fin-flood detect non-specific
1.1.76 fin-flood source-threshold
1.1.79 http-flood detect non-specific
1.1.82 http-flood source-threshold
1.1.83 http-slow-attack action
1.1.84 http-slow-attack detect
1.1.85 http-slow-attack detect non-specific
1.1.86 http-slow-attack period
1.1.88 http-slow-attack threshold
1.1.91 icmp-flood detect non-specific
1.1.93 icmp-flood source-threshold
1.1.95 icmpv6-flood detect ipv6
1.1.96 icmpv6-flood detect non-specific
1.1.98 icmpv6-flood source-threshold
1.1.99 reset attack-defense malformed-packet statistics
1.1.100 reset attack-defense policy flood
1.1.101 reset attack-defense statistics security-zone
1.1.102 reset attack-defense top-attack-statistics
1.1.103 reset blacklist destination-ip
1.1.104 reset blacklist destination-ipv6
1.1.107 reset blacklist statistics
1.1.108 reset client-verify protected statistics
1.1.109 reset client-verify trusted
1.1.110 reset whitelist statistics
1.1.113 rst-flood detect non-specific
1.1.115 rst-flood source-threshold
1.1.117 signature { large-icmp | large-icmpv6 } max-length
1.1.119 signature level action
1.1.120 signature level detect
1.1.123 sip-flood detect non-specific
1.1.126 sip-flood source-threshold
1.1.129 syn-ack-flood detect non-specific
1.1.130 syn-ack-flood threshold
1.1.131 syn-ack-flood source-threshold
1.1.134 syn-flood detect non-specific
1.1.136 syn-flood source-threshold
1.1.138 threshold-learn auto-apply enable
1.1.139 threshold-learn duration
1.1.140 threshold-learn enable
1.1.141 threshold-learn interval
1.1.143 threshold-learn tolerance-value
1.1.146 udp-flood detect non-specific
1.1.148 udp-flood source-threshold
ack-flood action命令用來配置ACK flood攻擊防範的全局處理行為。
undo ack-flood action命令用來恢複缺省情況。
【命令】
ack-flood action { client-verify | drop | logging } *
undo ack-flood action
【缺省情況】
不對檢測到的ACK flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
client-verify:表示自動將受到攻擊的IP地址添加到TCP客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。本參數對基於源IP統計的泛洪攻擊不生效。
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有ACK報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有ACK報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
本命令中client-verify參數的使用需要和TCP客戶端驗證功能配合。使能了TCP客戶端驗證功能的安全域檢測到ACK flood攻擊時,若本命令中指定了client-verify參數,則設備會將受攻擊的IP地址動態添加到相應客戶端驗證的受保護IP列表中,並對與這些IP地址建立的連接進行代理。若安全域上未使能相應的代理功能,則不會對任何連接進行代理。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置ACK flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] ack-flood action drop
【相關命令】
· ack-flood detect
· ack-flood detect non-specific
· ack-flood source-threshold
· ack-flood threshold
· client-verify tcp enable
ack-flood detect命令用來開啟對指定IP地址的ACK flood攻擊防範檢測,並配置ACK flood攻擊防範的觸發閾值和對ACK flood攻擊的處理行為。
undo ack-flood detect命令用來關閉對指定IP地址的ACK flood攻擊防範檢測。
【命令】
ack-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
undo ack-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未對任何指定IP地址開啟ACK flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
vpn-instance vpn-instance-name:受保護IP地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該保護IP地址屬於公網。
threshold threshold-value:指定ACK flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的ACK報文數目,取值範圍為1~1000000。
action:設置對ACK flood攻擊的處理行為。若未指定本參數,則表示采用ACK flood攻擊防範的全局處理行為。
client-verify:表示自動將被攻擊的IP地址添加到TCP客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有ACK報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能ACK flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送ACK報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了ACK flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置ACK flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的ACK flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的ACK報文數持續達到或超過2000時,啟動ACK flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] ack-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· ack-flood action
· ack-flood detect non-specific
· ack-flood threshold
· client-verify tcp enable
ack-flood detect non-specific命令用來對所有非受保護IP地址開啟ACK flood攻擊防範檢測。
undo ack-flood detect non-specific命令用來關閉對所有非受保護IP地址的ACK flood攻擊防範檢測。
【命令】
ack-flood detect non-specific
undo ack-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟ACK flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對所有未配置具體攻擊防範策略的IP地址開啟ACK flood攻擊防範檢測後,設備將采用全局的閾值設置(由ack-flood threshold或ack-flood source-threshold命令設置)和處理行為(由ack-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟ACK flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] ack-flood detect non-specific
【相關命令】
· ack-flood action
· ack-flood detect
· ack-flood source-threshold
· ack-flood threshold
ack-flood threshold命令用來配置ACK flood攻擊防範基於目的IP統計的全局觸發閾值。
undo ack-flood threshold命令用來恢複缺省情況。
【命令】
ack-flood threshold threshold-value
undo ack-flood threshold
【缺省情況】
ACK flood攻擊防範基於目的IP統計的全局觸發閾值為40000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定向某IP地址每秒發送的ACK報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的ACK flood攻擊防範。
【使用指導】
使能ACK flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送ACK報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了ACK flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置ACK flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的ACK報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置ACK flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的ACK報文數持續達到或超過100時,啟動ACK flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] ack-flood threshold 100
【相關命令】
· ack-flood action
· ack-flood detect
· ack-flood detect non-specific
ack-flood source-threshold命令用來配置ACK flood攻擊防範基於源IP統計的全局觸發閾值。
undo ack-flood source-threshold命令用來恢複缺省情況。
【命令】
ack-flood source-threshold threshold-value
undo ack-flood source-threshold
【缺省情況】
ACK flood攻擊防範基於源IP統計的全局觸發閾值為40000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的ACK報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的ACK flood攻擊防範。
【使用指導】
使能ACK flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送的ACK報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了ACK flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置ACK flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的ACK報文數持續達到或超過100時,啟動ACK flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] ack-flood source-threshold 100
【相關命令】
· ack-flood action
· ack-flood detect
· ack-flood detect non-specific
attack-defense apply policy命令用來在安全域上應用攻擊防範策略。
undo attack-defense apply policy命令用來恢複缺省情況。
【命令】
attack-defense apply policy policy-name
undo attack-defense apply policy
【缺省情況】
安全域上未應用任何攻擊防範策略。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:攻擊防範策略名稱,為1~31個字符的字符串,不區分大小寫。合法取值包括大寫字母、小寫字母、數字、特殊字符“_”和“-”。
【使用指導】
一個安全域上隻能應用一個攻擊防範策略(多次執行本命令,最後一次執行的命令生效),但一個攻擊防範策略可應用到多個安全域上。
【舉例】
# 將攻擊防範策略atk-policy-1應用到安全域DMZ上。
<Sysname> system-view
[Sysname] security-zone name dmz
[Sysname-security-zone-DMZ] attack-defense apply policy atk-policy-1
【相關命令】
· attack-defense policy
· display attack-defense policy
attack-defense cpu-core action命令用來配置CPU核的攻擊防範動作。
undo attack-defense cpu-core action命令用來恢複缺省情況。
【命令】
attack-defense cpu-core action { bypass | drop | isolate | per-packet-balance }
undo attack-defense cpu-core action
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S |
不支持 |
|
F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-M、F5000-A |
支持 |
|
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55 |
不支持 |
|
F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V70 |
不支持 |
|
F1000-V60、F1000-V90 |
支持 |
|
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9210 |
不支持 |
|
F1000-AK1215、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9190 |
支持 |
|
|
插卡 |
LSUM1FWCEAB0、LSCM1FWDSD0、LSCM2FWDSD0、LSX1FWCEA1、LSXM1FWDF1、LSUM1FWDEC0、IM-NGFWX-IV、LSQM1FWDSC0、LSWM1FWD0、LSPM6FWD、LSPM6FWDB、LSQM2FWDSC0、LSU3FWCEA0 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
【缺省情況】
CPU核的攻擊防範動作為丟棄。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
bypass:配置動作為bypass。當某CPU核受到攻擊時,驅動會將後續上送此CPU核的報文直接打上bypass標記。擁有該標記的報文在進行DPI業務處理時會被跳過,以節省CPU資源。
drop:配置動作為丟棄。當某CPU核受到攻擊時,驅動會將後續上送此CPU核的報文直接丟棄。
isolate:配置動作為隔離。當某CPU核受到攻擊時,驅動會識別出當前消耗CPU最多的一條流量,然後將此條流量後續上送此CPU核的報文放在驅動隔離隊列,降低這些報文被處理的優先級。此參數同一時間隻能對一條流量起作用。
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S |
不支持 |
|
F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-M、F5000-A |
支持 |
|
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15 |
不支持 |
|
F5000-AI-20、F5000-AI-40 |
支持 |
|
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-70、F1000-AI-80、F1000-AI-90 |
不支持 |
|
F1000-AI-65、F1000-AI-75 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
不支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V70、F1000-V90 |
不支持 |
|
F1000-V60 |
支持 |
|
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK9110、F1000-AK9210、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180 |
不支持 |
|
F1000-AK1305、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1505、F1000-AK9190 |
支持 |
|
|
插卡 |
LSUM1FWCEAB0、LSCM1FWDSD0、LSCM2FWDSD0、LSX1FWCEA1、LSXM1FWDF1、LSUM1FWDEC0、IM-NGFWX-IV、LSQM1FWDSC0、LSWM1FWD0、LSPM6FWD、LSPM6FWDB、LSQM2FWDSC0、LSU3FWCEA0 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
per-packet-balance:配置動作為逐包負載分擔。當某CPU核受到攻擊時,驅動會將後續上送此CPU核的所有報文逐包負載分擔給其他CPU核進行處理。
【配置指導】
當某CPU核的利用率達到攻擊防範閾值(通過context-capability inbound unicast total命令配置),並且驅動公共隊列已滿,係統則認為該CPU核受到了攻擊。這時,係統將按照配置的單核CPU攻擊防範動作對報文進行相應的處理。其動作包括如下四種:
· bypass:當某CPU核受到攻擊時,此CPU核將按照CPU最高主頻的百分比的能力進行處理報文,超出此處理能力的報文將被驅動打上bypass標記。擁有該標記的報文在進行DPI業務處理時會被跳過,以節省CPU資源。有關DPI的詳細介紹,請參見“DPI深度安全分冊和上網管理行為分冊”。
· 丟棄:當某CPU核受到攻擊時,此CPU核將按照CPU最高主頻的百分比的能力進行處理報文,超出此處理能力的報文將被驅動直接丟棄,以達到將此CPU核利用率降低至閾值以下的目的。當某CPU核受到攻擊時,此方式也會對正常業務處理產生一定的影響。
· 逐包負載分擔:當某CPU核受到攻擊時,此CPU核將按照CPU最高主頻的百分比的能力進行處理報文,超出此處理能力的報文將會被驅動逐包負載分擔給其他CPU核進行處理。此方式在一定程度上可以保證業務的正常處理,同時也有導致其他CPU核被攻擊的風險。
· 隔離:當某CPU核受到攻擊時,驅動會識別出當前消耗CPU最多的一條流量,然後將此條流量後續上送此CPU核的報文放在驅動隔離隊列,降低這些報文被處理的優先級。當驅動公共隊列中沒有需要待處理的報文後,再將驅動隔離隊列中的報文上送此CPU核繼續處理,在一定程度上可以保證業務的正常處理。但是因為驅動公共隊列中的報文仍會被分配到此CPU核進行處理,所以此種方式不利於降低此CPU核的利用率。
有關context-capability inbound unicast total命令詳細介紹,請參見“虛擬化技術命令參考”中的“Context”。
【舉例】
# 配置CPU核的攻擊防範動作為丟棄。
<Sysname> system-view
[Sysname] attack-defense cpu-core action drop
【相關命令】
· context-capability inbound unicast total(虛擬化技術命令參考/Context)
· display attack-defense cpu-core flow info
attack-defense ipcar action命令用來配置指定新建會話限速類型的限速閾值和處理行為。
undo attack-defense ipcar action命令用來將指定新建會話限速類型的配置恢複至缺省情況。
【命令】
attack-defense ipcar { destination | source } { ip | ipv6 } [ threshold threshold ] action { { drop | logging } * | none }
undo attack-defense ipcar { destination | source } { ip | ipv6 }
【缺省情況】
所有新建會話限速類型的限速閾值為5000,處理行為為不采取任何動作。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
destination:表示基於目的IP地址進行新建會話限速。
source:表示基於源IP地址進行新建會話限速。
ip:表示基於IPv4地址進行新建會話限速。
ipv6:表示基於IPv6地址進行新建會話限速。
threshold threshold:指定新建會話限速功能的限速閾值,取值範圍為1~500000,單位為個/秒,缺省值為5000。
logging:配置新建會話限速功能的處理行為為發送日誌。
drop:配置新建會話限速功能的處理行為為丟棄超出限速閾值的新建會話報文。
none:配置新建會話限速功能的處理行為為不采取任何動作。
【使用指導】
隻有執行attack-defense ipcar session-rate-limit enable命令開啟指定類型的新建會話限速功能,本命令配置的相應類型的限速閾值和處理行為才會生效。
【舉例】
# 配置基於源IPv4地址的新建會話限速功能的限速閾值為5000個/秒,處理行為為丟棄報文。
<Sysname> system-view
[Sysname] attack-defense ipcar source ip threshold 5000 action drop
【相關命令】
· attack-defense ipcar session-rate-limit enable
attack-defense ipcar session-rate-limit enable 命令用來開啟指定類型的新建會話限速功能。
undo attack-defense ipcar session-rate-limit enable 命令用來關閉指定類型的新建會話限速功能。
【命令】
attack-defense ipcar { destination | source } { ip | ipv6 } session-rate-limit enable
undo attack-defense ipcar { destination | source } { ip | ipv6 } session-rate-limit enable
【缺省情況】
所有類型的新建會話限速功能處於關閉狀態。
【視圖】
三層以太網接口視圖
三層以太網子接口視圖
三層以太網冗餘接口視圖
三層聚合接口視圖
三層聚合子接口視圖
VLAN接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
destination:表示基於目的IP地址進行新建會話限速。
source:表示基於源IP地址進行新建會話限速。
ip:表示基於IPv4地址進行新建會話限速。
ipv6:表示基於IPv6地址進行新建會話限速。
【使用指導】
新建會話限速功能包括如下四種限速類型:
· 基於會話源IPv4地址進行統計和限速。
· 基於會話源IPv6地址進行統計和限速。
· 基於會話目的IPv4地址進行統計和限速。
· 基於會話目的IPv6地址進行統計和限速。
開啟本功能後,設備處於檢測狀態,當它監測到源自或發往某IP地址的新建會話的速率持續達到或超過了限速閾值時(該閾值可通過執行attack-defense ipcar action命令配置,且對於不同接口分別生效),隨即進入攻擊防範狀態,並根據配置執行相應的處理行為(該處理行為可通過執行attack-defense ipcar action命令配置)。此後,當設備檢測到源自或發往該IP地址的新建會話的速率低於恢複閾值(限速閾值的3/4)時,其由攻擊防範狀態恢複為檢測狀態,並停止執行處理行為。
同一個接口下,基於源IP地址的新建會話限速功能與基於目的IP地址的新建會話限速功能不能同時開啟。
【舉例】
# 在GigabitEthernet1/0/1接口上開啟基於源IPv4地址的新建會話限速功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] attack-defense ipcar destination ip session-rate-limit enable
【相關命令】
· attack-defense ipcar action
attack-defense login block-timeout命令用來配置Login用戶登錄失敗後阻斷時長。
undo attack-defense login block-timeout命令用來恢複缺省情況。
【命令】
attack-defense login block-timeout minutes
undo attack-defense login block-timeout
【缺省情況】
Login用戶登錄失敗後默認阻斷時長為60分鍾。
係統視圖
network-admin
context-admin
【參數】
minutes:設備管理用戶登錄失敗後阻斷時長,取值範圍為1~2880,單位為分鍾。
【使用指導】
Login用戶登錄失敗後,若用戶的IP地址被加入黑名單,則設備將會丟棄來自該IP地址的報文,使得該用戶不能在指定的阻斷時長內進行登錄操作。
# 配置Login用戶登錄失敗後阻斷時長為5分鍾。
<Sysname> system-view
[Sysname] attack-defense login block-timeout 5
【相關命令】
· attack-defense login enable
· blacklist global enable
attack-defense login enable命令用來開啟Login用戶攻擊防範功能。
undo attack-defense login enable命令用來關閉Login用戶攻擊防範功能。
【命令】
attack-defense login enable
undo attack-defense login enable
【缺省情況】
Login用戶攻擊防範功能處於關閉狀態。
係統視圖
network-admin
context-admin
【使用指導】
開啟Login用戶攻擊防範功能後,如果用戶登錄設備連續失敗的次數達到指定次數,則此用戶IP將被加入黑名單,並在指定時間內不能進行登錄。
將Login用戶加入黑名單進行阻斷的功能必須在全局黑名單過濾功能處於開啟狀態時才能生效。
# 開啟Login用戶攻擊防範功能。
<Sysname> system-view
[Sysname] attack-defense login enable
【相關命令】
· blacklist global enable
attack-defense login max-attempt命令用來配置Login用戶登錄失敗的最大次數。
undo attack-defense login max-attempt命令用來恢複缺省情況。
【命令】
attack-defense login max-attempt max-attempt
undo attack-defense login max-attempt
【缺省情況】
Login用戶登錄失敗的最大次數為3次。
係統視圖
network-admin
context-admin
【參數】
max-attempt:用戶登錄連續失敗的最大次數,取值為1~60。
【使用指導】
Login用戶攻擊防範功能處於開啟狀態時,如果用戶登錄設備連續失敗的次數達到指定次數,則此用戶IP地址將被加入黑名單,在全局黑名單功能開啟的情況下,來自該IP地址的用戶報文將被阻斷指定的時長。
若用戶成功登錄或設備重啟,用戶登錄失敗次數會重新從零計數。
# 配置Login用戶登錄失敗的最大次數為5次。
<Sysname> system-view
[Sysname] attack-defense login max-attempt 5
【相關命令】
· attack-defense login enable
attack-defense login reauthentication-delay命令用來配置Login用戶登錄失敗後重新進行認證的等待時長。
undo attack-defense login reauthentication-delay命令用來恢複缺省情況。
attack-defense login reauthentication-delay seconds
undo attack-defense login reauthentication-delay
【缺省情況】
Login用戶登錄失敗後重新進行認證不需要等待。
係統視圖
network-admin
context-admin
【參數】
seconds:設備管理用戶登錄失敗後重新進行認證的等待時長,取值範圍為4~60,單位為秒。
【使用指導】
Login用戶登錄失敗後,若設備上配置了重新進行認證的等待時長,則係統將會延遲一定的時長之後再允許用戶進行認證,可以避免設備受到字典式攻擊。
Login用戶延遲認證功能與Login用戶攻擊防範功能無關,隻要配置了延遲認證等待時間,即可生效。
# 配置Login用戶登錄失敗後重新進行認證的等待時長為5秒鍾。
[Sysname] attack-defense login reauthentication-delay 5
attack-defense malformed-packet defend enable命令用來開啟畸形報文檢測與防範功能。
undo attack-defense malformed-packet defend enable命令用來關閉畸形報文檢測與防範功能。
【命令】
attack-defense malformed-packet defend enable
undo attack-defense malformed-packet defend enable
【缺省情況】
畸形報文檢測與防範功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
畸形報文檢測與防範功能用於提高單包攻擊的檢測與防範效率。開啟該功能後,設備將提前對部分單包攻擊報文進行檢測和丟棄。目前設備支持對如下畸形報文進行檢測和丟棄:TCP ALL flags、TCP FIN only flags、TCP Invalid flags、TCP NULL flags、TCP SYN&FIN flags、Land、Winnuke、UDP Fraggle、UDP Bomb、UDP Snork。
對於無法進行畸形報文檢測的單包攻擊類型,可執行signature detect命令開啟相應的單包攻擊檢測功能。
【舉例】
# 開啟畸形報文檢測與防範功能。
<Sysname> system-view
[Sysname] attack-defense malformed-packet defend enable
【相關命令】
· signature detect
attack-defense policy命令用來創建一個攻擊防範策略,並進入攻擊防範策略視圖。如果指定的攻擊防範策略已經存在,則直接進入攻擊防範策略視圖。
undo attack-defense policy命令用來刪除指定的攻擊防範策略。
【命令】
attack-defense policy policy-name
undo attack-defense policy policy-name
【缺省情況】
不存在任何攻擊防範策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:攻擊防範策略名稱,為1~31個字符的字符串,不區分大小寫。合法取值包括大寫字母、小寫字母、數字、特殊字符“_”和“-”。
【使用指導】
攻擊防範的缺省觸發閾值對於現網環境而言可能過小,這會導致用戶上網慢或者網頁打不開等情況,請根據實際網絡環境配置合理的觸發閾值。
【舉例】
# 創建攻擊防範策略atk-policy-1,並進入攻擊防範策略視圖。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1]
【相關命令】
· attack-defense apply policy
· display attack-defense policy
attack-defense signature log non-aggregate命令用來指定對單包攻擊防範日誌非聚合輸出。
undo attack-defense signature log non-aggregate命令用來恢複缺省情況。
【命令】
attack-defense signature log non-aggregate
undo attack-defense signature log non-aggregate
【缺省情況】
單包攻擊防範的日誌信息經係統聚合後再輸出。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對日誌進行聚合輸出是指,在一定時間內,對在同一個安全域上檢測到的相同攻擊類型、相同攻擊防範動作、相同的源/目的地址以及屬於相同VPN的單包攻擊的所有日誌聚合成一條日誌輸出。通常不建議開啟單包攻擊防範的日誌非聚合輸出功能,因為在單包攻擊較為頻繁的情況下,它會導致大量日誌信息輸出,占用控製台的顯示資源。
【舉例】
# 開啟對單包攻擊防範日誌的非聚合輸出功能。
<Sysname> system-view
[Sysname] attack-defense signature log non-aggregate
【相關命令】
· signature detect
attack-defense top-attack-statistics enable命令用來開啟攻擊排名的Top統計功能。
undo attack-defense top-attack-statistics enable命令用來關閉攻擊排名的Top統計功能。
【命令】
attack-defense top-attack-statistics enable
undo attack-defense top-attack-statistics enable
【缺省情況】
攻擊排名的Top統計功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
可以通過display attack-defense top-attack-statistics命令查看攻擊數目的Top排名統計信息。
【舉例】
# 開啟攻擊排名的Top統計功能。
<Sysname> system-view
[Sysname] attack-defense top-attack-statistics enable
【相關命令】
· display attack-defense top-attack-statistics
blacklist destination-ip命令用來添加目的IPv4黑名單表項。
undo blacklist destination-ip命令用來刪除指定的目的IPv4黑名單表項。
【命令】
blacklist destination-ip destination-ip-address [ vpn-instance vpn-instance-name ] [ timeout minutes ]
undo blacklist destination-ip destination-ip-address [ vpn-instance vpn-instance-name ]
【缺省情況】
不存在目的IPv4黑名單表項。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
destination-ip-address:黑名單的IPv4地址,用於匹配報文的目的IP地址。
vpn-instance vpn-instance-name:黑名單所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該黑名單屬於公網。
timeout minutes:黑名單表項的老化時間。其中,minutes表示老化時間,取值範圍為1~10080,單位為分鍾。若未指定本參數,則表示該黑名單表項永不老化,除非用戶手動將其刪除。
【使用指導】
通過執行undo blacklist destination-ip命令可以刪除用戶手工添加的目的IPv4黑名單表項,動態生成的目的IPv4黑名單表項需通過執行reset blacklist destination-ip命令刪除。指定了老化時間的目的黑名單表項不會被保存在配置文件中,且保存配置重啟後會被刪除。可通過執行display blacklist destination-ip命令查看當前所有生效的目的IPv4黑名單表項。
【舉例】
# 將IP地址192.168.1.2加入目的IPv4黑名單,指定其老化時間為20分鍾。
<Sysname> system-view
[Sysname] blacklist ip 192.168.1.2 timeout 20
【相關命令】
· blacklist enable
· blacklist global enable
· display blacklist destination-ip
blacklist destination-ipv6命令用來添加目的IPv6黑名單表項。
undo blacklist destination-ipv6命令用來刪除指定的目的IPv6黑名單表項。
【命令】
blacklist destination-ipv6 destination-ipv6-address [ vpn-instance vpn-instance-name ] [ timeout minutes ]
undo blacklist destination-ipv6 destination-ipv6-address [ vpn-instance vpn-instance-name ]
【缺省情況】
不存在目的IPv6黑名單表項。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
destination-ipv6-address:黑名單的IPv6地址,用於匹配報文的目的IPv6地址。
vpn-instance vpn-instance-name:黑名單所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該黑名單屬於公網。
timeout minutes:黑名單表項的老化時間。其中,minutes表示老化時間,取值範圍為1~10080,單位為分鍾。若未指定本參數,則表示該黑名單表項永不老化,除非用戶手動將其刪除。
【使用指導】
通過執行undo blacklist destination-ipv6命令可以刪除用戶手工添加的目的IPv6黑名單表項,動態生成的目的IPv6黑名單表項需通過執行reset blacklist ipv6命令刪除。指定了老化時間的目的黑名單表項不會被保存在配置文件中,且保存配置重啟後會被刪除。可通過執行display blacklist destination-ipv6命令查看當前所有生效的目的IPv6黑名單表項。
【舉例】
# 將IPv6地址2012::12:25加入目的IPv6黑名單,指定其老化時間為10分鍾。
<Sysname> system-view
[Sysname] blacklist ipv6 2012::12:25 timeout 10
【相關命令】
· blacklist enable
· blacklist global enable
· blacklist destination-ipv6
blacklist enable命令用來開啟安全域上的黑名單過濾功能。
undo blacklist enable命令用來關閉安全域上的黑名單過濾功能。
【命令】
blacklist enable
undo blacklist enable
【缺省情況】
安全域上的黑名單過濾功能處於關閉狀態。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
若全局的黑名單過濾功能處於開啟狀態,則所有安全域上的黑名單過濾功能均處於開啟狀態。若全局的黑名單過濾功能處於關閉狀態,則安全域上的黑名單過濾功能由本命令決定是否開啟。
【舉例】
# 開啟安全域Untrust上的黑名單過濾功能。
<Sysname> system-view
[Sysname] security-zone name untrust
[Sysname-security-zone-Untrust] blacklist enable
【相關命令】
· blacklist ip
· blacklist ipv6
blacklist global enable命令用來開啟全局黑名單過濾功能。
undo blacklist global enable命令用來關閉全局黑名單過濾功能。
【命令】
blacklist global enable
undo blacklist global enable
【缺省情況】
全局黑名單過濾功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
使能全局黑名單過濾功能表示開啟所有安全域上的黑名單過濾功能。
【舉例】
# 開啟全局黑名單過濾功能。
<Sysname> system-view
[Sysname] blacklist global enable
【相關命令】
· blacklist enable
· blacklist ip
blacklist ip命令用來添加源IPv4黑名單表項。
undo blacklist ip命令用來刪除指定的源IPv4黑名單表項。
【命令】
blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ] [ timeout minutes ]
undo blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ]
【缺省情況】
不存在源IPv4黑名單表項。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
source-ip-address:源黑名單的IPv4地址,用於匹配報文的源IP地址。
vpn-instance vpn-instance-name:源黑名單所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該源黑名單屬於公網。
ds-lite-peer ds-lite-peer-address:源黑名單所屬的DS-Lite隧道對端地址。其中,ds-lite-peer-address表示源黑名單的IPv4地址所屬的DS-Lite隧道B4端IPv6地址。
timeout minutes:源黑名單表項的老化時間。其中,minutes表示老化時間,取值範圍為1~10080,單位為分鍾。若未指定本參數,則表示該源黑名單表項永不老化,除非用戶手動將其刪除。
【使用指導】
通過執行undo blacklist ip命令可以刪除用戶手工添加的源黑名單表項,動態生成的源黑名單表項需通過執行reset blacklist ip命令刪除。指定了老化時間的源黑名單表項不會被保存在配置文件中,且保存配置重啟後會被刪除。可通過執行display blacklist ip命令查看當前所有生效的源IPv4黑名單表項。
【舉例】
# 將IP地址192.168.1.2加入源黑名單,指定其老化時間為20分鍾。
<Sysname> system-view
[Sysname] blacklist ip 192.168.1.2 timeout 20
【相關命令】
· blacklist enable
· blacklist global enable
· display blacklist ip
blacklist ipv6命令用來添加源IPv6黑名單表項。
undo blacklist ipv6命令用來刪除指定的源IPv6黑名單表項。
【命令】
blacklist ipv6 source-ipv6-address [ vpn-instance vpn-instance-name ] [ timeout minutes ]
undo blacklist ipv6 source-ipv6-address [ vpn-instance vpn-instance-name ]
【缺省情況】
不存在源IPv6黑名單表項。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
source-ipv6-address:源黑名單的IPv6地址,用於匹配報文的源IP地址。
vpn-instance vpn-instance-name:源黑名單所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該源黑名單屬於公網。
timeout minutes:源黑名單表項的老化時間。其中,minutes表示老化時間,取值範圍為1~10080,單位為分鍾。若未指定本參數,則表示該源黑名單表項永不老化,除非用戶手動將其刪除。
【使用指導】
通過執行undo blacklist ipv6命令可以刪除用戶手工添加的源黑名單表項,動態生成的源黑名單表項需通過執行reset blacklist ipv6命令刪除。指定了老化時間的源黑名單表項不會被保存在配置文件中,且保存配置重啟後會被刪除。可通過執行display blacklist ipv6命令查看當前所有生效的源IPv6黑名單表項。
【舉例】
# 將IPv6地址2012::12:25加入源黑名單,指定其老化時間為10分鍾。
<Sysname> system-view
[Sysname] blacklist ipv6 2012::12:25 timeout 10
【相關命令】
· blacklist enable
· blacklist global enable
· blacklist ip
blacklist logging enable命令用來使能黑名單日誌功能。
undo blacklist logging enable命令用來關閉黑名單日誌功能。
【命令】
blacklist logging enable
undo blacklist logging enable
黑名單日誌功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟黑名單日誌功能後,當增加黑名單、刪除黑名單、掃描攻擊防範動態添加黑名單、黑名單老化被刪除時會有相應的日誌輸出,日誌的內容主要包括黑名單的源IP地址、DS-Lite隧道對端地址、VPN實例名稱、添加或刪除的原因以及老化時間等。
設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 開啟黑名單日誌功能,並配置一條黑名單後,輸出如下日誌信息。
<Sysname> system-view
[Sysname] blacklist logging enable
[Sysname] blacklist ip 192.168.100.12
%Mar 13 03:47:49:736 2013 Sysname BLS/5/BLS_ENTRY_ADD:SrcIPAddr(1003)=192.168.100.12; DSLiteTunnelPeer(1040)=--; RcvVPNInstance(1041)=--; TTL(1051)=; Reason(1052)=Configuration.
# 刪除一條黑名單後,輸出如下日誌信息。
[Sysname] undo blacklist ip 192.168.100.12
%Mar 13 03:49:52:737 2013 Sysname BLS/5/BLS_ENTRY_DEL:SrcIPAddr(1003)=192.168.100.12; DSLiteTunnelPeer(1040)=--; RcvVPNInstance(1041)=--; Reason(1052)=Configuration.
【相關命令】
· blacklist ip
· blacklist ipv6
blacklist object-group命令通過引用地址對象組配置黑名單。
undo blacklist object-group命令用來恢複缺省情況。
【命令】
blacklist object-group object-group-name
undo blacklist object-group
【缺省情況】
未引用地址對象組。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group-name:地址對象組名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
本命令需要和地址對象組功能配合使用,有關地址對象組功能的詳細介紹,請參見“安全配置指導”中的“對象組”。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 通過引用地址對象組object-group1配置黑名單。
<Sysname> system-view
[Sysname] blacklist object-group object-group1
blacklist user命令用來添加用戶黑名單表項。
undo blacklist user命令用來刪除指定用戶的黑名單表項。
【命令】
blacklist user user-name [ domain domain-name ] [ timeout minutes ]
undo blacklist user user-name [ domain domain-name ]
【缺省情況】
不存在用戶黑名單表項。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
user-name:表示用戶的名稱,為1~55個字符的字符串,區分大小寫。
domain domain-name:表示用戶所屬的身份識別域。domain-name是身份識別域的名稱,為1~255個字符的字符串,不區分大小寫,不能包括字符“?”。若不指定此參數,則表示用戶不屬於任何身份識別域。
timeout minutes:用戶黑名單表項的老化時間。其中,minutes表示老化時間,取值範圍為1~1000,單位為分鍾。若未指定本參數,則表示該用戶黑名單表項永不老化,除非手動將其刪除。
【使用指導】
用戶黑名單功能需要配合用戶身份識別功能使用,有關用戶身份識別功能的詳細介紹,請參見“安全配置指導”中的“用戶身份識別與管理”。
【舉例】
# 將用戶usera加入用戶黑名單,老化時間為20分鍾。
<Sysname> system-view
[Sysname] blacklist user usera timeout 20
# 添加一個用戶黑名單表項,用戶名為usera,域名為domaina。
<Sysname> system-view
[Sysname] blacklist user usera domain domaina timeout 20
【相關命令】
· blacklist global enable
· display blacklist user
client-verify dns enable命令用來在安全域上開啟DNS客戶端驗證功能。
undo client-verify dns enable命令用來關閉安全域上的DNS客戶端驗證功能。
【命令】
client-verify dns enable
undo client-verify dns enable
【缺省情況】
安全域上的DNS客戶端驗證功能處於關閉狀態。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
該功能一般應用在設備連接外部網絡的安全域上,用來保護內部網絡的DNS服務器免受外部網絡中非法客戶端發起的DNS flood攻擊。當設備監測到某服務器受到了DNS flood攻擊時,會根據配置的攻擊防範處理行為啟動相應的防範措施。若防範處理行為配置為對攻擊報文進行客戶端驗證(指定參數為client-verify),則設備會將該服務器IP地址添加到受保護IP表項中(可通過display client-verify dns protected ip命令查看),對後續新建DNS query請求連接的協商報文進行合法性檢查,過濾非法客戶端發起的DNS query請求報文。
【舉例】
# 在安全域DMZ上開啟DNS客戶端驗證功能。
<Sysname> system-view
[Sysname] security-zone name DMZ
[Sysname-security-zone-DMZ] client-verify dns enable
【相關命令】
· client-verify dns protected ip
· display client-verify dns protected ip
client-verify dns-reply enable命令用來在安全域上開啟DNS reply驗證功能。
undo client-verify dns-reply enable命令用來關閉安全域上的DNS reply驗證功能。
【命令】
client-verify dns-reply enable
undo client-verify dns-reply enable
【缺省情況】
安全域上的DNS reply驗證功能處於關閉狀態。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
該功能一般應用在設備連接外部網絡的安全域上,用來保護內部網絡的DNS客戶端免受外部網絡中非法服務器發起的DNS reply flood攻擊。當設備監測到某客戶端受到了DNS reply flood攻擊時,會根據配置的攻擊防範處理行為啟動相應的防範措施。若防範處理行為配置為對攻擊報文進行DNS reply驗證(指定參數為client-verify),則設備會將該客戶端IP地址添加到受保護IP表項中(可通過display client-verify dns-reply protected ip命令查看),對後續DNS reply報文進行源探測,過濾非法的DNS reply報文。
【舉例】
# 在安全域dmz上開啟DNS reply驗證功能。
<Sysname> system-view
[Sysname] security-zone name dmz
[Sysname-security-zone-DMZ] client-verify dns-reply enable
【相關命令】
· client-verify dns-reply protected ip
· display client-verify dns-reply protected ip
client-verify http enable命令用來在安全域上開啟HTTP客戶端驗證功能。
undo client-verify http enable命令用來關閉安全域上的HTTP客戶端驗證功能。
【命令】
client-verify http enable
undo client-verify http enable
【缺省情況】
安全域上的HTTP客戶端驗證功能處於關閉狀態。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
該功能一般應用在設備連接外部網絡的安全域上,用來保護內部網絡的服務器免受外部網絡中非法客戶端發起的HTTP flood攻擊。當設備監測到某服務器受到了HTTP flood攻擊時,會根據配置的攻擊防範處理行為啟動相應的防範措施。若防範處理行為配置為對攻擊報文進行客戶端驗證(指定參數為client-verify),則設備會將該服務器IP地址添加到受保護IP表項中(可通過display client-verify http protected ip命令查看),對後續新建HTTP get請求連接的協商報文進行合法性檢查,過濾非法客戶端發起的HTTP get請求報文。
【舉例】
# 在安全域DMZ上開啟HTTP客戶端驗證功能。
<Sysname> system-view
[Sysname] security-zone name DMZ
[Sysname- security-zone-DMZ] client-verify http enable
【相關命令】
· client-verify http protected ip
· display client-verify http protected ip
client-verify sip enable命令用來在安全域上開啟SIP客戶端驗證功能。
undo client-verify sip enable命令用來關閉安全域上的SIP客戶端驗證功能。
【命令】
client-verify sip enable
undo client-verify sip enable
【缺省情況】
安全域上的SIP客戶端驗證功能處於關閉狀態。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
該功能一般應用在設備連接外部網絡的安全域上,用來保護內部網絡的DNS服務器免受外部網絡中非法客戶端發起的SIP flood攻擊。當設備監測到某IP地址受到了SIP flood攻擊時,會根據配置的攻擊防範處理行為啟動相應的防範措施。若防範處理行為配置為對攻擊報文進行客戶端驗證(指定參數為client-verify),則設備會將該服務器IP地址添加到受保護IP表項中(可通過display client-verify sip protected ip命令查看),對後續新建SIP INVITE請求報文進行合法性檢查,過濾非法客戶端發起的SIP INVITE請求報文。
【舉例】
# 在安全域DMZ上開啟SIP客戶端驗證功能。
<Sysname> system-view
[Sysname] security-zone name DMZ
[Sysname-security-zone-DMZ] client-verify sip enable
【相關命令】
· client-verify sip protected ip
· display client-verify sip protected ip
client-verify protected ip命令用來配置IPv4類型客戶端驗證的受保護IP地址。
undo client-verify protected ip命令用來刪除指定的受保護IP地址。
【命令】
client-verify { dns | dns-reply | http | sip | tcp } protected ip destination-ip-address [ vpn-instance vpn-instance-name ] [ port port-number ]
undo client-verify { dns | dns-reply | http | sip | tcp } protected ip destination-ip-address [ vpn-instance vpn-instance-name ] [ port port-number ]
【缺省情況】
不存在任何IPv4類型客戶端驗證受保護IP地址,即客戶端驗證功能未保護任何IPv4地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dns:指定DNS客戶端驗證功能。
dns-reply:指定DNS reply驗證功能。
http:指定HTTP客戶端驗證功能。
sip:指定SIP客戶端驗證功能。
tcp:指定TCP客戶端驗證功能。
destination-ip-address:指定受客戶端驗證保護的IPv4地址,即會對向該目的地址發送的連接請求進行代理。
vpn-instance vpn-instance-name:受客戶端驗證保護的IP地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該受保護IP地址屬於公網。
port port-number:指定受客戶端驗證保護的端口號,取值範圍為1~65535。若未指定本參數,對於DNS客戶端驗證的受保護IP,則表示對端口53的DNS query連接請求做代理;對於DNS reply驗證的受保護IP,則表示對端口53的DNS reply連接請求做代理;對於HTTP客戶端驗證的受保護IP,則表示對端口80的HTTP GET連接請求做代理;對於SIP客戶端驗證的受保護IP,則表示對端口5060的SIP INVITE連接請求做代理;對於TCP客戶端驗證的受保護IP,則表示對所有端口的TCP連接請求做代理。
【使用指導】
可通過多次執行本命令添加多個IPv4類型客戶端驗證受保護IP地址。
【舉例】
# 配置一個TCP客戶端驗證受保護IPv4地址為2.2.2.5、受保護端口號為25。
<Sysname> system-view
[Sysname] client-verify tcp protected ip 2.2.2.5 port 25
# 配置一個DNS客戶端驗證受保護IPv4地址為2.2.2.5、受保護端口號為50。
<Sysname> system-view
[Sysname] client-verify dns protected ip 2.2.2.5 port 50
【相關命令】
· display client-verify protected ip
client-verify protected ipv6命令用來配置IPv6類型客戶端驗證的受保護IP地址。
undo client-verify protected ipv6命令用來刪除指定的受保護IP地址。
【命令】
client-verify { dns | dns-reply | http | sip | tcp } protected ipv6 destination-ipv6-address [ vpn-instance vpn-instance-name ] [ port port-number ]
undo client-verify { dns | dns-reply | http | sip | tcp } protected ipv6 destination-ipv6-address [ vpn-instance vpn-instance-name ] [ port port-number ]
【缺省情況】
不存在任何IPv6類型客戶端驗證受保護IP地址,即客戶端驗證功能未保護任何IPv6地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dns:指定DNS客戶端驗證功能。
dns-reply:指定DNS reply驗證功能。
http:指定HTTP客戶端驗證功能。
sip:指定SIP客戶端驗證功能。
tcp:指定TCP客戶端驗證功能。
destination-ipv6-address:指定受客戶端驗證保護的IPv6地址,即會對向該目的地址發送的連接請求進行代理。對於受TCP客戶端驗證保護的IPv6地址,發送的是TCP連接請求;對於受DNS客戶端驗證保護的IPv6地址,發送的是DNS query請求;對於受HTTP客戶端驗證保護的IPv6地址,發送的是HTTP get連接請求。
vpn-instance vpn-instance-name:受客戶端驗證保護的IPv6地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該受保護IP地址屬於公網。
port port-number:指定受客戶端驗證保護的端口號,取值範圍為1~65535。若未指定本參數,對於DNS客戶端驗證的受保護IP,則表示對端口53的DNS query連接請求做代理;對於DNS reply驗證的受保護IP,則表示對端口53的DNS reply連接請求做代理;對於HTTP客戶端驗證的受保護IP,則表示對端口80的HTTP GET連接請求做代理;對於SIP客戶端驗證的受保護IP,則表示對端口5060的SIP INVITE連接請求做代理;對於TCP客戶端驗證的受保護IP,則表示對所有端口的TCP連接請求做代理。
【使用指導】
可通過多次執行本命令添加多個IPv6類型客戶端驗證受保護IP地址。
【舉例】
# 配置一個TCP客戶端驗證受保護IPv6地址為2013::12、受保護端口號為23。
<Sysname> system-view
[Sysname] client-verify tcp protected ipv6 2013::12 port 23
# 配置一個HTTP客戶端驗證受保護IPv6地址為2013::12。
<Sysname> system-view
[Sysname] client-verify http protected ipv6 2013::12
【相關命令】
· display client-verify protected ipv6
client-verify tcp enable命令用來在安全域上開啟TCP客戶端驗證功能。
undo client-verify tcp enable命令用來關閉安全域上的TCP客戶端驗證功能。
【命令】
client-verify tcp enable [ mode { syn-cookie | safe-reset } ]
undo client-verify tcp enable
【缺省情況】
安全域上的TCP客戶端驗證功能處於關閉狀態。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
mode:指定TCP客戶端驗證的工作模式。不指定該參數時,則表示工作模式為syn-cookie。
syn-cookie:指定TCP客戶端驗證的工作模式為syn-cookie,即開啟TCP客戶端驗證雙向代理。
safe-reset:指定TCP客戶端驗證的工作模式為safe-reset,即開啟TCP客戶端驗證單向代理。
【使用指導】
該功能一般應用在設備連接外部網絡的安全域上,用來保護內部網絡的服務器免受外部網絡中非法客戶端發起的SYN flood、SYN-ACK flood、RST flood、FIN flood、ACK flood攻擊。當設備監測到某服務器受到了SYN flood、SYN-ACK flood、RST flood、FIN flood、ACK flood攻擊時,會根據配置的攻擊防範處理行為啟動相應的防範措施。若防範處理行為配置為對攻擊報文進行客戶端驗證(指定參數為client-verify),則設備會將該服務器IP地址添加到受保護IP表項中(可通過display client-verify tcp protected ip命令查看),並按照指定的單向或雙向工作模式,對後續新建TCP連接的協商報文進行合法性檢查,過濾非法客戶端發起的TCP連接報文。TCP客戶端驗證功能支持兩種代理模式:
· 單向代理模式(safe-reset):是指僅對TCP連接的正向報文進行處理。
· 雙向代理模式(syn-cookie):是指對TCP連接的正向和反向報文都進行處理。
用戶可以根據實際的組網情況選擇不同的代理模式。若從客戶端發出的報文經過使能了TCP客戶端驗證功能的設備時,而從服務器端發出的報文不經過該設備,此時隻能使用單向代理模式;從客戶端發出的報文經和從服務器端發出的報文都經過使能了TCP客戶端驗證功能的設備時,此時可以使用單向代理模式,也可以使用雙向代理模式;代理隻適合在入安全域上使能,否則無法建立正常連接。
【舉例】
# 在安全域DMZ上開啟TCP客戶端驗證功能,並指定工作模式為單向代理。
<Sysname> system-view
[Sysname] security-zone name dmz
[Sysname-security-zone-DMZ] client-verify tcp enable mode safe-reset
【相關命令】
· client-verify tcp protected ip
· display client-verify tcp protected ip
display attack-defense cpu-core flow info命令用來顯示CPU核受到攻擊流的相關信息。
【命令】
display attack-defense cpu-core flow info slot slot-number
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S |
不支持 |
|
F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-M、F5000-A |
支持 |
|
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55 |
不支持 |
|
F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V70 |
不支持 |
|
F1000-V60、F1000-V90 |
支持 |
|
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9210 |
不支持 |
|
F1000-AK1215、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9190 |
支持 |
|
|
插卡 |
LSUM1FWCEAB0、LSCM1FWDSD0、LSCM2FWDSD0、LSX1FWCEA1、LSXM1FWDF1、LSUM1FWDEC0、IM-NGFWX-IV、LSQM1FWDSC0、LSWM1FWD0、LSPM6FWD、LSPM6FWDB、LSQM2FWDSC0、LSU3FWCEA0 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
slot slot-number:指定成員設備。slot-number為設備在IRF中的成員編號。
【舉例】
# 顯示Slot 2,CPU 1上CPU核受到攻擊流的相關信息。
<Sysname> display attack-defense cpu-core flow info slot 2 cpu 1
Is Hardware Buffer Full: Full
TimeStamp: 2018-09-19 08:59:07
CPU ID: 10
SMAC: 02:1c:2b:3c:4d:5f DMAC: 0a:bc:2c:3d:4f:5e
VLAN ID: 0 Interface: GiabitEthernet1/0/1
SIP: 1.1.1.1 DIP: 2.2.2.2
Pro: 17
SPort: 1223 DPort: 2668
CPU Usage: 60% IfIsolate: true
SMAC: 03:11:22:33:44:55 DMAC: 04:aa:bb:cc:dd:5e
VLAN ID: 0 Interface: GiabitEthernet1/0/1
SIP: 1::1 DIP: 2::2
Pro: 132
CPU Usage: 40% IfIsolate: false
TimeStamp: 2018-09-19 08:59:07
CPU ID: 12
SMAC: 02:1c:2b:3c:4d:5f DMAC: 0a:bc:2c:3d:4f:5e
VLAN ID: 0 Interface: GiabitEthernet1/0/1
SIP: 1.1.1.1 DIP: 2.2.2.2
Pro: 17
SPort: 1223 DPort: 2668
CPU Usage: 70% IfIsolate: false
SMAC: 03:11:22:33:44:55 DMAC: 04:aa:bb:cc:dd:5e
VLAN ID: 0 Interface: GiabitEthernet1/0/1
SIP: 1::1 DIP: 2::2
Pro: 132
CPU Usage: 30% IfIsolate: false
表1-1 display core-attack flow info 命令顯示信息描述表
|
字段 |
描述 |
|
Is Hardware Buffer Full |
驅動公共硬件隊列是否已滿,其取值包括如下取值為: · Full:表示已滿 · Free:表示沒有丟包 |
|
Time |
當前信息收集結束的時間 |
|
CPU ID |
流量上送的CPU核的ID |
|
SMAC |
攻擊流的源MAC地址 |
|
DMAC |
攻擊流的目的MAC地址 |
|
VLAN ID |
攻擊流的VLAN ID |
|
Interface |
攻擊流的入接口 |
|
SIP |
攻擊流的源IP地址 |
|
DIP |
攻擊流的目的IP地址 |
|
Pro |
攻擊流的協議類型 |
|
SPort |
攻擊流源端口(隻有TCP/UDP協議支持顯示端口) |
|
DPort |
攻擊流目的端口(隻有TCP/UDP協議支持顯示端口) |
|
CPU Usage |
當前的攻擊流所消耗CPU的百分比 |
|
IfIsolate |
隔離表項是否成功下發硬件,其取值包括如下: · True:表示下發成功 · False:表示下發失敗 |
【相關命令】
· attack-defense cpu-core action
display attack-defense flood statistics ip命令用來顯示IPv4 flood攻擊防範統計信息。
【命令】
display attack-defense { ack-flood | dns-flood | dns-reply-flood | fin-flood | flood | icmp-flood | rst-flood | sip-flood | syn-flood | syn-ack-flood | udp-flood } statistics ip [ ip-address [ vpn vpn-instance-name ] ] [ security-zone zone-name ] [ slot slot-number ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ack-flood:顯示ACK flood攻擊防範統計信息。
dns-flood:顯示DNS flood攻擊防範統計信息。
dns-reply-flood:顯示DNS reply flood攻擊防範統計信息。
fin-flood:顯示FIN flood攻擊防範統計信息。
flood:顯示所有類型的IPv4 flood攻擊防範統計信息。
http-flood:顯示HTTP flood攻擊防範統計信息。
icmp-flood:顯示ICMP flood攻擊防範統計信息。
rst-flood:顯示RST flood攻擊防範統計信息。
sip-flood:顯示SIP flood攻擊防範統計信息。
syn-ack-flood:顯示SYN-ACK flood攻擊防範統計信息。
syn-flood:顯示SYN flood攻擊防範統計信息。
udp-flood:顯示UDP flood攻擊防範統計信息。
ip-address:顯示指定目的IPv4地址的flood攻擊防範統計信息。若未指定本參數,則顯示所有目的IPv4地址的flood攻擊防範統計信息。
vpn vpn-instance-name:指定IPv4地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該IPv4地址屬於公網。
security-zone zone-name:顯示指定安全域的flood攻擊防範統計信息,zone-name表示安全域名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”。
slot slot-number:顯示指定成員設備上的flood攻擊防範統計信息,slot-number表示設備在IRF中的成員編號。若未指定本參數,則表示顯示所有成員設備上的flood攻擊防範統計信息。
count:僅顯示符合指定條件的被進行flood攻擊檢測的IPv4地址數目。
【使用指導】
由於flood攻擊不關心源地址,因此本命令顯示的是對指定目的IPv4地址的攻擊防範統計信息。
【舉例】
# 顯示所有類型的IPv4 flood攻擊防範統計信息。
<Sysname> display attack-defense flood statistics ip
Slot 1:
Dest IP VPN Detected on Detect type State PPS Dropped
201.55.7.45 -- Trust1 SYN-ACK-FLOOD Normal 1000 111111111
192.168.11.5 -- Trust2 ACK-FLOOD Normal 1000 222222222
Src IP VPN Detected on Detect type State PPS Dropped
10.118.21.14 -- Trust4 SIP-FLOOD Normal 1000 265387945
Slot 2:
Dest IP VPN Detected on Detect type State PPS Dropped
201.55.1.10 -- Trust1 ACK-FLOOD Normal 1000 222222222
Src IP VPN Detected on Detect type State PPS Dropped
192.168.100.30 -- Trust3 DNS-FLOOD Normal 1000 333333333
192.168.100.66 -- Trust4 SYN-ACK-FLOOD Normal 1000 165467998
# 顯示所有類型的flood攻擊檢測的IPv4地址數目。
<Sysname> display attack-defense flood statistics ip count
Slot 1:
Totally 2 flood destination entries.
Totally 1 flood source entries.
Slot 2:
Totally 1 flood destination entries.
Totally 2 flood source entries.
表1-2 display attack-defense flood statistics ip命令顯示信息描述表
|
字段 |
描述 |
|
Dest IP |
被檢測的目的IPv4地址 |
|
Src IP |
被檢測的源IPv4地址 |
|
VPN |
目的IPv4地址所屬的MPLS L3VPN實例名稱,屬於公網時顯示為“--” |
|
Detect type |
檢測的flood攻擊類型,包括: · ACK flood · DNS flood · DNS reply flood · FIN flood · ICMP flood · ICMPv6 flood · SYN flood · SYN-ACK flood · UDP flood · RST flood · HTTP flood · SIP flood |
|
Detected on |
進行攻擊檢測的位置 |
|
State |
安全域是否處於攻擊狀態,可包括以下取值: · Attacked:受攻擊狀態 · Normal:正常狀態(當前並未受到攻擊) |
|
PPS |
指定的目的IPv4地址收到報文的速率(單位為報文每秒) |
|
Dropped |
安全域丟棄的flood攻擊報文數目 |
|
Totally 2 flood destination entries |
被檢測的IPv4目的地址表項數目 |
|
Totally 2 flood source entries |
被檢測的IPv4源地址表項數目 |
display attack-defense flood statistics ipv6命令用來顯示IPv6 flood攻擊防範統計信息。
【命令】
display attack-defense { ack-flood | dns-flood | dns-reply-flood | fin-flood |flood | http-flood | icmpv6-flood | rst-flood | sip-flood | syn-flood | syn-ack-flood | udp-flood } statistics ipv6 [ ipv6-address [ vpn vpn-instance-name ] ] [ security-zone zone-name ] [ slot slot-number ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ack-flood:顯示指定ACK flood類型統計信息。
dns-flood:顯示指定DNS flood類型統計信息。
dns-reply-flood:顯示DNS reply flood攻擊防範統計信息。
fin-flood:顯示指定FIN flood類型統計信息。
flood:顯示所有類型的IPv6 flood攻擊防範統計信息。
http-flood:顯示HTTP flood攻擊防範統計信息。
icmpv6-flood:顯示指定ICMPv6 flood類型統計信息。
rst-flood:顯示指定RST flood類型統計信息。
sip-flood:顯示指定SIP flood類型統計信息。
syn-flood:顯示指定SYN flood類型統計信息。
udp-flood:顯示指定UDP flood類型統計信息。
ipv6-address:顯示指定目的IPv6地址的flood攻擊防範統計信息。若未指定本參數,則顯示所有目的IPv6地址的flood攻擊防範統計信息。
vpn vpn-instance-name:指定IPv6地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該IPv6地址屬於公網。
security-zone zone-name:顯示指定安全域的flood攻擊防範統計信息,zone-name表示安全域名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”。
slot slot-number:顯示指定成員設備上的flood攻擊防範統計信息,slot-number表示設備在IRF中的成員編號。若未指定本參數,則表示顯示所有成員設備上的flood攻擊防範統計信息。
count:僅顯示符合指定條件的被進行flood攻擊檢測的IPv6地址數目。
【使用指導】
由於flood攻擊不關心源地址,因此本命令顯示的是對指定目的IPv6地址的攻擊防範統計信息。
【舉例】
# 顯示所有類型的IPv6 flood攻擊防範統計信息。
<Sysname> display attack-defense flood statistics ipv6
Slot 1:
Dest IPv6 VPN Detected on Detect type State PPS Dropped
1::2 -- Trust1 DNS-FLOOD Normal 1000 111111111
1::3 -- Trust2 SYN-ACK-FLOOD Normal 1000 222222222
Src IPv6 VPN Detected on Detect type State PPS Dropped
17::14 -- Trust4 SIP-FLOOD Normal 1000 266649789
Slot 2:
Dest IPv6 VPN Detected on Detect type State PPS Dropped
1::2 -- Trust1 SYN-FLOOD Normal 1000 468792363
1::5 -- Trust2 ACK-FLOOD Normal 1000 452213396
Src IPv6 VPN Detected on Detect type State PPS Dropped
1::6 -- Trust4 DNS-FLOOD Normal 1000 12569985
# 顯示所有類型的flood攻擊檢測的IPv6地址數目。
<Sysname> display attack-defense flood statistics ipv6 count
Slot 1:
Totally 1 flood destination entries.
Totally 2 flood source entries
Slot 2:
Totally 2 flood destination entries.
Totally 1 flood source entries
表1-3 display attack-defense flood statistics ipv6命令顯示信息描述表
|
字段 |
描述 |
|
Dest IPv6 |
被檢測的目的IPv6地址 |
|
Src IPv6 |
被檢測的源IPv6地址 |
|
VPN |
目的IPv6地址所屬的MPLS L3VPN實例名稱,屬於公網時顯示為“--” |
|
Detect type |
檢測的flood攻擊類型,包括: · ACK flood · DNS flood · DNS reply flood · FIN flood · ICMPv6 flood · SYN flood · SYN-ACK flood · UDP flood · RST flood · HTTP flood · SIP flood |
|
Detected on |
進行攻擊檢測的位置 |
|
State |
安全域是否處於攻擊狀態,可包括以下取值: · Attacked:受攻擊狀態 · Normal:正常狀態(當前並未受到攻擊) |
|
PPS |
指定的目的IPv6地址收到報文的速率(單位為報文每秒) |
|
Dropped |
安全域丟棄的flood攻擊報文數目 |
|
Totally 2 flood destination entries |
被檢測的IPv6目的地址表項數目 |
|
Totally 2 flood source entries |
被檢測的IPv6源地址表項數目 |
display attack-defense http-slow-attack statistics ip命令用來顯示IPv4慢速攻擊防範統計信息。
【命令】
display attack-defense http-slow-attack statistics ip [ ip-address [ vpn-instance vpn-instance-name ] ] [ [ interface { interface-type interface-number | interface-name } | local ] [ slot slot-number ] ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ip-address:顯示指定目的IPv4地址的慢速攻擊防範統計信息。若未指定本參數,則顯示指定接口或本機上的所有慢速攻擊防範統計信息。
vpn-instance vpn-instance-name:指定IPv4地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該IPv4地址屬於公網。
interface { interface-type interface-number | interface-name }:顯示指定接口的慢速攻擊防範統計信息,interface-type表示接口類型,interface-number接口編號,interface-name表示接口名稱。
local:顯示本機上進行檢測的慢速攻擊防範統計信息。
slot slot-number:顯示指定成員設備上的慢速攻擊防範統計信息,slot-number表示設備在IRF中的成員編號。該參數僅在指定本機或指定全局接口(例如VLAN接口、Tunnel接口)時可見。若未指定本參數,則表示顯示本機上所有成員設備或指定全局接口在所有成員設備上的慢速攻擊防範統計信息。
count:顯示受到慢速攻擊的IPv4地址的數目。
【使用指導】
若未指定interface和local參數,則顯示所有接口以及本機上的慢速攻擊防範統計信息。
【舉例】
# 顯示IPv4 慢速攻擊防範統計信息。
<Sysname> display attack-defense http-slow-attack statistics ip
Slot 1:
IP address VPN Detected on State
192.168.11.4 asd Local Normal
201.55.7.44 -- GE1/0/2 Normal
Slot 2:
IP address VPN Detected on State
192.168.11.4 asd Local Normal
201.55.7.44 -- GE1/0/2 Normal
# 顯示受到慢速攻擊的IPv4地址的數目。
<Sysname> display attack-defense http-slow-attack statistics ip count
Slot 1:
Totally 2 HTTP slow attack entries.
Slot 2:
Totally 1 HTTP slow attack entries.
# 顯示受到慢速攻擊的IPv4地址的數目。
<Sysname> display attack-defense http-slow-attack statistics ip count
Slot 1:
Totally 2 HTTP slow attack entries.
Slot 2:
Totally 3 HTTP slow attack entries.
表1-4 display attack-defense http-slow-attack statistics ip命令顯示信息描述表
|
字段 |
描述 |
|
IP address |
被檢測的目的IPv4地址 |
|
VPN |
目的IPv4地址所屬的MPLS L3VPN實例名稱,屬於公網時顯示為“--” |
|
Detected on |
進行攻擊檢測的位置,包括接口和本機(Local) |
|
State |
接口或本機是否處於攻擊狀態,可包括以下取值: · Attacked:受攻擊狀態 · Normal:正常狀態(當前並未受到攻擊) |
|
Totally 2 http slow attack entries |
被檢測的IPv4源地址表項數目 |
display attack-defense http-slow-attack statistics ip命令用來顯示IPv4慢速攻擊防範統計信息。
【命令】
display attack-defense http-slow-attack statistics ip [ ip-address [ vpn-instance vpn-instance-name ] ] [ security-zone zone-name ] [ slot slot-number ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ip-address:顯示指定目的IPv4地址的慢速攻擊防範統計信息。
vpn-instance vpn-instance-name:指定IPv4地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該IPv4地址屬於公網。
security-zone zone-name:顯示指定安全域的慢速攻擊防範統計信息,zone-name表示安全域名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”。
slot slot-number:顯示指定成員設備上的慢速攻擊防範統計信息,slot-number表示設備在IRF中的成員編號。若未指定本參數,則表示顯示指定安全域在所有成員設備上的慢速攻擊防範統計信息。
count:顯示受到慢速攻擊的IPv4地址的數目。
【舉例】
# 顯示慢速攻擊防範統計信息。
<Sysname> display attack-defense http-slow-attack statistics ip
Slot 1:
IP address VPN Detected on State
192.168.11.4 asd Trust1 Normal
201.55.7.44 -- Trust4 Normal
Slot 2:
IP address VPN Detected on State
192.168.11.4 asd Trust1 Normal
201.55.7.44 -- Trust4 Normal
# 顯示受到慢速攻擊的IPv4地址的數目。
<Sysname> display attack-defense http-slow-attack statistics ip count
Slot 1:
Totally 2 HTTP slow attack entries.
Slot 2:
Totally 1 HTTP slow attack entries.
表1-5 display attack-defense http-slow-attack statistics ip命令顯示信息描述表
|
字段 |
描述 |
|
IP address |
被檢測的目的IPv4地址 |
|
VPN |
目的IPv4地址所屬的MPLS L3VPN實例名稱,屬於公網時顯示為“--” |
|
Detected on |
進行攻擊檢測的位置 |
|
State |
安全域是否處於攻擊狀態,可包括以下取值: · Attacked:受攻擊狀態 · Normal:正常狀態(當前並未受到攻擊) |
|
Totally 2 HTTP slow attack entries |
被檢測的IPv4源地址表項數目 |
display attack-defense http-slow-attack statistics ipv6命令用來顯示IPv6慢速攻擊防範統計信息。
【命令】
display attack-defense http-slow-attack statistics ipv6 [ ipv6-address [ vpn-instance vpn-instance-name ] ] [ [ interface { interface-type interface-number | interface-name } | local ] [ slot slot-number ] ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ipv6-address:顯示指定目的IPv6地址的慢速攻擊防範統計信息。若未指定本參數,則顯示指定接口或本機上的所有慢速攻擊防範統計信息。
vpn-instance vpn-instance-name:指定IPv6地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該IPv6地址屬於公網。
interface { interface-type interface-number | interface-name }:顯示指定接口的慢速攻擊防範統計信息,interface-type表示接口類型,interface-number接口編號,interface-name表示接口名稱。
local:顯示本機上進行檢測的慢速攻擊防範統計信息。
slot slot-number:顯示指定成員設備上的慢速攻擊防範統計信息,slot-number表示設備在IRF中的成員編號。該參數僅在指定本機或指定全局接口(例如VLAN接口、Tunnel接口)時可見。若未指定本參數,則表示顯示本機上所有成員設備或指定全局接口在所有成員設備上的慢速攻擊防範統計信息。
count:顯示受到慢速攻擊的IPv6地址的數目。
【使用指導】
若未指定interface和local參數,則顯示所有接口以及本機上的慢速攻擊防範統計信息。
【舉例】
# 顯示慢速攻擊防範統計信息。
<Sysname> display attack-defense http-slow-attack statistics ipv6
Slot 1:
IPv6 address VPN Detected on State
1::5 asd Local Normal
17::14 -- GE1/0/2 Normal
Slot 2:
IPv6 address VPN Detected on State
1::5 asd Local Normal
17::14 -- GE1/0/2 Normal
# 顯示受到慢速攻擊的IPv6地址的數目。
<Sysname> display attack-defense http-slow-attack statistics ipv6 count
Slot 1:
Totally 5 HTTP slow attack entries.
Slot 2:
Totally 3 HTTP slow attack entries.
表1-6 display attack-defense http-slow-attack statistics ipv6命令顯示信息描述表
|
字段 |
描述 |
|
IPv6 address |
被檢測的目的IPv6地址 |
|
VPN |
目的IPv6地址所屬的MPLS L3VPN實例名稱,屬於公網時顯示為“--” |
|
Detected on |
進行攻擊檢測的位置,包括接口和本機(Local) |
|
State |
接口或本機是否處於攻擊狀態,可包括以下取值: · Attacked:受攻擊狀態 · Normal:正常狀態(當前並未受到攻擊) |
|
Totally 2 HTTP slow attack entries |
被檢測的IPv6源地址表項數目 |
display attack-defense http-slow-attack statistics ipv6命令用來顯示IPv6慢速攻擊防範統計信息。
【命令】
display attack-defense http-slow-attack statistics ipv6 [ ipv6-address [ vpn-instance vpn-instance-name ] ] [ security-zone zone-name ] [ slot slot-number ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ipv6-address:顯示指定目的IPv6地址的慢速攻擊防範統計信息。
vpn-instance vpn-instance-name:指定IPv6地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該IPv6地址屬於公網。
security-zone zone-name:顯示指定安全域的慢速攻擊防範統計信息,zone-name表示安全域名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”。
slot slot-number:顯示指定成員設備上的慢速攻擊防範統計信息,slot-number表示設備在IRF中的成員編號。若未指定本參數,則表示顯示指定安全域在所有成員設備上的慢速攻擊防範統計信息。
count:顯示受到慢速攻擊的IPv6地址的數目。
【舉例】
# 顯示慢速攻擊防範統計信息。
<Sysname> display attack-defense http-slow-attack statistics ipv6
Slot 1:
IPv6 address VPN Detected on State
2000::1011 asd Trust1 Normal
1::4 -- Trust4 Normal
Slot 2:
IPv6 address VPN Detected on State
2000::1011 asd Trust1 Normal
1::4 -- Trust4 Normal
# 顯示受到慢速攻擊的IPv6地址的數目。
<Sysname> display attack-defense http-slow-attack statistics ipv6 count
Slot 1:
Totally 5 HTTP slow attack entries.
Slot 2:
Totally 3 HTTP slow attack entries.
表1-7 display attack-defense http-slow-attack statistics ipv6命令顯示信息描述表
|
字段 |
描述 |
|
IPv6 address |
被檢測的目的IPv6地址 |
|
VPN |
目的IPv6地址所屬的MPLS L3VPN實例名稱,屬於公網時顯示為“--” |
|
Detected on |
進行攻擊檢測的位置 |
|
State |
安全域是否處於攻擊狀態,可包括以下取值: · Attacked:受攻擊狀態 · Normal:正常狀態(當前並未受到攻擊) |
|
Totally 5 HTTP slow attack entries |
被檢測的IPv6源地址表項數目 |
display attack-defense malformed-packet statistics命令用來顯示畸形報文統計信息。
【命令】
display attack-defense malformed-packet statistics [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
slot slot-number:顯示指定成員設備上的畸形報文統計信息,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的畸形報文統計信息。
【舉例】
# 顯示畸形報文統計信息。
<Sysname> display attack-defense malformed-packet statistics
Slot 1:
Malformed packets dropped: 10000
Slot 2:
Malformed packets dropped: 1000
表1-8 display attack-defense malformed-packet statistics命令顯示信息描述表
|
字段 |
描述 |
|
Malformed packets dropped |
丟棄的畸形報文總數 |
【相關命令】
· reset attack-defense malformed-packet statistics
display attack-defense policy用來顯示攻擊防範策略的配置信息。
【命令】
display attack-defense policy [ policy-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
policy-name:攻擊防範策略名稱,為1~31個字符的字符串,包括英文大/小寫字母、數字、下劃線和連字符,不區分大小寫。若未指定本參數,則表示顯示所有攻擊防範策略的摘要信息。
【使用指導】
本命令顯示的內容主要包括各類型攻擊防範的使能情況、對攻擊報文的處理方式和相關的閾值參數。
【舉例】
# 顯示指定攻擊防範策略abc的配置信息。
<Sysname> display attack-defense policy abc
Attack-defense Policy Information
--------------------------------------------------------------------------
Policy name : abc
Applied list : Trust
--------------------------------------------------------------------------
Exempt IPv4 ACL: : Not configured
Exempt IPv6 ACL: : vip
--------------------------------------------------------------------------
Actions: CV-Client verify BS-Block source L-Logging D-Drop N-None
Signature attack defense configuration:
Signature name Defense Level Actions
Fragment Enabled Info L
Impossible Enabled Info L
Teardrop Disabled Info L
Tiny fragment Disabled Info L
IP option abnormal Disabled Info L
Smurf Disabled Info N
Traceroute Disabled Medium L,D
Ping of death Disabled Low L
Large ICMP Disabled Medium L,D
Max length 4000 bytes
Large ICMPv6 Disabled Low L
Max length 4000 bytes
TCP invalid flags Disabled medium L,D
TCP null flag Disabled Low L
TCP all flags Enabled Info L
TCP SYN-FIN flags Disabled Info L
TCP FIN only flag Enabled Info L
TCP Land Disabled Info L
Winnuke Disabled Info L
UDP Bomb Disabled Info L
UDP Snork Disabled Info L
UDP Fraggle Enabled Info L
IP option record route Disabled Info L
IP option internet timestamp Enabled Info L
IP option security Disabled Info L
IP option loose source routing Enabled Info L
IP option stream ID Disabled Info L
IP option strict source routing Disabled Info L
IP option route alert Disabled Info L
ICMP echo request Disabled Info L
ICMP echo reply Disabled Info L
ICMP source quench Disabled Info L
ICMP destination unreachable Enabled Info L
ICMP redirect Enabled Info L
ICMP time exceeded Enabled Info L
ICMP parameter problem Disabled Info L
ICMP timestamp request Disabled Info L
ICMP timestamp reply Disabled Info L
ICMP information request Disabled Info L
ICMP information reply Disabled Medium L,D
ICMP address mask request Disabled Medium L,D
ICMP address mask reply Disabled Medium L,D
ICMPv6 echo request Enabled Medium L,D
ICMPv6 echo reply Disabled Medium L,D
ICMPv6 group membership query Disabled Medium L,D
ICMPv6 group membership report Disabled Medium L,D
ICMPv6 group membership reduction Disabled Medium L,D
ICMPv6 destination unreachable Enabled Medium L,D
ICMPv6 time exceeded Enabled Medium L,D
ICMPv6 parameter problem Disabled Medium L,D
ICMPv6 packet too big Disabled Medium L,D
IPv6 extension header abnormal Disabled Info L
IPv6 extension header exceeded Disabled Info L
Limit 7
Scan attack defense configuration:
Preset defense:
Defense: Disabled
User-defined defense:
Port scan defense: Enabled
Port scan defense threshold: 5000 packets
IP sweep defense: Enabled
IP sweep defense threshold: 8000 packets
Period: 100s
Actions: L
Flood type Global dest/src thres(pps) Global actions Service ports Non-specific
DNS flood 1000/1000 - 53 Disabled
DNS reply flood 1000/1000 - - Disabled
HTTP flood 1000/1000 80 - Disabled
SIP flood 1000/1000 50 - Enabled
SYN flood 1000/1000 - - Disabled
ACK flood 1000/1000 - - Disabled
SYN-ACK flood 1000/1000 - - Disabled
RST flood 1000/1000 - - Disabled
FIN flood 1000/1000 - - Disabled
UDP flood 1000/1000 - - Disabled
ICMP flood 1000/1000 - - Disabled
ICMPv6 flood 1000/1000 - - Enabled
Flood attack defense for protected IP addresses:
Address VPN instance Flood type Thres(pps) Actions Ports
1::1 -- FIN-FLOOD 10 L,D -
192.168.1.1 -- SYN-ACK-FLOOD 10 - -
1::1 -- FIN-FLOOD - L -
2013:2013:2013:2013: -- DNS-FLOOD 100 L,CV 53
2013:2013:2013:2013
10::13:13 A0123458589 SIP-FLOOD 100 L,CV 5060
HTTP slow attack defense configuration:
Non-specific: Enabled
Global threshold:
Alert-number: 1200000
Content-length: 100000000
Payload-length: 1000
Packet-number: 1000
Global period: 1200 seconds
Global action: L, BS (1000)
Ports: 80, 8000 to 8001
Threshold: AN-Alert number, CL-Content length, PL-Payload length, PN-Packet number
HTTP slow attack defense configuration for protected IP addresses:
Address VPN instance Threshold (AN/CL/PL/PN) Period Actions Ports
1111:2222:3333:4 abcdefghigkl 1200000,100000000,1000,1000 1000 L,BS(10) 80
444::8888 mnopqrstuvwx
yz
表1-9 display attack-defense policy命令顯示信息描述表
|
字段 |
描述 |
||
|
Policy name |
攻擊防範策略名稱 |
||
|
Applied list |
攻擊防範策略應用的對象列表 |
||
|
Exempt IPv4 ACL |
IPv4例外列表 |
||
|
Exempt IPv6 ACL |
IPv6例外列表 |
||
|
Actions |
攻擊防範的處理行為,包括以下取值: · CV:啟用客戶端驗證 · BS:添加黑名單(老化時間,單位為分鍾) · L:輸出告警日誌 · D:丟棄報文 · N:不采用任何處理行為 |
||
|
Signature attack defense configuration |
單包攻擊防範配置信息 |
||
|
Signature name |
單包的類型 |
||
|
Defense |
攻擊防範的開啟狀態,包括以下取值: · Enabled:開啟 · Disabled:關閉 |
||
|
Level |
單包攻擊的級別,包括以下取值: · Info: 提示級別 · low:低級別 · medium:中級別 · high:高級別(目前暫無實例) |
||
|
Actions |
單包攻擊防範的處理行為,包括以下取值: · L:輸出告警日誌 · D:丟棄報文 · N:不采用任何處理行為 |
||
|
IP option record route |
IP選項record route攻擊 |
||
|
IP option security |
IP選項security攻擊 |
||
|
IP option stream ID |
IP選項stream identifier攻擊 |
||
|
IP option internet timestamp |
IP選項 internet timestamp攻擊 |
||
|
IP option loose source routing |
IP選項loose source routing攻擊 |
||
|
IP option strict source routing |
IP選項strict source routing攻擊 |
||
|
IP option abnormal |
IP選項異常攻擊 |
||
|
IP option route alert |
IP選項route alert攻擊 |
||
|
Fragment |
IP分片異常攻擊 |
||
|
IP impossible |
IP impossible攻擊 |
||
|
Tiny fragment |
IP tiny fragment攻擊 |
||
|
Teardrop |
IP teardrop攻擊,又稱IP overlapping fragments |
||
|
Large ICMP |
Large ICMP攻擊 |
||
|
Max length |
ICMP報文所允許的最大長度 |
||
|
Smurf |
Smurf攻擊 |
||
|
Traceroute |
Traceroute攻擊 |
||
|
Ping of death |
Ping of death攻擊 |
||
|
ICMP echo request |
ICMP echo request攻擊 |
||
|
ICMP echo reply |
ICMP echo reply攻擊 |
||
|
ICMP source quench |
ICMP source quench攻擊 |
||
|
ICMP redirect |
ICMP redirect攻擊 |
||
|
ICMP parameter problem |
ICMP parameter problem攻擊 |
||
|
ICMP timestamp request |
ICMP timestamp request攻擊 |
||
|
ICMP timestamp reply |
ICMP timestamp reply攻擊 |
||
|
ICMP information request |
ICMP information request攻擊 |
||
|
ICMP information reply |
ICMP information reply攻擊 |
||
|
ICMP address mask request |
ICMP address mask request攻擊 |
||
|
ICMP address mask reply |
ICMP address mask reply攻擊 |
||
|
ICMP destination unreachable |
ICMP destination unreachable攻擊 |
||
|
ICMP time exceeded |
ICMP time exceeded攻擊 |
||
|
Large ICMPv6 |
Large ICMPv6攻擊 |
||
|
ICMPv6 echo request |
ICMPv6 echo request攻擊 |
||
|
ICMPv6 echo reply |
ICMPv6 echo reply攻擊 |
||
|
ICMPv6 group membership query |
ICMPv6 group membership query攻擊 |
||
|
ICMPv6 group membership report |
ICMPv6 group membership report攻擊 |
||
|
ICMPv6 group membership reduction |
ICMPv6 group membership reduction攻擊 |
||
|
ICMPv6 destination unreachable |
ICMPv6 destination unreachable攻擊 |
||
|
ICMPv6 time exceeded |
ICMPv6 time exceeded攻擊 |
||
|
ICMPv6 parameter problem |
ICMPv6 parameter problem攻擊 |
||
|
ICMPv6 packet too big |
ICMPv6 packet too big攻擊 |
||
|
IPv6 extension header abnormal |
IPv6擴展頭異常攻擊 |
||
|
IPv6 extension header exceeded |
IPv6擴展頭數目超限攻擊 |
||
|
Limit |
IPv6擴展頭數目上限 |
||
|
Winnuke |
Winnuke攻擊 |
||
|
TCP Land |
Land攻擊 |
||
|
TCP NULL flag |
TCP NULL flag攻擊 |
||
|
TCP invalid flags |
TCP invalid flags攻擊 |
||
|
TCP all flags |
TCP所有標誌位均被置位攻擊,又稱聖誕樹攻擊 |
||
|
TCP SYN-FIN flags |
TCP SYN和FIN被同時置位攻擊 |
||
|
TCP FIN only flag |
TCP 隻有FIN被置位的攻擊 |
||
|
Fraggle |
Fraggle攻擊,又稱UDP chargen DoS attack |
||
|
UDP Bomb |
UDP Bomb攻擊 |
||
|
Snork |
Snork攻擊 |
||
|
Scan attack defense configuration |
掃描攻擊防範配置信息 |
||
|
Preset defense |
預定義掃描攻擊防範配置信息 |
|
|
|
Defense |
掃描攻擊防範的開啟狀態 |
||
|
Level |
掃描攻擊的級別,包括以下取值: · low:低級別 · medium:中級別 · high:高級別 |
||
|
User-defined defense |
用戶自定義掃描攻擊防範配置信息 |
|
|
|
Port scan defense |
端口掃描攻擊防範狀態: · Enabled:開啟 · Disabled:關閉 |
|
|
|
Port scan defense threshold |
端口掃描防範檢測閾值 |
|
|
|
IP sweep defense |
IP地址掃描攻擊防範狀態: · Enabled:開啟 · Disabled:關閉 |
|
|
|
IP sweep defense threshold |
IP地址掃描防範檢測閾值 |
|
|
|
Period |
掃描攻擊防範檢測周期 |
|
|
|
Actions |
掃描攻擊防範的處理行為,包括以下取值: · BS:添加黑名單(老化時間,單位為分鍾) · D:丟棄報文 · L:輸出告警日誌 |
||
|
Flood attack defense configuration |
flood攻擊防範配置信息 |
||
|
Flood type |
flood攻擊類型,包括以下取值: · ACK flood · DNS flood · DNS reply flood · FIN flood · ICMP flood · ICMPv6 flood · SYN flood · SYN-ACK flood · UDP flood · RST flood · HTTP flood · SIP flood |
||
|
Global dest/src thres(pps) |
flood攻擊防範基於目的地址檢測和源地址檢測的全局觸發閾值,單位為每秒報文數,缺省值為1000pps |
||
|
Global actions |
flood攻擊防範的全局處理行為,包括以下取值: · D:丟棄報文 · L:輸出告警日誌, · CV:啟用客戶端驗證 · -:未配置 |
||
|
Service ports |
flood攻擊防範的全局檢測端口號。該字段隻對DNS flood攻擊防範和HTTP flood攻擊防範生效,對於其它flood攻擊防範,顯示為“-” |
||
|
Non-specific |
對非受保護IP地址開啟SYN flood攻擊防範檢測的狀態 |
||
|
Flood attack defense for protected IP addresses |
對受保護IP地址的flood攻擊防範配置 |
||
|
Address |
指定的IP地址 |
||
|
VPN instance |
所屬的VPN實例名稱,未配置時顯示為空 |
||
|
Thres(pps) |
攻擊防範檢測的觸發閾值,單位為報文每秒,未配置時顯示為“1000” |
||
|
Actions |
對指定IP地址采用的攻擊防範處理行為,包括 取值: · CV:啟用客戶端驗證 · BS:添加黑名單 · L:輸出告警日誌 · D:丟棄報文 · N:不采用任何處理行為 |
||
|
Ports |
flood攻擊防範的檢測端口號。該字段隻對DNS flood攻擊防範和HTTP flood攻擊防範生效,對於其他攻擊防範,顯示為“-” |
||
|
HTTP slow attack defense configuration |
慢速攻擊防範非保護IP配置信息 |
||
|
Non-specific |
對非受保護IP地址開啟慢速攻擊防範檢測的狀態: · Enabled:開啟 · Disabled:關閉 |
||
|
Global threshold |
對非受保護IP地址配置的閾值。包括: Alert-number:觸發慢速攻擊檢查的HTTP並發連接數,未配置時顯示為“5000”。 Content-length:Content-Length字段閾值,未配置時顯示為“10000”。 Payload-length:報文實際載荷閾值,未配置時顯示為“50”。 Packet-number:異常報文的防範閾值,未配置時顯示為“10”。 |
||
|
Global period |
慢速攻擊防範非受保護IP地址的檢測周期 |
||
|
Global action |
慢速攻擊防範非受保護IP地址的處理動作,包括以下取值: · BS:添加黑名單(老化時間,單位為分鍾) · L:輸出告警日誌 |
||
|
Ports |
慢速攻擊防範非受保護IP地址的檢測端口。未配置時顯示為“80” |
||
|
HTTP slow attack defense configuration for protected IP addresses |
對受保護IP地址的慢速攻擊防範配置 |
||
|
Address |
慢速攻擊防範指定的IP地址 |
||
|
VPN instance |
慢速攻擊防範指定的VPN實例名稱,未配置時顯示為空 |
||
|
Threshold (AN/CL/PL/PN) |
對受保護IP地址配置的閾值,其中AN-Alert number,CL-Content length,PL-Payload length,PN-Packet number。 四項閾值均未配置時,顯示為非受保護IP的對應閾值。如部分配置四項閾值,則其餘未配置的閾值顯示為非受保護IP對應該閾值的缺省值。 |
||
|
Period |
慢速攻擊防範受保護IP地址的檢測周期。未配置時,顯示為非受保護IP的檢測周期。 |
||
|
Actions |
慢速攻擊防範受保護IP地址采用的處理動作,包括以下取值: · BS:添加黑名單(老化時間,單位為分鍾) · L:輸出告警日誌 未配置時,顯示為非受保護IP的處理動作。 |
||
|
Ports |
慢速攻擊防範受保護IP的檢測端口。未配置時顯示為非受保護IP的檢測端口。 |
||
# 顯示所有攻擊防範策略的概要配置信息。
<Sysname> display attack-defense policy
Attack-defense Policy Brief Information
------------------------------------------------------------
Policy Name Applied list
Atk-policy-1 Trust1
P2 Trust2
P123 Trust3
表1-10 display attack-defense policy命令顯示信息描述表
|
字段 |
描述 |
|
Policy Name |
攻擊防範策略名稱 |
|
Applied list |
攻擊防範策略應用的對象列表 |
【相關命令】
· attack-defense policy
display attack-defense policy ip命令用來顯示flood攻擊防範的IPv4類型的受保護IP表項。
【命令】
display attack-defense policy policy-name { ack-flood | dns-flood | dns-reply-flood | fin-flood | flood | http-flood | icmp-flood | rst-flood | sip-flood | syn-ack-flood | syn-flood | udp-flood } ip [ ip-address [ vpn vpn-instance-name ] ] [ slot slot-number ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
policy-name:攻擊防範策略名稱,為1~31個字符的字符串,不區分大小寫。合法取值包括大寫字母、小寫字母、數字、特殊字符“_”和“-”。
ack-flood:顯示ACK flood攻擊防範受保護IP表項。
dns-flood:顯示DNS flood攻擊防範受保護IP表項。
dns-reply-flood:顯示DNS reply flood攻擊防範受保護IP表項。
fin-flood:顯示FIN flood攻擊防範受保護IP表項。
flood:顯示所有類型的flood攻擊防範受保護IP表項。
http-flood:顯示HTTP flood攻擊防範受保護IP表項。
icmp-flood:顯示ICMP flood攻擊防範受保護IP表項。
rst-flood:顯示RST flood攻擊防範受保護IP表項。
sip-flood:顯示SIP flood攻擊防範受保護IP表項。
syn-ack-flood:顯示SYN-ACK flood攻擊防範受保護IP表項。
syn-flood:顯示SYN flood攻擊防範受保護IP表項。
udp-flood:顯示UDP flood攻擊防範受保護IP表項。
ip ip-address:顯示指定IPv4地址的受保護IP表項。若未指定ip-address參數,則表示顯示所有IPv4類型的受保護IP表項。
vpn-instance vpn-instance-name:顯示指定VPN實例的受保護IP表項。其中vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示顯示指公網的受保護IP表項。
slot slot-number:顯示指定成員設備上的受保護IP表項,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的受保護IP表項。
count:顯示符合指定條件的flood受保護IP表項的數目。
【舉例】
# 顯示指定攻擊防範策略abc中所有flood攻擊防範的IPv4類型受保護IP表項的信息。
<Sysname> display attack-defense policy abc flood ip
Slot 1:
IP address VPN instance Type Rate threshold(PPS) Dropped
123.123.123.123 -- SYN-ACK-FLOOD 100 4294967295
201.55.7.45 -- ICMP-FLOOD 100 10
192.168.11.5 -- DNS-FLOOD 23 100
10.168.200.5 -- SIP-FLOOD 100 102556
Slot 2:
IP address VPN instance Type Rate threshold(PPS) Dropped
123.123.123.123 -- SYN-ACK-FLOOD 100 2543
201.55.7.45 -- ICMP-FLOOD 100 122
192.168.11.5 -- DNS-FLOOD 23 0
# 顯示指定攻擊防範策略abc中所有IPv4類型flood受保護IP表項的個數。
<Sysname> display attack-defense policy abc flood ip count
Slot 1:
Totally 3 flood protected IP addresses.
Slot 2:
Totally 0 flood protected IP addresses.
表1-11 display attack-defense flood ip命令顯示信息描述表
|
字段 |
描述 |
|
Totally 3 flood protected IP addresses |
IPv4類型受保護IP表項數目 |
|
IP address |
受保護的IPv4地址 |
|
VPN instance |
受保護的IPv4地址所屬的MPLS L3VPN實例名稱,未指定時顯示為空 |
|
Type |
flood攻擊類型 |
|
Rate threshold(PPS) |
配置的flood攻擊防範觸發閾值(單位為報文每秒),未配置時顯示“1000” |
|
Dropped |
檢測到flood攻擊後的丟包數,若隻輸出日誌該項顯示為0 |
display attack-defense policy ipv6命令用來顯示flood攻擊防範的IPv6類型的受保護IP表項。
【命令】
display attack-defense policy policy-name { ack-flood | dns-flood | dns-reply-flood | fin-flood | flood | http-flood | icmpv6-flood | rst-flood | sip-flood | syn-ack-flood | syn-flood | udp-flood } ipv6 [ ipv6-address [ vpn vpn-instance-name ] ] [ slot slot-number ] ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
policy-name:攻擊防範策略名稱,為1~31個字符的字符串,不區分大小寫。合法取值包括大寫字母、小寫字母、數字、特殊字符“_”和“-”。
ack-flood:顯示ACK flood攻擊防範受保護IP表項。
dns-flood:顯示DNS flood攻擊防範受保護IP表項。
dns-reply-flood:顯示DNS reply flood攻擊防範受保護IP表項。
fin-flood:顯示FIN flood攻擊防範受保護IP表項。
flood:顯示所有類型的flood攻擊防範受保護IP表項。
http-flood:顯示HTTP flood攻擊防範受保護IP表項。
icmpv6-flood:顯示ICMPv6 flood攻擊防範受保護IP表項。
rst-flood:顯示RST flood攻擊防範受保護IP表項。
sip-flood:顯示SIP flood攻擊防範受保護IP表項。
syn-ack-flood:顯示SYN-ACK flood攻擊防範受保護IP表項。
syn-flood:顯示SYN flood攻擊防範受保護IP表項。
udp-flood:顯示UDP flood攻擊防範受保護IP表項。
ipv6 ipv6-address:顯示指定IPv6地址的受保護IP表項。若未指定ipv6-address參數,則表示所有IPv6類型的受保護IP表項。
vpn-instance vpn-instance-name:顯示指定VPN實例的受保護IP表項。其中vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。
slot slot-number:顯示指定成員設備上的受保護IP表項,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的受保護IP表項。
count:顯示符合指定條件的flood受保護IP表項的數目。
【舉例】
# 顯示指定攻擊防範策略abc中所有flood攻擊防範的IPv6類型受保護IP表項。
<Sysname> display attack-defense policy abc flood ipv6
Slot 1:
IPv6 address VPN instance Type Rate threshold(PPS) Dropped
2013::127f -- SYN-ACK-FLOOD 100 4294967295
2::5 -- ACK-FLOOD 100 10
1::5 -- ACK-FLOOD 100 23
10::15 -- SIP-FLOOD 100 1002
Slot 2:
IPv6 address VPN instance Type Rate threshold(PPS) Dropped
2013::127f -- SYN-ACK-FLOOD 100 5465
2::5 -- ACK-FLOOD 100 0
1::5 -- ACK-FLOOD 100 122
# 顯示指定攻擊防範策略abc中所有flood攻擊防範的IPv6類型受保護IP表項的個數。
<Sysname> display attack-defense policy abc flood ipv6 count
Slot 1:
Totally 3 flood protected IP addresses.
Slot 2:
Totally 0 flood protected IP addresses.
表1-12 display flood ipv6命令顯示信息描述表
|
字段 |
描述 |
|
Totally 3 flood protected IP addresses |
IPv6類型受保護IP表項數目 |
|
IPv6 address |
受保護的IPv6地址 |
|
VPN instance |
受保護的IPv6地址所屬的MPLS L3VPN實例名稱,未指定時顯示為空 |
|
Type |
flood攻擊類型 |
|
Rate threshold(PPS) |
配置的flood攻擊防範觸發閾值(單位為報文每秒),未配置時顯示“1000” |
|
Dropped |
檢測到flood攻擊後的丟包數,若隻輸出日誌該項顯示為0 |
display attack-defense scan attacker ip命令用來顯示掃描攻擊者的IPv4地址表項。
【命令】
display attack-defense scan attacker ip [ security-zone zone-name [ slot slot-number ] ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
security-zone zone-name:顯示指定安全域的掃描攻擊者的IPv4地址表項,zone-name表示安全域名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”。
slot slot-number:顯示指定成員設備上的掃描攻擊者的IPv4地址表項,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的掃描攻擊者的IPv4地址表項。
count:僅顯示符合指定條件的當前掃描攻擊者的數目。
【使用指導】
若未指定任何參數,則表示顯示所有掃描攻擊者的IPv4地址表項。
【舉例】
# 顯示所有掃描攻擊者的IPv4地址表項。
<Sysname> display attack-defense scan attacker ip
Slot 1:
IP addr(DslitePeer) VPN instance Protocol Detected on Duration(min)
192.168.31.2(--) -- TCP DMZ 1284
2.2.2.3(--) -- UDP DMZ 23
Slot 2:
IP addr(DslitePeer) VPN instance Protocol Detected on Duration(min)
192.168.1.100(--) -- TCP DMZ 1586
202.2.1.172(--) -- UDP DMZ 258
# 顯示所有掃描攻擊者的IPv4地址表項的個數。
<Sysname> display attack-defense scan attacker ip count
Slot 1:
Totally 3 attackers.
Slot 2:
Totally 0 attackers.
表1-13 display attack-defense scan attacker ip命令顯示信息描述表
|
字段 |
描述 |
|
Total 3 attackers |
攻擊者的數目 |
|
IP addr(DslitePeer) |
發起攻擊的IP地址,DS-Lite組網DslitePeer顯示為DS-Lite隧道源IPv6地址,否則顯示“--” |
|
VPN instance |
所屬的MPLS L3VPN實例名稱,屬於公網時顯示為空 |
|
Protocol |
協議名稱 |
|
Detected on |
進行攻擊檢測的位置 |
|
Duration(min) |
檢測到攻擊的持續時間,單位為分鍾 |
【相關命令】
· scan detect
display attack-defense scan attacker ipv6命令用來顯示掃描攻擊者的IPv6地址表項。
【命令】
display attack-defense scan attacker ipv6 [ security-zone zone-name [ slot slot-number ] ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
security-zone zone-name:顯示指定安全域的掃描攻擊者的IPv6地址表項,zone-name表示安全域名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”。
slot slot-number:顯示指定成員設備上的掃描攻擊者的IPv6地址表項,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的掃描攻擊者的IPv6地址表項。
count:僅顯示符合指定條件的當前掃描攻擊者的數目。
【使用指導】
若未指定任何參數,則表示顯示所有掃描攻擊者的IPv6地址表項。
【舉例】
# 顯示掃描攻擊者的IPv6地址表項。
<Sysname> display attack-defense scan attacker ipv6
Slot 1:
IPv6 address VPN instance Protocol Detected on Duration(min)
2013::2 -- TCP DMZ 1234
1230::22 -- UDP DMZ 10
Slot 2:
IPv6 address VPN instance Protocol Detected on Duration(min)
2004::4 -- TCP DMZ 1122
1042::2 -- UDP DMZ 24
# 顯示掃描攻擊者的IPv6地址表項的個數。
<Sysname> display attack-defense scan attacker ipv6 count
Slot 1:
Totally 3 attackers.
Slot 2:
Totally 0 attackers.
表1-14 display attack-defense scan attacker ipv6命令顯示信息描述表
|
字段 |
描述 |
|
Totally 3 attackers |
攻擊者的數目 |
|
IPv6 address |
發起攻擊的IPv6地址 |
|
VPN instance |
所屬的MPLS L3VPN實例名稱,屬於公網時顯示為空 |
|
Protocol |
協議名稱 |
|
Detected on |
進行攻擊檢測的位置 |
|
Duration(min) |
檢測到攻擊的持續時間,單位為分鍾 |
【相關命令】
· scan detect
display attack-defense statistics security-zone命令用來顯示安全域上的攻擊防範統計信息。
【命令】
display attack-defense statistics security-zone zone-name [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
zone-name:指定安全域的名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”。
slot slot-number:顯示指定成員設備上的攻擊防範統計信息,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的攻擊防範統計信息。
【舉例】
# 顯示指定Slot的Untrust上的攻擊防範統計信息。
<Sysname> display attack-defense statistics security-zone untrust slot 1
Slot 1:
Attack policy name: abc
Scanning attack defense statistics:
AttackType AttackTimes Dropped
Port scan 2 23
IP sweep 3 33
Distribute port scan 1 10
Flood attack defense statistics:
AttackType AttackTimes Dropped
SYN flood 1 0
ACK flood 1 0
SYN-ACK flood 3 5000
RST flood 2 0
FIN flood 2 0
UDP flood 1 0
ICMP flood 1 0
ICMPv6 flood 1 0
DNS flood 1 0
DNS reply flood 1 0
HTTP flood 1 0
SIP flood 1 1000
HTTP slow attack defense statistics:
AttackType AttackTimes
HTTP slow attack 1
Signature attack defense statistics:
AttackType AttackTimes Dropped
IP option record route 1 100
IP option security 2 0
IP option stream ID 3 0
IP option internet timestamp 4 1
IP option loose source routing 5 0
IP option strict source routing 6 0
IP option route alert 3 0
Fragment 1 0
Impossible 1 1
Teardrop 1 1
Tiny fragment 1 0
IP options abnormal 3 0
Smurf 1 0
Ping of death 1 0
Traceroute 1 0
Large ICMP 1 0
TCP NULL flag 1 0
TCP all flags 1 0
TCP SYN-FIN flags 1 0
TCP FIN only flag 1 0
TCP invalid flag 1 0
TCP Land 1 0
Winnuke 1 0
UDP Bomb 1 0
Snork 1 0
Fraggle 1 0
Large ICMPv6 1 0
ICMP echo request 1 0
ICMP echo reply 1 0
ICMP source quench 1 0
ICMP destination unreachable 1 0
ICMP redirect 2 0
ICMP time exceeded 3 0
ICMP parameter problem 4 0
ICMP timestamp request 5 0
ICMP timestamp reply 6 0
ICMP information request 7 0
ICMP information reply 4 0
ICMP address mask request 2 0
ICMP address mask reply 1 0
ICMPv6 echo request 1 1
ICMPv6 echo reply 1 1
ICMPv6 group membership query 1 0
ICMPv6 group membership report 1 0
ICMPv6 group membership reduction 1 0
ICMPv6 destination unreachable 1 0
ICMPv6 time exceeded 1 0
ICMPv6 parameter problem 1 0
ICMPv6 packet too big 1 0
IPv6 extension header abnormal 1 0
IPv6 extension header exceeded 1 0
表1-15 display attack-defense statistics security-zone命令顯示信息描述表
|
字段 |
描述 |
|
AttackType |
攻擊類型 |
|
AttackTimes |
受到攻擊的次數 |
|
Dropped |
丟棄報文的數目 |
|
SYN flood |
SYN flood攻擊,當AttackTimes 為0時,該列不顯示 |
|
ACK flood |
ACK flood攻擊,當AttackTimes 為0時,該列不顯示 |
|
SYN-ACK flood |
SYN-ACK flood攻擊,當AttackTimes 為0時,該列不顯示 |
|
RST flood |
RST flood攻擊,當AttackTimes 為0時,該列不顯示 |
|
FIN flood |
FIN flood攻擊,當AttackTimes 為0時,該列不顯示 |
|
UDP flood |
UDP flood 攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP flood |
ICMP flood攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMPv6 flood |
ICMPv6 flood攻擊,當AttackTimes 為0時,該列不顯示 |
|
DNS flood |
DNS flood攻擊,當AttackTimes 為0時,該列不顯示 |
|
DNS reply flood |
DNS reply flood攻擊,當AttackTimes為0時,該列不顯示 |
|
HTTP flood |
HTTP flood攻擊,當AttackTimes 為0時,該列不顯示 |
|
HTTP slow attack |
HTTP slow attack攻擊,當AttackTimes 為0時,顯示為No HTTP slow attack detected |
|
SIP flood |
SIP flood攻擊,當AttackTimes 為0時,該列不顯示 |
|
Port scan |
端口掃描攻擊,當AttackTimes 為0時,該列不顯示 |
|
IP Sweep |
IP掃描攻擊,當AttackTimes 為0時,該列不顯示 |
|
Distribute port scan |
分布式端口掃描攻擊,當AttackTimes 為0時,該列不顯示 |
|
IP option record route |
IP選項record route攻擊,當AttackTimes 為0時,該列不顯示 |
|
IP option security |
IP選項security攻擊,當AttackTimes 為0時,該列不顯示 |
|
IP option stream ID |
IP選項stream identifier攻擊,當AttackTimes 為0時,該列不顯示 |
|
IP option internet timestamp |
IP選項 internet timestamp攻擊,當AttackTimes 為0時,該列不顯示 |
|
IP option loose source routing |
IP選項loose source routing攻擊,當AttackTimes 為0時,該列不顯示 |
|
IP option strict source routing |
IP選項strict source routing攻擊,當AttackTimes 為0時,該列不顯示 |
|
IP option route alert |
IP選項strict source routing攻擊,當AttackTimes 為0時,該列不顯示 |
|
Fragment |
IP分片異常攻擊,當AttackTimes 為0時,該列不顯示 |
|
Impossible |
IP impossible攻擊,當AttackTimes 為0時,該列不顯示 |
|
Teardrop |
IP teardrop攻擊,又稱IP overlapping fragments,當AttackTimes 為0時,該列不顯示 |
|
Tiny fragment |
IP tiny fragment攻擊 |
|
IP option abnormal |
IP選項異常攻擊,當AttackTimes 為0時,該列不顯示 |
|
Smurf |
Smurf攻擊,當AttackTimes 為0時,該列不顯示 |
|
Ping of death |
Ping of death攻擊,當AttackTimes 為0時,該列不顯示 |
|
Traceroute |
Traceroute攻擊,當AttackTimes 為0時,該列不顯示 |
|
Large ICMP |
Large ICMP攻擊,當AttackTimes 為0時,該列不顯示 |
|
TCP NULL flag |
TCP NULL flag攻擊,當AttackTimes 為0時,該列不顯示 |
|
TCP all flags |
TCP所有標誌位均被置位攻擊,又稱聖誕樹攻擊,當AttackTimes 為0時,該列不顯示 |
|
TCP SYN-FIN flags |
TCP SYN和FIN被同時置位攻擊,當AttackTimes 為0時,該列不顯示 |
|
TCP FIN only flag |
TCP 隻有FIN被置位的攻擊,當AttackTimes 為0時,該列不顯示 |
|
TCP invalid flag |
TCP 非法標誌位攻擊,當AttackTimes 為0時,該列不顯示 |
|
TCP Land |
TCP Land攻擊,當AttackTimes 為0時,該列不顯示 |
|
Winnuke |
Winnuke攻擊,當AttackTimes 為0時,該列不顯示 |
|
UDP Bomb |
UDP Bomb攻擊,當AttackTimes 為0時,該列不顯示 |
|
Snork |
UDP snork攻擊,當AttackTimes 為0時,該列不顯示 |
|
Fraggle |
Fraggle攻擊,又稱UDP chargen DoS attack,當AttackTimes 為0時,該列不顯示 |
|
Large ICMPv6 |
Large ICMPv6攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP echo request |
ICMP echo request攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP echo reply |
ICMP echo reply攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP source quench |
ICMP source quench攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP destination unreachable |
ICMP destination unreachable攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP redirect |
ICMP redirect攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP time exceeded |
ICMP time exceeded攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP parameter problem |
ICMP parameter problem攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP timestamp request |
ICMP timestamp request攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP timestamp reply |
ICMP timestamp reply攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP information request |
ICMP information request攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP information reply |
ICMP information reply攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP address mask request |
ICMP address mask request攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP address mask reply |
ICMP address mask reply攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMPv6 echo request |
ICMPv6 echo request攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMPv6 echo reply |
ICMPv6 echo reply攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMPv6 group membership query |
ICMPv6 group membership query攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMPv6 group membership report |
ICMPv6 group membership report攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMPv6 group membership reduction |
ICMPv6 group membership reduction攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMPv6 destination unreachable |
ICMPv6 destination unreachable攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMPv6 time exceeded |
ICMPv6 time exceeded攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMPv6 parameter problem |
ICMPv6 parameter problem攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMPv6 packet too big |
ICMPv6 packet too big攻擊,當AttackTimes 為0時,該列不顯示 |
|
IPv6 extension header abnormal |
IPv6擴展頭異常攻擊,當AttackTimes 為0時,該列不顯示 |
|
IPv6 extension header exceeded |
IPv6擴展頭數目超限攻擊,當AttackTimes 為0時,該列不顯示 |
【相關命令】
· reset attack-defense statistics security-zone
display attack-defense top-attack-statistics命令用來顯示Top10的攻擊排名統計信息。
【命令】
display attack-defense top-attack-statistics { last-1-hour | last-24-hours | last-30-days } [ by-attacker | by-type | by-victim ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
last-1-hour:顯示最近1小時的統計信息。
last-24-hours:顯示最近24小時的統計信息。
last-30-days:顯示最近30天的統計信息。
by-attacker:顯示基於攻擊者IP地址的Top10排名統計信息。
by-type:顯示基於攻擊類型的統計信息。
by-victim:顯示基於被攻擊者IP地址的Top10排名統計信息。
【使用指導】
若未指定[ by-attacker | by-type | by-victim ]參數,則同時顯示基於攻擊者IP地址、被攻擊者IP地址和攻擊類型的統計信息。
【舉例】
# 顯示最近1小時的Top10排名統計信息
<Sysname> display attack-defense top-attack-statistics last-1-hour
Top attackers:
No. VPN instance Attacker IP Attacks
1 200.200.200.55 21
2 200.200.200.21 16
3 200.200.200.133 12
4 200.200.200.19 10
5 200.200.200.4 8
6 200.200.200.155 8
7 200.200.200.93 5
8 200.200.200.67 3
9 200.200.200.70 1
10 200.200.200.23 1
Top victims:
No. VPN instance Victim IP Attacks
1 -- 201.200.200.12 21
2 -- 201.200.200.32 16
3 -- 201.200.200.14 12
4 -- 201.200.200.251 12
5 -- 201.200.200.10 7
6 -- 201.200.200.77 6
7 -- 201.200.200.96 2
8 -- 201.200.200.22 2
9 -- 201.200.200.154 2
10 -- 201.200.200.18 1
Top attack types:
Attack type Attacks
Scan 155
Syn 155
表1-16 display attack-defense top-attack-statistics命令顯示信息描述表
|
字段 |
描述 |
|
Top attackers |
基於攻擊者IP地址的Top10排名統計信息 |
|
No. |
Top10排名 |
|
VPN instance |
所屬的VPN實例名稱,屬於公網時顯示為空 |
|
Attacker IP |
攻擊者的IP地址 |
|
Attacks |
攻擊次數 |
|
Top victims |
基於被攻擊者IP地址的Top10排名統計信息 |
|
Victim IP |
被攻擊者的IP地址 |
|
Top attack types |
基於攻擊類型的統計信息 |
|
Attack type |
攻擊類型 |
【相關命令】
· attack-defense top-attack-statistics enable
display blacklist destination-ip命令用來顯示目的IPv4黑名單表項。
【命令】
display blacklist destination-ip [ destination-ip-address [ vpn-instance vpn-instance-name ] ] [ slot slot-number ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
destination-ip-address:顯示指定IPv4地址的目的IPv4黑名單表項。
vpn-instance vpn-instance-name:顯示指定VPN實例的目的IPv4黑名單表項。其中vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。
slot slot-number:顯示指定成員設備上的目的IPv4黑名單表項,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的目的IPv4黑名單表項。
count:顯示符合指定條件的目的IPv4黑名單個數。
【使用指導】
若未指定任何參數,則表示顯示所有的目的IPv4黑名單表項。
【舉例】
# 顯示所有目的IPv4黑名單表項的信息。
<Sysname> display blacklist destination-ip
Slot 1:
IP address VPN instance Type Aging (sec) Dropped
192.168.11.5 -- Dynamic 10 353452
123.123.123.123 -- Dynamic 123 4294967295
201.55.7.45 -- Manual Never 14478
Slot 2:
IP address VPN instance Type Aging (sec) Dropped
123.55.123.7 -- Dynamic 123 164698
201.55.7.33 -- Manual Never 845969
# 顯示所有目的IPv4黑名單表項的個數。
<Sysname> display blacklist destination-ip count
Slot 1:
Totally 3 blacklist entries.
Slot 2:
Totally 2 blacklist entries.
表1-17 display blacklist destination-ip命令顯示信息描述表
|
字段 |
描述 |
|
IP address |
黑名單表項的IP地址 |
|
VPN instance |
VPN實例名稱,屬於公網時顯示為空 |
|
Type |
黑名單表項的添加方式,包括: · Dynamic:動態生成 · Manual:手工配置 |
|
Aging (sec) |
黑名單表項的剩餘老化時間,單位為秒。若未指定老化時間,則顯示“Never” |
|
Dropped |
丟棄的發往該IP地址的報文數目 |
|
Totally 3 blacklist entries. |
黑名單表項數目 |
【相關命令】
· blacklist destination-ip
display blacklist destination-ipv6命令用來顯示目的IPv6黑名單表項。
【命令】
display blacklist destination-ipv6 [ destination-ipv6-address [ vpn-instance vpn-instance-name ] ] [ slot slot-number ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
destination-ipv6-address:顯示指定目的IPv6地址的黑名單表項。
vpn-instance vpn-instance-name:顯示指定VPN實例的目的IPv6黑名單表項。其中vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。
slot slot-number:顯示指定成員設備上的目的IPv6黑名單表項,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的目的IPv6黑名單表項。
count:僅顯示符合指定條件的目的IPv6黑名單個數。
【使用指導】
若未指定任何參數,則表示顯示所有的目的IPv6黑名單表項。
【舉例】
# 顯示所有目的IPv6黑名單表項的信息。
<Sysname> display blacklist ipv6
Slot 1:
IPv6 address VPN instance Type Aging (sec) Dropped
1::4 -- Manual Never 14478
1::5 -- Dynamic 10 353452
2013:fe07:221a:4011: -- Dynamic 123 4294967295
2013:fe07:221a:4011
Slot 2:
IPv6 address VPN instance Type Aging (sec) Dropped
1::3 -- Manual Never 74679
20::33 -- Dynamic 10 1697898
# 顯示所有目的IPv6黑名單表項的個數。
<Sysname> display blacklist ipv6 count
Slot 1:
Totally 3 blacklist entries.
Slot 2:
Totally 2 blacklist entries.
表1-18 display blacklist destination-ipv6命令顯示信息描述表
|
字段 |
描述 |
|
IPv6 address |
黑名單表項的IPv6地址 |
|
VPN instance |
VPN實例名稱,屬於公網時顯示為空 |
|
Type |
黑名單表項的添加方式,包括: · Dynamic:動態生成 · Manual:手工配置 |
|
Aging (sec) |
黑名單表項的剩餘老化時間,單位為秒。若未指定老化時間,則顯示“Never” |
|
Dropped |
丟棄的發往該IPv6地址的報文數目 |
|
Totally 3 blacklist entries. |
黑名單表項數目 |
【相關命令】
· blacklist destination-ipv6
display blacklist ip命令用來顯示源IPv4黑名單表項。
【命令】
display blacklist ip [ source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ] ] [ slot slot-number ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
source-ip-address:顯示指定IPv4地址的源黑名單表項。
vpn-instance vpn-instance-name:顯示指定VPN實例的源IPv4黑名單表項。其中vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。
ds-lite-peer ds-lite-peer-address:顯示指定DS-Lite隧道對端地址的源IPv4黑名單表項。其中,ds-lite-peer-address表示源黑名單的IPv4地址所屬的DS-Lite隧道B4端IPv6地址。
slot slot-number:顯示指定成員設備上的源IPv4黑名單表項,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的源IPv4黑名單表項。
count:顯示符合指定條件的源IPv4黑名單個數。
【使用指導】
若未指定任何參數,則表示顯示所有的源IPv4黑名單表項。
【舉例】
# 顯示所有源IPv4黑名單表項的信息。
<Sysname> display blacklist ip
Slot 1:
IP address VPN instance DS-Lite tunnel peer Type TTL(sec) Dropped
192.168.11.5 -- -- Dynamic 10 353452
123.123.123.123 -- 2013::fe07:221a:4011 Dynamic 123 4294967295
201.55.7.45 -- 2013::1 Manual Never 14478
Slot 2:
IP address VPN instance DS-Lite tunnel peer Type TTL(sec) Dropped
123.55.123.7 -- -- Dynamic 123 164698
201.55.7.33 -- -- Manual Never 845969
# 顯示所有源IPv4黑名單表項的個數。
<Sysname> display blacklist ip count
Slot 1:
Totally 3 blacklist entries.
Slot 2:
Totally 2 blacklist entries.
表1-19 display blacklist ip命令顯示信息描述表
|
字段 |
描述 |
|
IP address |
源黑名單表項的IP地址 |
|
VPN instance |
VPN實例名稱,屬於公網時顯示為空 |
|
DS-Lite tunnel peer |
DS-Lite隧道對端地址 。DS-Lite組網下,若本設備為AFTR,此列表示報文來自具體的哪個B4,如果不在DS-Lite組網或本設備不為AFTR,則該字段無意義,顯示為“--” |
|
Type |
源黑名單表項的添加方式,包括: · Dynamic:動態生成 · Manual:手工配置 |
|
TTL(sec) |
源黑名單表項的剩餘老化時間,單位為秒。若未指定老化時間,則顯示“Never” |
|
Dropped |
丟棄的來自該IP地址的報文數目 |
|
Totally 3 blacklist entries. |
源黑名單表項數目 |
【相關命令】
· blacklist ip
display blacklist ipv6命令用來顯示源IPv6黑名單表項。
【命令】
display blacklist ipv6 [ source-ipv6-address [ vpn-instance vpn-instance-name ] ] [ slot slot-number ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
source-ipv6-address:顯示指定源IPv6地址的黑名單表項。
vpn-instance vpn-instance-name:顯示指定VPN實例的源IPv6黑名單表項。其中vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。
slot slot-number:顯示指定成員設備上的源IPv6黑名單表項,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的源IPv6黑名單表項。
count:僅顯示符合指定條件的源IPv6黑名單個數。
【使用指導】
若未指定任何參數,則表示顯示所有的源IPv6黑名單表項。
【舉例】
# 顯示所有源IPv6黑名單表項的信息。
<Sysname> display blacklist ipv6
Slot 1:
IPv6 address VPN instance Type TTL(sec) Dropped
1::4 -- Manual Never 14478
1::5 -- Dynamic 10 353452
2013:fe07:221a:4011: -- Dynamic 123 4294967295
2013:fe07:221a:4011
Slot 2:
IPv6 address VPN instance Type TTL(sec) Dropped
1::3 -- Manual Never 74679
20::33 -- Dynamic 10 1697898
# 顯示所有源IPv6黑名單表項的個數。
<Sysname> display blacklist ipv6 count
Slot 1:
Totally 3 blacklist entries.
Slot 2:
Totally 2 blacklist entries.
表1-20 display blacklist ipv6命令顯示信息描述表
|
字段 |
描述 |
|
IPv6 address |
源黑名單表項的IPv6地址 |
|
VPN instance |
VPN實例名稱,屬於公網時顯示為空 |
|
Type |
源黑名單表項的添加方式,包括: · Dynamic:動態生成 · Manual:手工配置 |
|
TTL(sec) |
源黑名單表項的剩餘老化時間,單位為秒。若未指定老化時間,則顯示“Never” |
|
Dropped |
丟棄的來自該IPv6地址的報文數目 |
|
Totally 3 blacklist entries. |
源黑名單表項數目 |
【相關命令】
· blacklist ipv6
display blacklist user命令用來顯示用戶黑名單表項。
【命令】
display blacklist user [ user-name ] [ domain domain-name ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
user-name:表示用戶的名稱,為1~55個字符的字符串,區分大小寫。如果不指定該參數,則表示顯示所有用戶黑名單表項。
domain domain-name:顯示指定身份識別域的用戶黑名單表項。domain-name是身份識別域的名稱,為1~255個字符的字符串,不區分大小寫,不能包括字符“?”。若不指定此參數,則顯示不屬於任何身份識別域的用戶黑名單表項。
count:顯示用戶黑名單表項的個數。
【舉例】
# 顯示所有用戶黑名單表項的信息。
<Sysname> display blacklist user
User name Domain name Type TTL(sec) Dropped
Alex domaina Manual 10 353452
Bob Manual 123 4294967295
Cary Manual Never 14478
# 顯示屬於身份識別域domaina的指定用戶黑名單表項。
<Sysname> display blacklist user Alex domain domaina
User name Domain name Type TTL(sec) Dropped
Alex domaina Manual 10 353452
# 顯示用戶黑名單表項的個數。
<Sysname> display blacklist user count
Totally 3 blacklist entries.
表1-21 display blacklist user命令顯示信息描述表
|
字段 |
描述 |
|
Username |
黑名單表項的用戶名稱 |
|
Domain name |
黑名單表項的用戶身份識別域 |
|
Type |
黑名單表項的添加方式,僅支持手工配置“Manual” |
|
TTL(sec) |
黑名單表項的剩餘老化時間,單位為秒。若未指定老化時間,則顯示“Never” |
|
Dropped |
丟棄該用戶的報文數目 |
|
Totally 3 blacklist entries. |
用戶黑名單表項的數目 |
【相關命令】
· blacklist global enable
· blacklist user
display client-verify protected ip命令用來顯示客戶端驗證的IPv4類型的受保護IP表項。
【命令】
display client-verify { dns | dns-reply | http | sip | tcp } protected ip [ ip-address [ vpn vpn-instance-name ] ] [ port port-number ] [ slot slot-number ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
dns:指定DNS客戶端驗證功能。
dns-reply:指定DNS reply驗證功能。
http:指定HTTP客戶端驗證功能。
sip:指定SIP客戶端驗證功能。
tcp:指定TCP客戶端驗證功能。
ip-address:顯示指定IPv4地址的受保護IP表項。若未指定本參數,則顯示所有IPv4類型的受保護IP表項。
vpn-instance vpn-instance-name:顯示指定VPN實例的受保護IP表項。其中vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示顯示公網中的受保護IP地址。
port port-number:顯示指定端口號的受保護IP表項,port-number的取值範圍為1~65535。若未指定本參數,對於DNS客戶端驗證的受保護IP,則表示端口53;對於HTTP客戶端驗證的受保護IP,則表示端口80;對於TCP客戶端驗證的受保護IP,則表示所有端口。
slot slot-number:顯示指定成員設備上的受保護IP表項,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的受保護IP表項。
count:顯示符合指定條件的客戶端驗證受保護IP表項。
【舉例】
# 顯示所有IPv4類型TCP客戶端驗證的受保護IP表項。
<Sysname> display client-verify tcp protected ip
Slot 1:
IP address VPN instance Port Type Requested Trusted
192.168.11.5 -- 23 Dynamic 353452 555
123.123.123.123 -- 65535 Dynamic 4294967295 15151
201.55.7.45 -- 10 Manual 15000 222
Slot 2:
IP address VPN instance Port Type Requested Trusted
192.168.11.5 -- 23 Dynamic 46790 78578
201.55.7.45 -- 10 Dynamic 2368 7237
123.123.123.123 -- 65535 Manual 24587 1385
# 顯示所有IPv4類型TCP客戶端驗證的受保護IP表項的個數。
<Sysname> display client-verify tcp protected ip count
Slot 1:
Totally 3 protected IP addresses.
Slot 2:
Totally 0 protected IP addresses.
表1-22 display client-verify protected ip命令顯示信息描述表
|
字段 |
描述 |
|
Totally 3 protected IP addresses. |
IPv4類型受保護IP表項數目 |
|
IP address |
受保護IPv4地址 |
|
VPN instance |
受保護IP地址所屬的MPLS L3VPN實例名稱,屬於公網時顯示為空 |
|
Port |
TCP連接的目的端口 any表示對該IP地址的所有端口的TCP連接請求都做代理 |
|
Type |
受保護IP地址的添加方式,取值包括Dynamic和Manual |
|
Requested |
收到的匹配該受保護IP地址的報文數目 |
|
Trusted |
通過驗證的TCP連接請求報文數目 |
【相關命令】
· client-verify protected ip
display client-verify protected ipv6命令用來顯示客戶端驗證的IPv6類型的受保護IP表項。
【命令】
display client-verify { dns | dns-reply | http | sip | tcp } protected ipv6 [ ipv6-address [ vpn vpn-instance-name ] ] [ port port-number ] [ slot slot-number ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
dns:指定DNS客戶端驗證功能。
dns-reply:指定DNS reply驗證功能。
http:指定HTTP客戶端驗證功能。
sip:指定SIP客戶端驗證功能。
tcp:指定TCP客戶端驗證功能。
ipv6-address:顯示指定IPv6地址的受保護IP表項。若未指定本參數,則顯示所有IPv6類型的受保護IP表項。
vpn-instance vpn-instance-name:顯示指定VPN實例的受保護IP表項。其中vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示顯示公網中的受保護IP地址。
port port-number:顯示指定端口號的受保護IP表項,port-number的取值範圍為1~65535。若未指定本參數,對於DNS客戶端驗證的受保護IP,則表示端口53;對於HTTP客戶端驗證的受保護IP,則表示端口80;對於TCP客戶端驗證的受保護IP,則表示所有端口。
slot slot-number:顯示指定成員設備上的受保護IP表項,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的受保護IP表項。
count:顯示符合指定條件的客戶端驗證受保護IP表項個數。
【舉例】
# 顯示所有IPv6類型的TCP客戶端驗證的受保護IP表項。
<Sysname> display client-verify tcp protected ipv6
Slot 1:
IPv6 address VPN instance Port Type Requested Trusted
1:2:3:4:5:6:7:8 -- 100 Manual 14478 5501
1023::1123 -- 65535 Dynamic 4294967295 15151
Slot 2:
IPv6 address VPN instance Port Type Requested Trusted
1:2:3:4:5:6:7:8 -- 100 Manual 4568 8798
1023::1123 -- 65535 Dynamic 15969 4679
# 顯示所有IPv6類型的TCP客戶端驗證的受保護IP表項的個數。
<Sysname> display client-verify tcp protected ip count
Slot 1:
Totally 3 protected IPv6 addresses.
Slot 2:
Totally 0 protected IPv6 addresses.
表1-23 display client-verify protected ipv6命令顯示信息描述表
|
字段 |
描述 |
|
Totally 3 protected IPv6 addresses |
IPv6類型受保護IP表項數目 |
|
IPv6 address |
受保護IPv6地址 |
|
VPN instance |
受保護IP地址所屬的VPN實例名稱,屬於公網時顯示為空 |
|
Port |
TCP連接的目的端口 any表示對該IP地址的所有端口的TCP連接請求都做代理 |
|
Type |
受保護IP地址的添加方式,取值包括Dynamic和Manual |
|
Requested |
收到的匹配該受保護IP地址的報文數目 |
|
Trusted |
通過驗證的TCP連接請求報文數目 |
【相關命令】
· client-verify protected ipv6
display client-verify trusted ip命令用來顯示客戶端驗證的IPv4類型的信任IP表項。
【命令】
display client-verify { dns | dns-reply | http | sip | tcp } trusted ip [ ip-address [ vpn vpn-instance-name ] ] [ slot slot-number ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
dns:指定DNS客戶端驗證功能。
dns-reply:指定DNS reply驗證功能。
http:指定HTTP客戶端驗證功能。
sip:指定SIP客戶端驗證功能。
tcp:指定TCP客戶端驗證功能。
ip-address:顯示指定IPv4地址的信任IP表項。若未指定本參數,則顯示所有IPv4類型的信任IP表項。
vpn-instance vpn-instance-name:顯示指定VPN實例的信任IP表項。其中vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示信任IP表項位於公網。
slot slot-number:顯示指定成員設備上的信任IP表項,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的信任IP表項。
count:僅顯示符合指定條件的信任IP表項的個數。
【舉例】
# 顯示所有IPv4類型DNS 客戶端驗證的信任IP表項。
<Sysname> display client-verify dns trusted ip
Slot 1:
IP address VPN instance DS-Lite tunnel peer TTL(sec)
11.1.1.2 -- -- 3600
123.123.123.123 -- -- 3550
Slot 2:
IP address VPN instance DS-Lite tunnel peer TTL(sec)
11.1.1.3 -- -- 1200
# 顯示所有IPv4類型DNS 客戶端驗證的信任IP表項的個數。
<Sysname> display client-verify dns trusted ip count
Slot 1:
Totally 3 trusted IP addresses.
Slot 2:
Totally 0 trusted IP addresses.
表1-24 display client-verify trusted ip命令顯示信息描述表
|
字段 |
描述 |
|
Totally 3 trusted IP addresses |
IPv4類型信任IP表項的個數 |
|
IP address |
信任IPv4地址 |
|
VPN instance |
信任IP地址所屬的MPLS L3VPN實例名稱,屬於公網時顯示為空 |
|
DS-Lite tunnel peer |
DS-Lite隧道對端地址。DS-Lite組網下,若本設備為AFTR,此列表示報文來自具體的哪個B4,如果不在DS-Lite組網或本設備不為AFTR,則該字段無意義,顯示為“--” |
|
TTL(sec) |
信任IP地址的剩餘老化時間,單位為秒。 |
display client-verify trusted ipv6命令用來顯示客戶端驗證的IPv6類型的信任IP表項。
【命令】
display client-verify { dns | dns-reply | http | sip | tcp } trusted ipv6 [ ipv6-address [ vpn vpn-instance-name ] ] [ slot slot-number ] ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
dns:指定DNS客戶端驗證功能。
dns-reply:指定DNS reply驗證功能。
http:指定HTTP客戶端驗證功能。
sip:指定SIP客戶端驗證功能。
tcp:指定TCP客戶端驗證功能。
ipv6-address:顯示指定IPv6地址的信任IP表項。若未指定本參數,則顯示所有IPv6類型的信任IP表項。
vpn-instance vpn-instance-name:顯示指定VPN實例的信任IP表項。其中vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示信任IP表項位於公網。
slot slot-number:顯示指定成員設備上的信任IP表項,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的信任IP表項。
count:僅顯示符合指定條件的信任IP地址的個數。
【舉例】
# 顯示所有IPv6類型的DNS客戶端驗證的信任IP表項。
<Sysname> display client-verify dns trusted ipv6
Slot 1:
IPv6 address VPN instance TTL(sec)
1::3 -- 1643
1234::1234 -- 1234
Slot 2:
IPv6 address VPN instance TTL(sec)
1::3 -- 1643
# 顯示所有IPv6類型的DNS客戶端驗證的信任IP表項的個數。
<Sysname> display client-verify dns trusted ipv6 count
Slot 1:
Totally 3 trusted IPv6 addresses.
Slot 2:
Totally 0 trusted IPv6 addresses.
表1-25 display client-verify trusted ipv6命令顯示信息描述表
|
字段 |
描述 |
|
Totally 3 trusted IPv6 addresses |
IPv6類型信任IP表項的個數 |
|
IPv6 address |
信任IPv6地址 |
|
VPN instance |
VPN實例名稱,屬於公網時顯示為空 |
|
TTL(sec) |
信任IP地址的剩餘老化時間,單位為秒。 |
display whitelist object-group命令用來顯示白名單引用的地址對象組的報文統計信息。
【命令】
display whitelist object-group [ object-group-name ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
object-group-name:顯示白名單引用的地址對象組的報文統計信息,為1~63個字符的字符串,不區分大小寫。如果不指定該參數,則表示顯示白名單引用的所有地址對象組的報文統計信息。
slot slot-number:顯示指定成員設備上的白名單引用的地址對象組的報文統計信息,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上的白名單引用的地址對象組的報文統計信息。
【使用指導】
若未指定任何參數,則表示顯示白名單引用的所有地址對象組的報文統計信息。
【舉例】
# 顯示白名單引用的所有地址對象組的報文統計信息。
<Sysname> display whitelist object-group
Slot 1:
Object group Type Matching Packets
objgrp-1 IPv4 15696
objgrp-2 IPv4 855864455
Slot 2:
Object group Type Matching Packets
objgrp-1 IPv4 353452
表1-26 display whitelist object-group命令顯示信息描述表
|
字段 |
描述 |
|
Object group |
白名單引用的地址對象組 |
|
Type |
白名單引用的地址對象組類型 |
|
Matching packets |
當前統計到的報文數量 |
【相關命令】
· reset whitelist statistics
· whitelist object-group
dns-flood action命令用來配置對DNS flood攻擊防範的全局處理行為。
undo dns-flood action命令用來恢複缺省情況。
【命令】
dns-flood action { client-verify | drop | logging } *
undo dns-flood action
【缺省情況】
不對檢測到的DNS flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
client-verify:表示自動將受到攻擊的IP地址添加到DNS客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。本參數對基於源IP統計的泛洪攻擊不生效。
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有DNS報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有DNS報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
本命令中client-verify參數的使用需要和TCP客戶端驗證功能配合。開啟了DNS客戶端驗證的安全域檢測到DNS flood攻擊時,若本命令中指定了client-verify參數,則設備會將受攻擊的IP地址動態添加到相應客戶端驗證的受保護IP列表中,並對與這些IP地址建立的連接進行代理。若安全域上未開啟相應的代理功能,則不會對任何連接進行代理。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對DNS flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood action drop
【相關命令】
· client-verify dns enable
· dns-flood detect
· dns-flood detect non-specific
· dns-flood port
· dns-flood source-threshold
· dns-flood threshold
dns-flood detect命令用來開啟對指定IP地址的攻擊防範檢測,並配置DNS flood攻擊防範檢測的觸發閾值和對DNS flood攻擊的處理行為。
undo dns-flood detect命令用來關閉對指定IP地址的DNS flood攻擊防範檢測。
【命令】
dns-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
undo dns-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未對任何指定IP地址配置DNS flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
vpn-instance vpn-instance-name:受保護IP地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該保護IP地址屬於公網。
port port-list:指定開啟DNS flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-24>。&<1-24>表示前麵的參數最多可以輸入24次。end-port-number必須大於或等於start-port-number。若未指定本參數,則表示使用全局配置的檢測端口列表。
threshold threshold-value:指定DNS flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的DNS報文數目,取值範圍為1~1000000。
action:設置對DNS flood攻擊的處理行為。若未指定本參數,則表示采用DNS flood攻擊防範的全局處理行為。
client-verify:表示自動將受到攻擊的IP地址添加到DNS客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有DNS報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能DNS flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送DNS報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了DNS flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置DNS flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的DNS flood攻擊防範檢測,並指定檢測端口為53、觸發閾值為2000。當設備監測到向該IP地址的53端口每秒發送的DNS報文數持續達到或超過2000時,啟動DNS flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood detect ip 192.168.1.2 port 53 threshold 2000
【相關命令】
· dns-flood action
· dns-flood detect non-specific
· dns-flood port
· dns-flood threshold
dns-flood detect non-specific命令用來對所有非受保護IP地址開啟DNS flood攻擊防範檢測。
undo dns-flood detect non-specific命令用來關閉對所有非受保護IP地址的DNS flood攻擊防範檢測。
【命令】
dns-flood detect non-specific
undo dns-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟DNS flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對所有非受保護IP地址開啟DNS flood攻擊防範檢測後,設備將采用全局的閾值設置(由dns-flood threshold或dns-flood source-threshold命令設置)和處理行為(由dns-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟DNS flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood detect non-specific
【相關命令】
· dns-flood action
· dns-flood detect
· dns-flood port
· dns-flood source-threshold
· dns-flood threshold
dns-flood port命令用來配置DNS flood攻擊防範的全局檢測端口號。
undo dns-flood port命令用來恢複缺省情況。
【命令】
dns-flood port port-list
undo dns-flood port
【缺省情況】
DNS flood攻擊防範的全局檢測端口號為53。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-list:指定開啟DNS flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-32>。&<1-32>表示前麵的參數最多可以輸入32次。end-port-number必須大於或等於start-port-number。
【使用指導】
設備隻對指定檢測端口上收到的報文進行DNS flood攻擊檢測。
對於所有非受保護IP地址,或未指定檢測端口的受保護IP地址,設備采用全局的檢測端口進行DNS flood攻擊檢測。對於所有指定檢測端口的受保護IP地址,設備針對為每個受保護IP地址指定的端口進行DNS flood攻擊檢測。
【舉例】
# 在攻擊防範策略atk-policy-1中配置DNS flood攻擊防範的全局檢測端口為53與61000,當設備檢測到訪問53端口或61000端口的DNS flood攻擊時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood port 53 61000
【相關命令】
· dns-flood action
· dns-flood detect
· dns-flood detect non-specific
· dns-flood source-threshold
· dns-flood threshold
dns-flood threshold命令用來配置DNS flood攻擊防範基於目的IP統計的全局觸發閾值。
undo dns-flood threshold命令用來恢複缺省情況。
【命令】
dns-flood threshold threshold-value
undo dns-flood threshold
【缺省情況】
DNS flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定向某IP地址每秒發送的DNS報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的DNS flood攻擊防範。
【使用指導】
使能DNS flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送DNS報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了DNS flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置DNS flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(DNS服務器)的DNS報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置DNS flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的DNS報文數持續達到或超過100時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood threshold 100
【相關命令】
· dns-flood action
· dns-flood detect ip
· dns-flood detect non-specific
· dns-flood port
dns-flood source-threshold命令用來配置DNS flood攻擊防範基於源IP統計的全局觸發閾值。
undo dns-flood source-threshold命令用來恢複缺省情況。
【命令】
dns-flood source-threshold threshold-value
undo dns-flood source-threshold
【缺省情況】
DNS flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的DNS報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的DNS flood攻擊防範。
【使用指導】
使能DNS flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送DNS報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了DNS flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置DNS flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的DNS報文數持續達到或超過100時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood source-threshold 100
【相關命令】
· dns-flood action
· dns-flood detect ip
· dns-flood detect non-specific
· dns-flood port
dns-reply-flood action命令用來配置對DNS reply flood攻擊防範的全局處理行為。
undo dns-reply-flood action命令用來恢複缺省情況。
【命令】
dns-reply-flood action { client-verify | drop | logging } *
undo dns-reply-flood action
【缺省情況】
不對檢測到的DNS reply flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
client-verify:表示自動將受到攻擊的IP地址添加到DNS reply驗證的受保護IP列表中。若DNS reply驗證功能已使能,則對DNS reply源端與受保護IP地址之間的連接進行代理。本參數對基於源IP統計的泛洪攻擊不生效。
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有DNS reply報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有DNS reply報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
本命令中client-verify參數的使用需要和DNS reply驗證功能配合。開啟了DNS reply驗證的接口或安全域檢測到DNS reply flood攻擊時,若本命令中指定了client-verify參數,則設備會將受攻擊的IP地址動態添加到相應DNS reply驗證的受保護IP列表中,並對與這些IP地址建立的連接進行代理。若接口或安全域上未開啟相應的代理功能,則不會對任何連接進行代理。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對DNS reply flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood action drop
【相關命令】
· client-verify dns-reply enable
· dns-reply-flood detect
· dns-reply-flood detect non-specific
· dns-reply-flood source-threshold
· dns-reply-flood threshold
dns-reply-flood detect命令用來開啟對指定IP地址的攻擊防範檢測,並配置DNS reply flood攻擊防範檢測的觸發閾值和對DNS reply flood攻擊的處理行為。
undo dns-reply-flood detect命令用來關閉對指定IP地址的DNS reply flood攻擊防範檢測。
【命令】
dns-reply-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
undo dns-reply-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未對任何指定IP地址配置DNS reply flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。
vpn-instance vpn-instance-name:受保護IP地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該保護IP地址屬於公網。
port port-list:指定開啟DNS reply flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-24>。&<1-24>表示前麵的參數最多可以輸入24次。end-port-number必須大於或等於start-port-number。若未指定本參數,則表示使用全局配置的檢測端口列表。
threshold threshold-value:指定DNS flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的DNS reply報文數目,取值範圍為1~1000000,缺省為1000。
action:設置對DNS reply flood攻擊的處理行為。
client-verify:表示自動將受到攻擊的IP地址添加到DNS reply源端驗證的受保護IP列表中。若DNS reply驗證功能已使能,則對DNS reply源端與受保護IP地址之間的連接進行代理。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有DNS reply報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
每個攻擊防範策略下可以同時對多個IP地址配置DNS reply flood攻擊防範檢測。
開啟DNS reply flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送DNS reply報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了DNS reply flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的DNS reply flood攻擊防範檢測,並指定檢測端口為53、觸發閾值為2000。當設備監測到向該IP地址的53端口每秒發送的DNS reply報文數持續達到或超過2000時,啟動DNS reply flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood detect ip 192.168.1.2 port 53 threshold 2000
【相關命令】
· dns-reply-flood action
· dns-reply-flood detect non-specific
· dns-reply-flood port
· dns-reply-flood threshold
dns-reply-flood detect non-specific命令用來對所有非受保護IP地址開啟DNS reply flood攻擊防範檢測。
undo dns-reply-flood detect non-specific命令用來關閉對所有非受保護IP地址的DNS reply flood攻擊防範檢測。
【命令】
dns-reply-flood detect non-specific
undo dns-reply-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟DNS reply-flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對所有非受保護IP地址開啟DNS reply flood攻擊防範檢測後,設備將采用全局的閾值設置(由dns-reply-flood threshold或dns-reply-flood source-threshold命令設置)和處理行為(由dns-reply-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟DNS reply-flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood detect non-specific
【相關命令】
· dns-reply-flood action
· dns-reply-flood detect
· dns-reply-flood port
· dns-reply-flood source-threshold
· dns-reply-flood threshold
dns-reply-flood port命令用來配置DNS reply flood攻擊防範的全局檢測端口號。
undo dns-reply-flood port命令用來恢複缺省情況。
【命令】
dns-reply-flood port port-list
undo dns-reply-flood port
【缺省情況】
DNS reply-flood攻擊防範的全局檢測端口號為53。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-list:指定開啟DNS reply flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-32>。&<1-32>表示前麵的參數最多可以輸入32次。end-port-number必須大於或等於start-port-number。
【使用指導】
設備隻對指定檢測端口上收到的報文進行DNS reply flood攻擊檢測。
對於所有非受保護IP地址,或未指定檢測端口的受保護IP地址,設備采用全局的檢測端口進行DNS reply flood攻擊檢測。對於所有指定檢測端口的受保護IP地址,設備針對為每個受保護IP地址指定的端口進行DNS reply flood攻擊檢測。
【舉例】
# 在攻擊防範策略atk-policy-1中配置DNS reply flood攻擊防範的全局檢測端口為53與61000,當設備檢測到訪問53端口或61000端口的DNS flood攻擊時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood port 53 61000
【相關命令】
· dns-reply-flood action
· dns-reply-flood detect
· dns-reply-flood detect non-specific
· dns-reply-flood source-threshold
· dns-reply-flood threshold
dns-reply-flood threshold命令用來配置DNS reply flood攻擊防範基於目的IP統計的全局觸發閾值。
undo dns-reply-flood threshold命令用來恢複缺省情況。
【命令】
dns-reply-flood threshold threshold-value
undo dns-reply-flood threshold
【缺省情況】
DNS reply flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定向某IP地址每秒發送的DNS reply報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的DNS reply flood攻擊防範。
【使用指導】
開啟DNS reply flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送DNS reply 報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了DNS reply flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。
對於未專門配置DNS reply flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(DNS客戶端)的DNS reply報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置DNS reply flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的DNS reply報文數持續達到或超過100時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood threshold 100
【相關命令】
· dns-reply-flood action
· dns-reply-flood detect ip
· dns-reply-flood detect non-specific
· dns-reply-flood port
dns-reply-flood source-threshold命令用來配置DNS reply flood攻擊防範基於源IP統計的全局觸發閾值。
undo dns-reply-flood source-threshold命令用來恢複缺省情況。
【命令】
dns-reply-flood source-threshold threshold-value
undo dns-reply-flood source-threshold
【缺省情況】
DNS reply flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的DNS reply報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的DNS reply flood攻擊防範。
【使用指導】
開啟DNS reply flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送DNSreply 報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了DNS reply flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置DNS reply flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的DNS reply報文數持續達到或超過100時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood source-threshold 100
【相關命令】
· dns-reply-flood action
· dns-reply-flood detect ip
· dns-reply-flood detect non-specific
· dns-reply-flood port
exempt acl命令用來配置攻擊防範例外列表。
undo exempt acl命令用來恢複缺省情況。
【命令】
exempt acl [ ipv6 ] { acl-number | name acl-name }
undo exempt acl [ ipv6 ]
【缺省情況】
未配置攻擊防範例外列表。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6:指定IPv6 ACL。如果未指定本參數,則表示IPv4 ACL。
acl-number:表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
【使用指導】
通過配置例外列表,使用ACL過濾不需要進行攻擊防範檢測的主機報文。當安全域上收到的報文與攻擊防範例外列表引用的ACL中的permit規則匹配時,設備不對其進行攻擊防範檢測。該配置用於過濾某些被信任的安全主機發送的報文,可以有效的減小誤報率,並提高服務器處理效率。
例外列表引用的ACL的permit規則中僅源地址、目的地址、源端口、目的端口、協議號、L3VPN和非首片分片標記參數用於匹配報文。
如果配置的攻擊防範例外列表中引用的ACL不存在,或引用的ACL中未定義任何規則,例外列表不會生效。
【舉例】
# 在攻擊防範策略atk-policy-1中配置例外列表ACL 2001,過濾來自主機1.1.1.1的報文,不對其進行攻擊防範檢測。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] attack-defense policy atk-policy-1
[attack-defense-policy-atk-policy-1] exempt acl 2001
【相關命令】
· attack-defense policy
fin-flood action命令用來配置對FIN flood攻擊防範的全局處理行為。
undo fin-flood action命令用來恢複缺省情況。
【命令】
fin-flood action { client-verify | drop | logging } *
undo fin-flood action
【缺省情況】
不對檢測到的FIN flood攻擊采取任何處理行為。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
client-verify:表示自動將受到攻擊的IP地址添加到TCP客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。本參數對基於源IP統計的泛洪攻擊不生效。
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有FIN報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有FIN報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
本命令中client-verify參數的使用需要和TCP客戶端驗證功能配合。開啟了TCP客戶端驗證的安全域檢測到FIN flood攻擊時,若本命令中指定了client-verify參數,則設備會將受攻擊的IP地址動態添加到相應客戶端驗證的受保護IP列表中,並對與這些IP地址建立的連接進行代理。若安全域上未開啟相應的代理功能,則不會對任何連接進行代理。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
#在攻擊防範策略atk-policy-1配置對FIN flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] fin-flood action drop
【相關命令】
· client-verify tcp enable
· fin-flood detect
· fin-flood detect non-specific
· fin-flood source-threshold
· fin-flood threshold
fin-flood detect命令用來開啟對指定IP地址的FIN flood攻擊防範檢測,並配置FIN flood攻擊防範檢測的觸發閾值和對FIN flood攻擊的處理行為。
undo fin-flood detect命令用來關閉對指定IP地址的FIN flood攻擊防範檢測。
【命令】
fin-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
undo fin-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未對任何指定IP地址配置FIN flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
vpn-instance vpn-instance-name:受保護IP地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該保護IP地址屬於公網。
threshold threshold-value:指定FIN flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的FIN報文數目,取值範圍為1~1000000。
action:設置對FIN flood攻擊的處理行為。若未指定本參數,則表示采用FIN flood攻擊防範的全局處理行為。
client-verify:表示自動將受到攻擊的IP地址添加到TCP客戶端驗證的受保護IP列表中。若客戶端驗證功能使能,則對客戶端與受保護IP地址之間的連接進行代理。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有FIN報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能FIN flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送FIN報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了FIN flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置FIN flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的FIN flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的FIN報文數持續達到或超過2000時,啟動FIN flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] fin-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· fin-flood action
· fin-flood detect non-specific
· fin-flood threshold
fin-flood detect non-specific命令用來對所有非受保護IP地址開啟FIN flood攻擊防範檢測。
undo fin-flood detect non-specific命令用來關閉對所有非受保護IP地址的FIN flood攻擊防範檢測。
【命令】
fin-flood detect non-specific
undo fin-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟FIN flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對所有非受保護IP地址開啟FIN flood攻擊防範檢測後,設備將采用全局的閾值設置(由fin-flood threshold或fin-flood source-threshold命令設置)和處理行為(由fin-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟FIN flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] fin-flood detect non-specific
【相關命令】
· fin-flood action
· fin-flood detect
· fin-flood source-threshold
· fin-flood threshold
fin-flood threshold命令用來配置FIN flood攻擊防範基於目的IP統計的全局觸發閾值。
undo fin-flood threshold命令用來恢複缺省情況。
【命令】
fin-flood threshold threshold-value
undo fin-flood threshold
【缺省情況】
FIN flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定向某IP地址每秒發送的FIN報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的FIN flood攻擊防範。
【使用指導】
使能FIN flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送FIN報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了FIN flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置FIN flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的FIN報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置FIN flood攻擊防範檢測的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的FIN報文數持續達到或超過100時,啟動FIN flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] fin-flood threshold 100
【相關命令】
· fin-flood action
· fin-flood detect
· fin-flood detect non-specific
fin-flood source-threshold命令用來配置FIN flood攻擊防範基於源IP統計的全局觸發閾值。
undo fin-flood source-threshold命令用來恢複缺省情況。
【命令】
fin-flood source-threshold threshold-value
undo fin-flood source-threshold
【缺省情況】
FIN flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的FIN報文數目,取值範圍為0~1000000,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的FIN flood攻擊防範。
【使用指導】
使能FIN flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送FIN報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了FIN flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置FIN flood攻擊防範檢測基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的FIN報文數持續達到或超過100時,啟動FIN flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] fin-flood source-threshold 100
【相關命令】
· fin-flood action
· fin-flood detect
· fin-flood detect non-specific
http-flood action命令用來配置對HTTP flood攻擊防範的全局處理行為。
undo http-flood action命令用來恢複缺省情況。
【命令】
http-flood action { client-verify | drop | logging } *
undo http-flood action
【缺省情況】
不對檢測到的HTTP flood攻擊采取任何處理行為。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
client-verify:表示自動將受到攻擊的IP地址添加到HTTP客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。本參數對基於源IP統計的泛洪攻擊不生效。
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有HTTP報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有HTTP報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
本命令中client-verify參數的使用需要和HTTP客戶端驗證功能配合。開啟了HTTP客戶端驗證的安全域檢測到HTTP flood攻擊時,若本命令中指定了client-verify參數,則設備會將受攻擊的IP地址動態添加到相應客戶端驗證的受保護IP列表中,並對與這些IP地址建立的連接進行代理。若安全域上未開啟相應的代理功能,則不會對任何連接進行代理。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對HTTP flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood action drop
【相關命令】
· client-verify http enable
· http-flood detect non-specific
· http-flood detect
· http-flood source-threshold
· http-flood threshold
http-flood detect命令用來開啟對指定IP地址的HTTP flood攻擊防範檢測,並配置HTTP flood攻擊防範的觸發閾值和對HTTP flood攻擊的處理行為。
undo http-flood detect命令用來關閉對指定IP地址的HTTP flood攻擊防範檢測。
【命令】
http-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
undo http-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未對任何指定IP地址配置HTTP flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
vpn-instance vpn-instance-name:受保護IP地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該保護IP地址屬於公網。
port port-list:指定開啟HTTP flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-24>。&<1-24>表示前麵的參數最多可以輸入24次。end-port-number必須大於或等於start-port-number。若未指定本參數,則表示使用全局配置的檢測端口列表。
threshold threshold-value:指定HTTP flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的HTTP報文數目,取值範圍為1~1000000。
action:設置對HTTP flood攻擊的處理行為。若未指定本參數,則表示采用HTTP flood攻擊防範的全局處理行為。
client-verify:表示自動將受到攻擊的IP地址添加到HTTP客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有HTTP報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能HTTP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送HTTP報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了HTTP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置HTTP flood攻擊防範檢測。
告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的HTTP flood攻擊防範檢測,並指定檢測端口為80與8080、觸發閾值為2000。當設備監測到向該IP地址的80或8080端口每秒發送的HTTP報文數持續達到或超過2000時,啟動HTTP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood detect ip 192.168.1.2 port 80 8080 threshold 2000
【相關命令】
· http-flood action
· http-flood detect non-specific
· http-flood port
· http-flood threshold
http-flood detect non-specific命令用來對所有非受保護IPv4地址開啟HTTP flood攻擊防範檢測。
undo http-flood detect non-specific命令用來關閉對所有非受保護IPv4地址的HTTP flood攻擊防範檢測。
【命令】
http-flood detect non-specific
undo http-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟HTTP flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對所有非受保護IP地址開啟HTTP flood攻擊防範檢測後,設備將采用全局的閾值設置(由http-flood threshold或http-flood source-threshold命令設置)和處理行為(由http-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟HTTP flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood detect non-specific
【相關命令】
· http-flood action
· http-flood detect
· http-flood source-threshold
· http-flood threshold
http-flood port命令用來配置HTTP flood攻擊防範的全局檢測端口號。
undo http-flood port命令用來恢複缺省情況。
【命令】
http-flood port port-list
undo http-flood port
【缺省情況】
HTTP flood攻擊防範的全局檢測端口號為80。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-list:指定開啟HTTP flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-32>。&<1-32>表示前麵的參數最多可以輸入32次。end-port-number必須大於或等於start-port-number。
【使用指導】
設備隻對指定檢測端口上收到的報文進行HTTP flood攻擊檢測。
對於所有非受保護IP地址,或未指定檢測端口的受保護IP地址,設備采用全局的檢測端口進行HTTP flood攻擊檢測。對於所有指定檢測端口的受保護IP地址,設備針對為每個受保護IP地址指定的端口進行HTTP flood攻擊檢測。
【舉例】
# 在攻擊防範策略atk-policy-1中配置DNS flood攻擊防範的全局檢測端口為80與8080,當設備檢測到訪問80端口或8080端口的HTTP flood攻擊時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood port 80 8080
【相關命令】
· http-flood action
· http-flood detect
· http-flood detect non-specific
· http-flood source-threshold
· http-flood threshold
http-flood threshold命令用來配置HTTP flood攻擊防範基於目的IP統計的全局觸發閾值。
undo http-flood threshold命令用來恢複缺省情況。
【命令】
http-flood threshold threshold-value
undo http-flood threshold
【缺省情況】
HTTP flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定向某IP地址每秒發送的HTTP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的HTTP flood攻擊防範。
【使用指導】
使能HTTP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送HTTP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了HTTP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置HTTP flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器)的HTTP報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置HTTP flood攻擊防範的全局觸發閾值為100, 即當設備監測到向某IP地址每秒發送的HTTP報文數持續達到或超過100時,啟動HTTP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood threshold 100
【相關命令】
· http-flood action
· http-flood detect
· http-flood detect non-specific
· http-flood port
http-flood source-threshold命令用來配置HTTP flood攻擊防範基於源IP統計的全局觸發閾值。
undo http-flood source-threshold命令用來恢複缺省情況。
【命令】
http-flood source-threshold threshold-value
undo http-flood source-threshold
【缺省情況】
HTTP flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的HTTP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的HTTP flood攻擊防範。
【使用指導】
使能HTTP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送HTTP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了HTTP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置HTTP flood攻擊防範基於源IP統計的全局觸發閾值為100, 即當設備監測到某IP地址每秒發送的HTTP報文數持續達到或超過100時,啟動HTTP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood source-threshold 100
【相關命令】
· http-flood action
· http-flood detect
· http-flood detect non-specific
· http-flood port
http-slow-attack action命令用來配置HTTP慢速攻擊防範的全局處理行為。
undo http-slow-attack action命令用來恢複缺省情況。
【命令】
http-slow-attack action { block-source [ timeout minutes ] | logging } *
undo http-slow-attack action
【缺省情況】
不對檢測到的HTTP慢速攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
block-source:表示阻斷並丟棄來自該IP地址的後續報文。具體實現是,當設備檢測到攻擊發生後,會自動將發起攻擊的源IP地址添加到IP黑名單動態表項中,當安全域上的黑名單過濾功能處於開啟狀態時,來自該IP地址的報文將被丟棄。
timeout minutes:動態添加的黑名單表項的老化時間。其中,minutes表示老化時間,取值範圍為1~10080,單位為分鍾,缺省為10。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
要使HTTP慢速攻擊防範添加的IP黑名單動態表項生效,必須保證安全域上的黑名單過濾功能處於開啟狀態。
【舉例】
# 在攻擊防範策略atk-policy-1中配置HTTP慢速攻擊防範的全局處理行為為輸出告警日誌和阻斷並丟棄來自該IP地址的後續報文,並配置動態添加的黑名單表項的老化時間為10分鍾。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack action logging block-source timeout 10
【相關命令】
· blacklist enable
· blacklist global enable
· http-slow-attack detect
· http-slow-attack detect non-specific
· http-slow-attack period
· http-slow-attack port
· http-slow-attack threshold
http-slow-attack detect命令用來開啟對指定IP地址的HTTP慢速攻擊防範檢測,並配置HTTP慢速攻擊防範檢測的檢測端口號、觸發閾值、檢測周期和對HTTP慢速攻擊的處理行為。
undo http-slow-attack detect命令用來關閉對指定IP地址的HTTP慢速攻擊防範檢測。
【命令】
http-slow-attack detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port { start-port-number [ to end-port-number ] } &<1-16> ] [ threshold { alert-number alert-number | content-length content-length | payload-length payload-length | packet-number packet-number }* ] [ period period ] [ action { block-source [ timeout minutes ] | logging }* ]
undo http-slow-attack detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未對任何指定IP地址開啟HTTP慢速攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
vpn-instance vpn-instance-name:受保護IP地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該保護IP地址屬於公網。
port port-list:指定開啟慢速攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-16>。&<1-16>表示前麵的參數最多可以輸入16次。end-port-number必須大於或等於start-port-number。若未指定本參數,則表示使用全局配置的檢測端口列表。
threshold:指定HTTP慢速攻擊防範的閾值。若未指定本參數,則表示采用慢速攻擊防範的全局閾值。
alert-number alert-number:指定觸發慢速攻擊檢測的HTTP並發連接數,取值範圍為1~1200000,缺省為5000。
content-length content-length:指定HTTP報文Content-Length字段的閾值,取值範圍為100~100000000,缺省為10000。
payload-length payload-length:指定HTTP報文實際載荷的閾值,取值範圍為1~1000,缺省為50。
packet-number packet-number:指定異常報文的防範閾值,取值範圍為1~1000,缺省為10。
period period:攻擊檢測周期,取值範圍為1~1200,單位為秒。若未指定本參數,則表示采用慢速攻擊防範的全局檢測周期。
action:設置對HTTP慢速攻擊的處理行為。若未指定本參數,則表示采用慢速攻擊防範的全局處理行為。
block-source:表示阻斷並丟棄來自該IP地址的後續報文。具體實現是,當設備檢測到攻擊發生後,會自動將發起攻擊的源IP地址添加到IP黑名單動態表項中,當安全域上的黑名單過濾功能處於開啟狀態時,來自該IP地址的報文將被丟棄。
timeout minutes:動態添加的黑名單表項的老化時間,取值範圍為1~10080,單位為分鍾,缺省值為10。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
要使HTTP慢速攻擊防範添加的IP黑名單動態表項生效,必須保證安全域上的黑名單過濾功能處於開啟狀態。
若指定threshold關鍵字,而未指定alert-number、content-length、payload-length、packet-number參數中的一個或多個,未指定的參數采用缺省值,而不采用全局閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址1.1.1.1的HTTP慢速攻擊檢測,並指定檢測端口為80和8080,指定HTTP慢速攻擊檢測的觸發閾值為3000,HTTP報文首部Content-Length字段大於10000且負載長度小於20時,則認為該報文異常。當異常報文個數超過10後,將該源IP地址加入動態黑名單。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack detect ip 1.1.1.1 port 80 8080 threshold alert-number 3000 content-length 10000 payload-length 20 packet-number 10 action block-source
【相關命令】
· blacklist enable
· blacklist global enable
· http-slow-attack action
· http-slow-attack detect non-specific
· http-slow-attack period
· http-slow-attack port
· http-slow-attack threshold
http-slow-attack detect non-specific命令用來對所有非受保護IP地址開啟HTTP慢速攻擊防範檢測。
undo http-slow-attack detect non-specific命令用來關閉對所有非受保護IP地址的HTTP慢速攻擊防範檢測。
【命令】
http-slow-attack detect non-specific
undo http-slow-attack detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟HTTP慢速攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對所有非受保護IP地址開啟HTTP慢速攻擊防範檢測後,設備將采用全局的閾值設置(由http-slow-attack threshold命令配置)、周期設置(由http-slow-attack period命令配置)、端口設置(由http-slow-attack port命令配置)和處理行為(由http-slow-attack action命令配置)對這些IP地址進行保護。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟HTTP慢速攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack detect non-specific
【相關命令】
· http-slow-attack action
· http-slow-attack detect
· http-slow-attack period
· http-slow-attack port
· http-slow-attack threshold
http-slow-attack period命令用來配置HTTP慢速攻擊防範的檢測周期。
undo http-slow-attack period命令用來恢複缺省情況。
【命令】
http-slow-attack period period
undo http-slow-attack period
【缺省情況】
HTTP慢速攻擊檢測周期為60秒。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
period period:攻擊檢測周期,取值範圍為1~1200,缺省值為60,單位為秒。
【舉例】
# 在攻擊防範策略atk-policy-1中配置HTTP慢速攻擊檢測周期為10秒。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack period 10
【相關命令】
· http-slow-attack action
· http-slow-attack detect
· http-slow-attack detect non-specific
· http-slow-attack port
· http-slow-attack threshold
http-slow-attack port命令用來配置慢速攻擊防範的全局檢測端口號。
undo http-slow-attack port命令用來恢複缺省情況。
【命令】
http-slow-attack port port-list &<1-32>
undo http-slow-attack port
【缺省情況】
慢速攻擊防範的全局檢測端口號為80。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-list:指定開啟慢速攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-32>。&<1-32>表示前麵的參數最多可以輸入32次。end-port-number必須大於或等於start-port-number。
【使用指導】
設備隻對指定檢測端口的報文進行慢速攻擊檢測。
對於所有非受保護IP地址,或未指定檢測端口的受保護IP地址,設備采用全局的檢測端口進行慢速攻擊檢測。對於所有指定檢測端口的受保護IP地址,設備針對為每個受保護IP地址指定的端口進行慢速攻擊檢測。
一般情況下,建議盡量使用缺省端口號80作為慢速攻擊防範的全局檢測端口號。如果需要通過本命令指定非缺省端口作為慢速攻擊防範的全局檢測端口號,需確保配置的端口號為HTTP協議的通信端口號。否則會給設備帶來大量無效的HTTP慢速攻擊檢測,耗費大量係統資源。
【舉例】
# 在攻擊防範策略atk-policy-1中配置慢速攻擊防範的全局檢測端口為80與8000,設備統計目的端口為80或8000的並發連接數,超過閾值後啟動慢速攻擊報文檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack port 80 8000
【相關命令】
· http-slow-attack action
· http-slow-attack detect
· http-slow-attack detect non-specific
· http-slow-attack period
· http-slow-attack threshold
http-slow-attack threshold命令用來配置HTTP慢速攻擊防範的全局觸發閾值。
undo http-slow-attack threshold命令用來恢複缺省情況。
【命令】
http-slow-attack threshold [ alert-number alert-number | content-length content-length | payload-length payload-length | packet-number packet-number ]*
undo http-slow-attack threshold
【缺省情況】
當HTTP報文連接數超過5000時,觸發HTTP慢速攻擊檢測功能。當HTTP報文首部Content-Length字段的值大於10000,並且HTTP報文負載長度小於50時,則認為設備受到了HTTP慢速攻擊。當檢測周期內,異常報文個數超過10個,則執行相應的HTTP慢速攻擊防範處理行為。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
alert-number alert-number:指定觸發慢速攻擊檢查的HTTP每秒並發連接數,取值範圍為1~1200000,缺省為5000。
content-length content-length:指定HTTP報文Content-Length字段的閾值,取值範圍為100~100000000,缺省為10000。
payload-length payload-length:指定報文實際載荷的閾值,取值範圍為1~1000,缺省為50。
packet-number packet-number:指定異常報文的防範閾值,取值範圍為1~1000,缺省為10。
【使用指導】
當設備的HTTP並發連接數超過HTTP慢速攻擊檢測的觸發閾值時,觸發HTTP慢速攻擊檢測功能。之後,若設備收到的HTTP報文首部Content-Length字段的值大於content-length,並且HTTP報文負載長度小於payload-length,則認為設備受到了HTTP慢速攻擊。當設備收到報文的數目超過配置的異常報文防範閾值,則執行相應的HTTP慢速攻擊防範處理行為。
閾值參數可選配,如未配置,則默認為缺省值。
多次命令行配置以最後一次為準。
【舉例】
# 在攻擊防範策略atk-policy-1中配置HTTP慢速攻擊檢測,配置HTTP慢速攻擊檢測的觸發閾值為3000,HTTP報文首部Content-Length字段的閾值為10000,HTTP報文實際載荷閾值為20,異常報文的防範閾值為10。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack threshold alert-number 3000 content-length 10000 payload-length 20 packet-number 10
【相關命令】
· http-slow-attack action
· http-slow-attack detect
· http-slow-attack detect non-specific
· http-slow-attack period
· http-slow-attack port
icmp-flood action命令用來配置對ICMP flood攻擊防範的全局處理行為。
undo icmp-flood action命令用來恢複缺省情況。
【命令】
icmp-flood action { drop | logging } *
undo icmp-flood action
【缺省情況】
不對檢測到的ICMP flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有ICMP報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有ICMP報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對ICMP flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmp-flood action drop
【相關命令】
· icmp-flood detect non-specific
· icmp-flood detect ip
· icmp-flood source-threshold
· icmp-flood threshold
icmp-flood detect ip命令用來開啟對指定IP地址的ICMP flood攻擊防範檢測,並配置ICMP flood攻擊防範檢測的觸發閾值和對ICMP flood攻擊的處理行為。
undo icmp-flood detect ip命令用來關閉對指定IP地址的ICMP flood攻擊防範檢測。
【命令】
icmp-flood detect ip ip-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo icmp-flood detect ip ip-address [ vpn-instance vpn-instance-name ]
【缺省情況】
未對任何指定IP地址配置ICMP flood 攻擊防範觸發閾值。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ip-address:指定要保護的IP地址。該IP地址不能為255.255.255.255或0.0.0.0。
vpn-instance vpn-instance-name:受保護IP地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該保護IP地址屬於公網。
threshold threshold-value:指定ICMP flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的ICMP報文數目,取值範圍為1~1000000。
action:設置對ICMP flood攻擊的處理行為。若未指定本參數,則表示采用ICMP flood攻擊防範的全局處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有ICMP報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能ICMP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送ICMP報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了ICMP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置ICMP flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的ICMP flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的ICMP報文數持續達到或超過2000時,啟動ICMP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmp-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· icmp-flood action
· icmp-flood detect non-specific
· icmp-flood threshold
icmp-flood detect non-specific命令用來對所有非受保護IPv4地址開啟ICMP flood攻擊防範檢測。
undo icmp-flood detect non-specific命令用來關閉對所有非受保護IPv4地址的ICMP flood攻擊防範檢測。
【命令】
icmp-flood detect non-specific
undo icmp-flood detect non-specific
【缺省情況】
未對任何非受保護IPv4地址開啟ICMP flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對任何非受保護IPv4地址開啟ICMP flood攻擊防範檢測後,設備將采用全局的閾值設置(由icmp-flood threshold或icmp-flood source-threshold命令設置)和處理行為(由icmp-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IPv4地址開啟ICMP flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmp-flood detect non-specific
【相關命令】
· icmp-flood action
· icmp-flood detect ip
· icmp-flood source-threshold
· icmp-flood threshold
icmp-flood threshold命令用來配置ICMP flood攻擊防範基於目的IP統計的全局觸發閾值。
undo icmp-flood threshold命令用來恢複缺省情況。
【命令】
icmp-flood threshold threshold-value
undo icmp-flood threshold
【缺省情況】
ICMP flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定向某IP地址每秒發送的ICMP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的ICMP flood攻擊防範。
【使用指導】
使能ICMP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送ICMP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了ICMP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置ICMP flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的ICMP報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置ICMP flood攻擊防範檢測的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的ICMP報文數持續達到或超過100時,啟動ICMP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmp-flood threshold 100
【相關命令】
· icmp-flood action
· icmp-flood detect
· icmp-flood detect non-specific
icmp-flood source-threshold命令用來配置ICMP flood攻擊防範基於源IP統計的全局觸發閾值。
undo icmp-flood source-threshold命令用來恢複缺省情況。
【命令】
icmp-flood source-threshold threshold-value
undo icmp-flood source-threshold
【缺省情況】
ICMP flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的ICMP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的ICMP flood攻擊防範。
【使用指導】
使能ICMP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送ICMP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了ICMP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該IP發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置ICMP flood攻擊防範檢測基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的ICMP報文數持續達到或超過100時,啟動ICMP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmp-flood source-threshold 100
【相關命令】
· icmp-flood action
· icmp-flood detect
· icmp-flood detect non-specific
icmpv6-flood action命令用來配置對ICMPv6 flood攻擊防範的全局處理行為。
undo icmpv6-flood action命令用來恢複缺省情況。
【命令】
icmpv6-flood action { drop | logging } *
undo icmpv6-flood action
【缺省情況】
不對檢測到的ICMPv6 flood攻擊采取任何防範措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有ICMPv6報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有ICMPv6報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對ICMPv6 flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood action drop
【相關命令】
· icmpv6-flood detect ipv6
· icmpv6-flood detect non-specific
· icmpv6-flood source-threshold
· icmpv6-flood threshold
icmpv6-flood detect ipv6命令用來開啟對指定IPv6地址的ICMPv6 flood攻擊防範檢測,並配置ICMPv6 flood攻擊防範檢測的觸發閾值和對ICMPv6 flood攻擊的處理行為。
undo icmpv6-flood detect ipv6命令用來關閉對指定IPv6地址的ICMPv6 flood攻擊防範檢測。
【命令】
icmpv6-flood detect ipv6 ipv6-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo icmpv6-flood detect ipv6 ipv6-address [ vpn-instance vpn-instance-name ]
【缺省情況】
未對任何指定IPv6地址配置ICMPv6 flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
vpn-instance vpn-instance-name:受保護IP地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該保護IP地址屬於公網。
threshold threshold-value:指定ICMPv6 flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的ICMPv6報文數目,取值範圍為1~1000000。
action:設置對ICMPv6 flood攻擊的處理行為。若未指定本參數,則表示采用ICMPv6 flood攻擊防範的全局處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有ICMPv6報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能ICMPv6 flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送ICMPv6報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了ICMPv6 flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IPv6地址配置ICMPv6 flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址2012::12的ICMPv6 flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的ICMP報文數持續達到或超過2000時,啟動ICMPv6 flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood detect ipv6 2012::12 threshold 2000
【相關命令】
· icmpv6-flood action
· icmpv6-flood detect non-specific
· icmpv6-flood threshold
icmpv6-flood detect non-specific命令用來對所有非受保護IPv6地址開啟ICMPv6 flood攻擊防範檢測。
undo icmpv6-flood detect non-specific命令用來關閉對所有非受保護IPv6地址的ICMPv6 flood攻擊防範檢測。
【命令】
icmpv6-flood detect non-specific
undo icmpv6-flood detect non-specific
【缺省情況】
未對任何非受保護IPv6地址開啟ICMPv6 flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對所有非受保護IPv6地址開啟ICMPv6 flood攻擊防範檢測後,設備將采用全局的閾值設置(由icmpv6-flood threshold或icmpv6-flood source-threshold命令設置)和處理行為(由icmpv6-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IPv6地址開啟ICMPv6 flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood detect non-specific
【相關命令】
· icmpv6-flood action
· icmpv6-flood detect ipv6
· icmpv6-flood source-threshold
· icmpv6-flood threshold
icmpv6-flood threshold命令用來配置ICMPv6 flood攻擊防範基於目的IP統計的全局觸發閾值。
undo icmpv6-flood threshold命令用來恢複缺省情況。
【命令】
icmpv6-flood threshold threshold-value
undo icmpv6-flood threshold
【缺省情況】
ICMPv6 flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定向某IPv6地址每秒發送的ICMPv6報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的ICMPv6 flood攻擊防範。
【使用指導】
使能ICMPv6 flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IPv6地址發送ICMPv6報文的速率持續達到或超過了該觸發閾值時,即認為該IPv6地址受到了ICMPv6 flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置ICMPv6 flood攻擊防範檢測的IPv6地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的ICMPv6報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置ICMPv6 flood攻擊防範檢測的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的ICMPv6報文數持續達到或超過100時,啟動ICMPv6 flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood threshold 100
【相關命令】
· icmpv6-flood action
· icmpv6-flood detect
· icmpv6-flood detect non-specific
icmpv6-flood source-threshold命令用來配置ICMPv6 flood攻擊防範基於源IP統計的全局觸發閾值。
undo icmpv6-flood source-source-threshold命令用來恢複缺省情況。
【命令】
icmpv6-flood source-threshold threshold-value
undo icmpv6-flood source-threshold
【缺省情況】
ICMPv6 flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的ICMPv6報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的ICMPv6 flood攻擊防範。
【使用指導】
使能ICMPv6 flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送ICMPv6報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了ICMPv6 flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置ICMPv6 flood攻擊防範檢測基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的ICMPv6報文數持續達到或超過100時,啟動ICMPv6 flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood source-threshold 100
【相關命令】
· icmpv6-flood action
· icmpv6-flood detect
· icmpv6-flood detect non-specific
reset attack-defense malformed-packet statistics命令用來清除畸形報文統計信息。
【命令】
reset attack-defense malformed-packet statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
執行本命令後,將清空所有畸形報文統計信息。
【舉例】
# 清除所有畸形報文統計信息。
<Sysname> reset attack-defense malformed-packet statistics
【相關命令】
· display attack-defense malformed-packet statistics
reset attack-defense policy flood命令用來清除flood攻擊防範受保護IP表項的統計信息。
【命令】
reset attack-defense policy policy-name flood protected { ip | ipv6 } statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:攻擊防範策略名稱,為1~31個字符的字符串,不區分大小寫。合法取值包括大寫字母、小寫字母、數字、特殊字符“_”和“-”。
ip:指定IPv4類型的flood受保護IP表項。
ipv6:指定IPv6類型的flood受保護IP表項。
statistics:清除指定類型的flood受保護IP表項的統計信息。
【舉例】
# 清除攻擊防範策略abc中所有IPv4類型的flood保護IP表項的統計信息
<Sysname> reset attack-defense policy abc flood protected ip statistics
# 清除攻擊防範策略abc中所有IPv6類型的flood保護IP表項的統計信息
<Sysname> reset attack-defense policy abc flood protected ipv6 statistics
【相關命令】
· display attack-defense policy ip
· display attack-defense policy ipv6
reset attack-defense statistics security-zone命令用來清除安全域上的攻擊防範的統計信息。
【命令】
reset attack-defense statistics security-zone zone-name
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
zone-name:指定安全域的名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”。
【舉例】
# 清除安全域DMZ上所有攻擊防範的統計信息。
<Sysname> reset attack-defense statistics security-zone dmz
【相關命令】
· display attack-defense policy
reset attack-defense top-attack-statistics命令用來清除Top10的攻擊排名統計信息。
【命令】
reset attack-defense top-attack-statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 清除Top10的攻擊排名統計信息。
<Sysname> reset attack-defense top-attack-statistics
【相關命令】
· attack-defense top-attack-statistics enable
· display attack-defense top-attack-statistics
reset blacklist destination-ip命令用來清除目的IPv4動態黑名單表項。
【命令】
reset blacklist destination-ip { destination-ip-address [ vpn-instance vpn-instance-name ] | all }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
destination-ip-address:清除指定IPv4地址的目的IPv4動態黑名單表項。其中destination-ip-address表示黑名單表項的IPv4地址。
vpn-instance vpn-instance-name:清除指定VPN實例的目的IPv4動態黑名單表項。其中vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示清除公網中的目的IPv4動態黑名單表項。
all:表示清除所有目的IPv4動態的黑名單表項。
【使用指導】
該命令僅用來清除動態生成的目的IPv4的黑名單表項。用戶添加的目的IPv4黑名單表項需要通過undo blacklist destination-ip命令來刪除。
【舉例】
# 清除所有目的IPv4動態黑名單表項的信息。
<Sysname> reset blacklist destination-ip all
【相關命令】
· display blacklist destination-ip
reset blacklist destination-ipv6命令用來清除目的IPv6動態黑名單表項。
【命令】
reset blacklist destination-ipv6{ destination-ipv6-address [ vpn-instance vpn-instance-name ] | all }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
destination-ipv6-address :清除指定IPv6地址的目的IPv6動態黑名單表項。其中destination-ipv6-address 表示黑名單表項的IPv6地址。
vpn-instance vpn-instance-name:清除指定VPN實例的目的IPv6動態黑名單表項。其中vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示清除公網中的指定目的IPv6動態黑名單表項。
all:表示清除所有目的IPv6動態黑名單表項。
【使用指導】
該命令僅用來清除動態生成的目的IPv6黑名單表項。用戶添加的目的IPv6黑名單表項需要通過undo blacklist destination-ipv6命令來刪除。
【舉例】
# 清除所有目的IPv6動態黑名單表項的信息。
<Sysname> reset blacklist destination-ipv6 all
【相關命令】
· display blacklist ipv6
reset blacklist ip命令用來清除IPv4動態黑名單表項。
【命令】
reset blacklist ip { source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ] | all }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
source-ip-address:清除指定IPv4地址的動態黑名單表項。其中source-ip-address表示黑名單表項的IPv4地址。
vpn-instance vpn-instance-name:清除指定VPN實例的動態黑名單表項。其中vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示清除公網中的指定動態黑名單表項。
ds-lite-peer ds-lite-peer-address:清除黑名單所屬的DS-Lite隧道對端地址。其中,ds-lite-peer-address表示黑名單的IPv4地址所屬的DS-Lite隧道B4端IPv6地址。若未指定本參數,則表示清除公網中的指定動態黑名單表項。
all:表示清除所有動態IPv4的黑名單表項。
【使用指導】
該命令僅用來清除動態生成的IPv4的黑名單表項。用戶添加的黑名單表項需要通過undo blacklist ip命令來刪除。
【舉例】
# 清除所有IPv4動態黑名單表項的信息。
<Sysname> reset blacklist ip all
【相關命令】
· display blacklist ip
reset blacklist ipv6命令用來清除IPv6動態黑名單表項。
【命令】
reset blacklist ipv6 { source-ipv6-address [ vpn-instance vpn-instance-name ] | all }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
source-ipv6-address:清除指定IPv6地址的動態黑名單表項。其中source-ip-address表示黑名單表項的IPv6地址。
vpn-instance vpn-instance-name:清除指定VPN實例的動態黑名單表項。其中vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示清除公網中的指定動態黑名單表項。
all:表示清除所有動態IPv6的黑名單表項。
【使用指導】
該命令僅用來清除動態生成的IPv6的黑名單表項。用戶添加的黑名單表項需要通過undo blacklist ipv6命令來刪除。
【舉例】
# 清除所有IPv6動態黑名單表項的信息。
<Sysname> reset blacklist ipv6 all
【相關命令】
· display blacklist ipv6
reset blacklist statistics命令用來清除黑名單表項的統計信息。
【命令】
reset blacklist statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
執行本命令後,將清空所有黑名單表項的丟包統計信息。
【舉例】
# 清除所有黑名單表項的丟包統計信息。
<Sysname> reset blacklist statistics
【相關命令】
· display blacklist ip
· display blacklist ipv6
reset client-verify protected statistics命令用來清除客戶端驗證的受保護IP地址的統計信息。
【命令】
reset client-verify { dns| dns-reply | http | sip | tcp } protected { ip | ipv6 } statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dns:指定DNS客戶端驗證功能。
dns-reply:指定DNS reply驗證功能。
http:指定HTTP客戶端驗證功能。
sip:指定SIP客戶端驗證功能。
tcp:指定TCP客戶端驗證功能。
ip:清除所有IPv4類型客戶端驗證的受保護IP地址的統計信息。
ipv6:清除所有IPv6類型客戶端驗證的受保護IP地址的統計信息。
【舉例】
# 清除TCP客戶端驗證的受保護IP地址的統計信息。
<Sysname> reset client-verify tcp protected ip statistics
【相關命令】
· display client-verify protected ip
· display client-verify protected ipv6
reset client-verify trusted命令用來清除客戶端驗證的信任IP表項。
【命令】
reset client-verify { dns| dns-reply | http | sip | tcp } trusted { ip | ipv6 }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dns:指定DNS客戶端驗證功能。
dns-reply:指定DNS reply驗證功能。
http:指定HTTP客戶端驗證功能。
sip:指定SIP客戶端驗證功能。
tcp:指定TCP客戶端驗證功能。
ip:清除所有IPv4類型客戶端驗證的信任IP表項。
ipv6:清除所有IPv6類型客戶端驗證的信任IP表項。
【舉例】
# 清除所有IPv4類型DNS客戶端驗證的信任IP表項。
<Sysname> reset client-verify dns trusted ip
【相關命令】
· display client-verify trusted ip
· display client-verify trusted ipv6
reset whitelist statistics命令用來清除白名單引用的地址對象組的報文統計信息。
【命令】
reset whitelist statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
執行本命令後,將清空白名單引用的所有地址對象組的報文統計信息。
【舉例】
# 清除白名單引用的地址對象組的報文統計信息。
<Sysname> reset whitelist statistics
【相關命令】
· display whitelist object-group
rst-flood action命令用來配置對RST flood攻擊防範的全局處理行為。
undo rst-flood action命令用來恢複缺省情況。
【命令】
rst-flood action { client-verify | drop | logging } *
undo rst-flood action
【缺省情況】
不對檢測到的RST flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
client-verify:表示自動將受到攻擊的IP地址添加到TCP客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。本參數對基於源IP統計的泛洪攻擊不生效。
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有RST報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有RST報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
本命令中client-verify參數的使用需要和TCP客戶端驗證功能配合。使能了TCP客戶端驗證的安全域檢測到RST flood攻擊時,若本命令中指定了client-verify參數,則設備會將受攻擊的IP地址動態添加到相應客戶端驗證的受保護IP列表中,並對與這些IP地址建立的連接進行代理。若安全域上未使能相應的代理功能,則不會對任何連接進行代理。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對RST flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] rst-flood action drop
【相關命令】
· client-verify tcp enable
· rst-flood detect
· rst-flood detect non-specific
· rst-flood source-threshold
· rst-flood threshold
rst-flood detect命令用來開啟對指定IP地址的RST flood攻擊防範檢測,並配置RST flood攻擊防範的觸發閾值和對RST flood攻擊的處理行為。
undo rst-flood命令用來關閉對指定IP地址的RST flood攻擊防範檢測。
【命令】
rst-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
undo rst-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未對任何指定IP地址配置RST flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
vpn-instance vpn-instance-name:受保護IP地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該保護IP地址屬於公網。
threshold threshold-value:指定RST flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的RST報文數目,取值範圍為1~1000000。
action:設置對RST flood攻擊的處理行為。若未指定本參數,則表示采用RST flood攻擊防範的全局處理行為。
client-verify:表示自動將受到攻擊的IP地址添加到TCP客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有RST報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能RST flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送RST報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了RST flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置RST flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的RST flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的RST報文數持續達到或超過2000時,啟動RST flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] rst-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· rst-flood action
· rst-flood detect non-specific
· rst-flood threshold
rst-flood detect non-specific命令用來對所有非受保護IP地址開啟RST flood攻擊防範檢測。
undo rst-flood detect non-specific命令用來關閉對所有非受保護IP地址的RST flood攻擊防範檢測。
【命令】
rst-flood detect non-specific
undo rst-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟RST flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對所有非受保護IP地址開啟RST flood攻擊防範檢測後,設備將采用全局的閾值設置(由rst-flood threshold或rst-flood source-threshold命令設置)和處理行為(由rst-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟RST flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] rst-flood detect non-specific
【相關命令】
· rst-flood action
· rst-flood detect
· rst-flood source-threshold
· rst-flood threshold
rst-flood threshold命令用來配置RST flood攻擊防範基於目的IP統計的全局觸發閾值。
undo rst-flood threshold命令用來恢複缺省情況。
【命令】
rst-flood threshold threshold-value
undo rst-flood threshold
【缺省情況】
RST flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定向某IP地址每秒發送的RST報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的RST flood攻擊防範。
【使用指導】
使能RST flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送RST報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了RST flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置RST flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的RST報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置RST flood攻擊防範檢測的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的RST報文數持續達到或超過100時,啟動RST flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] rst-flood threshold 100
【相關命令】
· rst-flood action
· rst-flood detect
· rst-flood detect non-specific
rst-flood source-threshold命令用來配置RST flood攻擊防範基於源IP統計的全局觸發閾值。
undo rst-flood source-threshold命令用來恢複缺省情況。
【命令】
rst-flood source-threshold threshold-value
undo rst-flood source-threshold
【缺省情況】
RST flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的RST報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的RST flood攻擊防範。
【使用指導】
使能RST flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發出RST報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了RST flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置RST flood攻擊防範檢測的基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的RST報文數持續達到或超過100時,啟動RST flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] rst-flood source-threshold 100
【相關命令】
· rst-flood action
· rst-flood detect
· rst-flood detect non-specific
scan detect命令用來配置開啟指定級別的掃描攻擊防範。
undo scan detect命令用來關閉指定級別的掃描攻擊防範。
【命令】
scan detect level { { high | low | medium } | user-defined { port-scan-threshold threshold-value | ip-sweep-threshold threshold-value } * [ period period-value ] } action { { block-source [ timeout minutes ] | drop } | logging } *
undo scan detect
【缺省情況】
掃描攻擊防範處於關閉狀態。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
level:指定攻擊防範的檢測級別。
high:表示高防範級別,該級別能檢測出大部分的掃描攻擊,但對活躍主機誤報率較高,即將可提供服務的主機的報文錯誤判斷為攻擊報文的概率比較高。該級別的掃描攻擊檢測周期為10秒,針對端口掃描的防範閾值為5000 packets,針對地址掃描的防範閾值為5000 packets。
low:表示低防範級別,該級別提供基本的掃描攻擊檢測,有很低的誤報率,但對於一些掃描攻擊類型不能檢出。該級別的掃描攻擊檢測周期為10秒,針對端口掃描的防範閾值為100000 packets,針對地址掃描的防範閾值為100000 packets。
medium:表示中防範級別,該級別有適中的攻擊檢出率與誤報率,通常能夠檢測出Filtered Scan等攻擊。該級別的掃描攻擊檢測周期為10秒,針對端口掃描的防範閾值為40000 packets,針對地址掃描的防範閾值為40000 packets。
user-defined:表示用戶自定義防範規則,用戶可根據網絡實際情況和需求指定端口掃描、地址掃描的防範閾值和檢測周期。
port-scan-threshold threshold-value:指定端口掃描攻擊防範的觸發閾值。其中,threshold-value為源IP地址每個檢測周期內發送的目的端口不同的報文數目,取值範圍為1~1000000000。
ip-sweep-threshold threshold-value:指定地址掃描攻擊防範的觸發閾值。其中,threshold-value為源IP地址每個檢測周期內發往不同目的IP地址的報文數目,取值範圍為1~1000000000。
period period-value:表示檢測周期,period-value的取值範圍為1~1000000000,單位為秒,缺省值為10。
action:設置對掃描攻擊的處理行為。
block-source:表示阻斷並丟棄來自該IP地址的後續報文。具體實現是,當設備檢測到攻擊發生後,會自動將發起攻擊的源IP地址添加到IP黑名單動態表項中,當安全域上的黑名單過濾功能處於開啟狀態時,來自該IP地址的報文將被丟棄。
timeout minutes:動態添加的黑名單表項的老化時間。其中,minutes表示老化時間,取值範圍為1~10080,單位為分鍾,缺省值為10。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,由該攻擊者發送的報文都將被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成記錄告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
要使掃描攻擊防範添加的IP黑名單動態表項生效,必須保證安全域上的黑名單過濾功能處於開啟狀態。
對於掃描攻擊防範動態添加的黑名單,需要配置其老化時間大於掃描攻擊的統計周期。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置掃描攻擊的檢測級別為低級別,處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] scan detect level low action drop
# 在攻擊防範策略atk-policy-1中配置掃描攻擊的檢測級別為低級別,處理行為是發日誌,阻斷並丟棄來自該IP地址的後續報文,並設置添加的IP黑名單表項的老化時間為10分鍾。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] scan detect level low action logging block-source timeout 10
# 在攻擊防範策略atk-policy-1中配置掃描攻擊的檢測級別為用戶自定義,端口掃描防範閾值是6000 packets,地址掃描防範閾值是80000 packets,檢測周期是30秒,處理行為是發日誌,阻斷並丟棄來自該IP地址的後續報文,並設置添加的IP黑名單表項的老化時間為10分鍾。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] scan detect level user-defined port-scan-threshold 6000 ip-sweep-threshold 80000 period 30 action logging block-source timeout 10
【相關命令】
· blacklist enable
· blacklist global enable
signature { large-icmp | large-icmpv6 } max-length命令用來配置啟動Large ICMP攻擊防範的ICMP報文長度的最大值。
undo signature { large-icmp | large-icmpv6 } max-length命令用來恢複缺省情況。
【命令】
signature { large-icmp | large-icmpv6 } max-length length
undo signature { large-icmp | large-icmpv6 } max-length
【缺省情況】
啟動Large ICMP攻擊防範的ICMP報文和ICMPv6報文長度的最大值均為4000字節。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
large-icmp:表示超大ICMP報文攻擊防範。
large-icmpv6:表示超大ICMPv6報文攻擊防範。
length:表示ICMP報文長度的最大值,ICMP報文取值範圍為28~65534,ICMPv6報文取值範圍為48~65534,單位為字節。
【舉例】
# 在攻擊防範策略atk-policy-1中配置啟動Large ICMP攻擊防範的ICMP報文長度的最大值為50000字節。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] signature large-icmp max-length 50000
【相關命令】
· signature detect
signature detect命令用來開啟指定類型單包攻擊報文的特征檢測,並設置攻擊防範的處理行為。
undo signature detect命令用來關閉對指定類型的單包攻擊報文的特征檢測。
【命令】
signature detect { fraggle | fragment | impossible | land | large-icmp | large-icmpv6 | smurf | snork | tcp-all-flags | tcp-fin-only | tcp-invalid-flags | tcp-null-flag | tcp-syn-fin | tiny-fragment | traceroute | udp-bomb | winnuke } [ action { { drop | logging } * | none } ]
undo signature detect { fraggle | fragment | impossible | land | large-icmp | large-icmpv6 | smurf | snork | tcp-all-flags | tcp-fin-only | tcp-invalid-flags | tcp-null-flag | tcp-syn-fin | tiny-fragment | traceroute | udp-bomb | winnuke }
signature detect { ip-option-abnormal | ping-of-death | teardrop } action { drop | logging } *
undo signature detect { ip-option-abnormal | ping-of-death | teardrop }
signature detect icmp-type { icmp-type-value | address-mask-reply | address-mask-request | destination-unreachable | echo-reply | echo-request | information-reply | information-request | parameter-problem | redirect | source-quench | time-exceeded | timestamp-reply | timestamp-request } [ action { { drop | logging } * | none } ]
undo signature detect icmp-type { icmp-type-value | address-mask-reply | address-mask-request | destination-unreachable | echo-reply | echo-request | information-reply | information-request | parameter-problem | redirect | source-quench | time-exceeded | timestamp-reply | timestamp-request }
signature detect icmpv6-type { icmpv6-type-value | destination-unreachable | echo-reply | echo-request | group-query | group-reduction | group-report | packet-too-big | parameter-problem | time-exceeded } [ action { { drop | logging } * | none } ]
undo signature detect icmpv6-type { icmpv6-type-value | destination-unreachable | echo-reply | echo-request | group-query | group-reduction | group-report | packet-too-big | parameter-problem | time-exceeded }
signature detect ip-option { option-code | internet-timestamp | loose-source-routing | record-route | route-alert | security | stream-id | strict-source-routing } [ action { { drop | logging } * | none } ]
undo signature detect ip-option { option-code | internet-timestamp | loose-source-routing | record-route | route-alert | security | stream-id | strict-source-routing }
signature detect ipv6-ext-header ext-header-value [ action { { drop | logging } * | none } ]
undo signature detect ipv6-ext-header next-header-value
signature detect ipv6-ext-header-abnormal [ action { { drop | logging } * | none } ]
undo signature detect ipv6-ext-header-abnormal
signature detect ipv6-ext-header-exceed [ limit limit-value ] [ action { { drop | logging } * | none } ]
undo signature detect ipv6-ext-header-exceed
【缺省情況】
所有類型的單包攻擊報文的特征檢測均處於關閉狀態。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
fraggle:表示Fraggle類型的報文攻擊。
fragment:表示IP分片報文攻擊。
icmp-type:表示ICMP類型的報文攻擊。可以指定報文的類型值,或者指定報文的類型關鍵字。
· icmp-type-value:表示ICMP報文類型的數值,取值範圍為0~255。
· address-mask-reply:表示ICMP address mask reply類型的報文攻擊。
· address-mask-request:表示ICMP address mask request類型的報文攻擊。
· destination-unreachable:表示ICMP destination unreachable類型的報文攻擊。
· echo-reply:表示ICMP echo reply類型的報文攻擊。
· echo-request:表示ICMP echo request類型的報文攻擊。
· information-reply:表示ICMP information reply類型的報文攻擊。
· information-request:表示ICMP information request類型的報文攻擊。
· parameter-problem:表示ICMP para problem類型的報文攻擊。
· redirect:表示ICMP redirect類型的報文攻擊。
· source-quench:表示ICMP source quench類型的報文攻擊。
· time-exceeded:表示ICMP time exceeded類型的報文攻擊。
· timestamp-reply:表示ICMP timestamp reply類型的報文攻擊。
· timestamp-request:表示ICMP timestamp request類型的報文攻擊。
icmpv6-type:表示ICMPv6類型的報文攻擊。可以指定報文的類型值,或者指定報文的類型關鍵字。
· icmpv6-type-value:表示ICMPv6報文類型的數值,取值範圍為0~255。
· destination-unreachable:表示ICMPv6 destination unreachable類型的報文攻擊。
· echo-reply:表示ICMPv6 echo reply類型的報文攻擊。
· echo-request:表示ICMPv6 echo request類型的報文攻擊。
· group-query:表示ICMPv6 group query類型的報文攻擊。
· group-reduction:表示ICMPv6 group reduction類型的報文攻擊。
· group-report:表示ICMPv6 group report類型的報文攻擊。
· packet-too-big:表示ICMPv6 packet too big類型的報文攻擊。
· parameter-problem:表示ICMPv6 para problem類型的報文攻擊。
· time-exceeded:表示ICMPv6 time exceeded類型的報文攻擊。
impossible:表示IP不可信報文的攻擊。
ip-option:表示IP選項類型的報文攻擊。可以指定IP選項代碼值,或者指定IP選項關鍵字。
· option-code:表示IP選項代碼值,取值範圍為1~255。
· internet-timestamp:表示IP選項timestamp類型的報文攻擊。
· loose-source-routing:表示IP選項loose source route類型的報文攻擊。
· record-route:表示IP選項record packet route類型的報文攻擊。
· route-alert:表示IP選項route alert類型的報文攻擊。
· security:表示IP選項security類型的報文攻擊。
· stream-id:表示IP選項stream identifier類型的報文攻擊。
· strict-source-routing:表示IP選項strict source route類型的報文攻擊。
ip-option-abnormal:表示IP選項異常類型的報文攻擊。
ipv6-ext-header ext-header-value:表示IPv6擴展頭參數值,取值範圍在0~255。
ipv6-ext-header-abnormal:表示IPv6擴展頭異常攻擊。
ipv6-ext-header-exceed:表示IPv6擴展頭數目超限攻擊。
land:表示Land類型的報文攻擊。
large-icmp:表示超大ICMP報文的攻擊。
large-icmpv6:表示超大ICMPv6報文的攻擊。
limit limit-value:指定IPv6擴展頭數目上限,取值範圍為0~7,缺省值為7。超過limit-value個擴展頭數目的IPv6報文將被視為IPv6擴展頭數目超限攻擊報文。
ping-of-death:表示Ping-of-death類型的報文攻擊。
smurf:表示Smurf類型的報文攻擊。
snork:表示UDP Snork attack類型的報文攻擊。
tcp-all-flags:表示TCP所有標誌位均置位的報文攻擊。
tcp-fin-only:表示TCP僅FIN標誌被置位的報文攻擊。
tcp-invalid-flags:表示TCP 標誌位非法的報文攻擊。
tcp-null-flag:表示TCP 標誌位為零的報文攻擊。
tcp-syn-fin:表示TCP SYN和FIN標誌位被同時置位的報文攻擊。
teardrop:表示teardrop類型的報文攻擊。
tiny-fragment:表示IP分片報文的攻擊。
traceroute:表示Trace route類型的報文攻擊。
udp-bomb:表示UDP Bomb attack類型的報文攻擊。
winnuke:表示WinNuke類型的報文攻擊。
action:對指定報文攻擊所采取的攻擊防範處理行為。若未指定本參數,則采用該攻擊報文所屬的攻擊防範級別所對應的默認處理行為。
· drop:設置單包攻擊的處理行為為丟棄報文。
· logging:設置單包攻擊的處理行為為發送日誌。
· none:不采取任何動作。
【使用指導】
可以通過多次執行本命令開啟多種類型的單包攻擊報文的特征檢測。
若通過數值指定了報文類型,則當指定的數值為標準的報文類型值時,在顯示信息中將會顯示該數值對應的報文類型字符串,否則顯示為數值。
針對IPv6擴展頭異常攻擊和IPv6擴展頭數目超限攻擊的檢測僅對IPv6報文頭部位於ESP擴展頭前的部分進行,不檢測位於ESP擴展頭之後的部分。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP分片攻擊報文的特征檢測,並指定攻擊防範處理行為為為丟棄報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] signature detect fragment action drop
【相關命令】
· signature level action
signature level action命令用來配置指定級別單包攻擊的處理行為。
undo signature level action命令用來恢複缺省情況。
【命令】
signature level { high | info | low | medium } action { { drop | logging } * | none }
undo signature level { high | info | low | medium } action
【缺省情況】
對提示級別和低級別的單包攻擊的處理行為是發送日誌;對中級別的單包攻擊的處理行為是發送日誌並丟包;對高級別的單包攻擊的處理行為是發送日誌並丟包。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
high:表示高級別的單包攻擊,暫無實例。
info:表示提示級別的單包攻擊,例如Large ICMP。
low:表示低級別的單包攻擊,例如Traceroute。
medium:表示中級別的單包攻擊,例如Winnuke。
drop:設置單包攻擊的處理行為為丟棄報文。
logging:設置單包攻擊的處理行為為發送日誌。
none:不采取任何動作。
【使用指導】
係統根據單包攻擊結果的嚴重程度由低到高將其劃分為四個攻擊級別:提示、低級、中級、高級。開啟某一個級別的單包攻擊報文的特征檢測,相當於批量開啟了屬於該級別的所有類型的單包攻擊報文的特征檢測。
若同時通過signature detect命令開啟了具體類型的單包攻擊報文的特征檢測,則以signature detect命令配置的參數為準。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對提示級別的單包攻擊的處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] signature level info action drop
【相關命令】
· signature detect
· signature level detect
signature level detect命令用來開啟指定級別單包攻擊報文的特征檢測。
undo signature level detect命令用來關閉對指定級別的單包攻擊報文的特征檢測。
【命令】
signature level { high | info | low | medium } detect
undo signature level { high | info | low | medium } detect
【缺省情況】
未開啟任何級別的單包攻擊報文的特征檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
high:表示高級別的單包攻擊,暫無實例。
info:表示提示級別的單包攻擊,例如Large ICMP報文攻擊。
low:表示低級別的單包攻擊,例如Traceroute報文攻擊。
medium:表示中級別的單包攻擊,例如Winnuke報文攻擊。
【使用指導】
係統根據單包攻擊結果的嚴重程度將其劃分為四個級別:提示、低級、中級、高級。開啟某一個級別的單包攻擊報文的特征檢測,相當於批量開啟了屬於該級別的所有單包攻擊報文的特征檢測。針對某一級別的單包攻擊的處理行為由signature level action命令指定。若通過signature detect命令開啟了具體的單包攻擊報文的特征檢測,則對該類攻擊報文的處理行為以signature detect命令配置的參數為準。
可通過display attack-defense policy命令查看各類型單包攻擊所屬的級別。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟提示級別的單包攻擊報文的特征檢測。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] signature level info detect
【相關命令】
· display attack-defense policy
· signature detect
· signature level action
sip-flood action命令用來配置SIP flood攻擊防範的全局處理行為。
undo sip-flood action命令用來恢複缺省情況。
【命令】
sip-flood action { client-verify | drop | logging } *
undo sip-flood action
【缺省情況】
不對檢測到的SIP flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
client-verify:表示自動將受到攻擊的IP地址添加到SIP客戶端驗證的受保護IP列表中。若客戶端驗證功能已開啟,則對客戶端與受保護IP地址之間的連接進行代理。本參數對基於源IP統計的泛洪攻擊不生效。
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有SIP報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有SIP報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
本命令中client-verify參數的使用需要和SIP客戶端驗證功能配合。開啟了SIP客戶端驗證功能的接口或安全域檢測到SIP flood攻擊時,若本命令中指定了client-verify參數,則設備會將受攻擊的IP地址動態添加到相應客戶端驗證的受保護IP列表中,並對與這些IP地址建立的連接進行代理。若接口或安全域上未開啟SIP客戶端驗證功能,則不會對任何連接進行代理。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SIP flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] sip-flood action drop
【相關命令】
· client-verify sip enable
· sip-flood detect
· sip-flood detect non-specific
· sip-flood port
· sip-flood source-threshold
· sip-flood threshold
sip-flood detect命令用來開啟對指定IP地址的SIP flood攻擊防範檢測,並配置SIP flood攻擊防範檢測的觸發閾值和對SIP flood攻擊的處理行為。
undo sip-flood detect命令用來關閉對指定IP地址的SIP flood攻擊防範檢測。
【命令】
sip-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
undo sip-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未對任何指定IP地址開啟SIP flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
vpn-instance vpn-instance-name:受保護IP地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該保護IP地址屬於公網。
port port-list:指定開啟SIP flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-32>。&<1-32>表示前麵的參數最多可以輸入32次。end-port-number必須大於或等於start-port-number。若未指定本參數,則表示使用全局配置的檢測端口列表。
threshold threshold-value:指定SIP flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的SIP報文數目,取值範圍為1~1000000,缺省為1000。
action:設置對SIP flood攻擊的處理行為。若未指定本參數,則表示采用SIP flood攻擊防範的全局處理行為。
client-verify:表示自動將被攻擊的IP地址添加到SIP客戶端驗證的受保護IP列表中。若客戶端驗證功能已開啟,則對客戶端與受保護IP地址之間的連接進行代理。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有SIP報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
開啟SIP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送SIP報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了SIP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置SIP flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的SIP flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的SIP報文數持續達到或超過2000時,啟動SIP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] sip-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· client-verify sip enable
· sip-flood action
· sip-flood detect non-specific
· sip-flood port
· sip-flood threshold
sip-flood detect non-specific命令用來對所有非受保護IP地址開啟SIP flood攻擊防範檢測。
undo sip-flood detect non-specific命令用來關閉對所有非受保護IP地址的SIP flood攻擊防範檢測。
【命令】
sip-flood detect non-specific
undo sip-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟SIP flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對所有非受保護IP地址開啟SIP flood攻擊防範檢測後,設備將采用全局的閾值設置(由sip-flood threshold或sip-flood source-threshold命令設置)、端口設置(由sip-flood port命令設置)和處理行為(由sip-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟SIP flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] sip-flood detect non-specific
【相關命令】
· sip-flood action
· sip-flood detect
· sip-flood port
· sip-flood source-threshold
· sip-flood threshold
sip-flood port命令用來配置SIP flood攻擊防範的全局檢測端口號。
undo sip-flood port命令用來恢複缺省情況。
【命令】
sip-flood port port-list
undo sip-flood port
【缺省情況】
SIP flood攻擊防範的全局檢測端口號為5060。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-list:指定開啟SIP flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-32>。&<1-32>表示前麵的參數最多可以輸入32次。end-port-number必須大於或等於start-port-number。
【使用指導】
設備隻對指定檢測端口上收到的報文進行SIP flood攻擊檢測。
對於所有非受保護IP地址,或未指定檢測端口的受保護IP地址,設備采用全局的檢測端口進行SIP flood攻擊檢測。對於所有指定檢測端口的受保護IP地址,設備針對為每個受保護IP地址指定的端口進行SIP flood攻擊檢測。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SIP flood攻擊防範的全局檢測端口為5060與65530,當設備檢測到訪問5060端口或65530端口的SIP flood攻擊時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] sip-flood port 5060 65530
【相關命令】
· sip-flood action
· sip-flood detect
· sip-flood detect non-specific
· sip-flood source-threshold
· sip-flood threshold
sip-flood threshold命令用來配置SIP flood攻擊防範基於目的IP統計的全局觸發閾值。
undo sip-flood threshold命令用來恢複缺省情況。
【命令】
sip-flood threshold threshold-value
undo sip-flood threshold
【缺省情況】
SIP flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定向某IP地址每秒發送的SIP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的SIP flood攻擊防範。開啟SIP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送SIP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了SIP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。
【使用指導】
對於未專門配置SIP flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象的SIP報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SIP flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的SIP報文數持續達到或超過100時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] sip-flood threshold 100
【相關命令】
· sip-flood action
· sip-flood detect
· sip-flood detect non-specific
· sip-flood port
sip-flood source-threshold命令用來配置SIP flood攻擊防範基於源IP統計的全局觸發閾值。
undo sip-flood source-threshold命令用來恢複缺省情況。
【命令】
sip-flood source-threshold threshold-value
undo sip-flood source-threshold
【缺省情況】
SIP flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定某IP地址每秒發送的SIP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的SIP flood攻擊防範。
【使用指導】
開啟SIP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送SIP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了SIP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SIP flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的SIP報文數持續達到或超過100時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] sip-flood source-threshold 100
【相關命令】
· sip-flood action
· sip-flood detect
· sip-flood detect non-specific
· sip-flood port
syn-ack-flood action命令用來配置對SYN-ACK flood攻擊防範的全局處理行為。
undo syn-ack-flood action命令用來恢複缺省情況。
【命令】
syn-ack-flood action { client-verify | drop | logging }*
undo syn-ack-flood action
【缺省情況】
不對檢測到的 SYN-ACK flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
client-verify:表示自動將受到攻擊的IP地址添加到TCP客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。本參數對基於源IP統計的泛洪攻擊不生效。
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有SYN-ACK報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有SYN-ACK報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成記錄告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
本命令中client-verify參數的使用需要和TCP客戶端驗證功能配合。開啟了TCP客戶端驗證的安全域檢測到SYN-ACK flood攻擊時,若本命令中指定了client-verify參數,則設備會將受攻擊的IP地址動態添加到相應客戶端驗證的受保護IP列表中,並對與這些IP地址建立的連接進行代理。若安全域上未開啟相應的代理功能,則不會對任何連接進行代理。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對SYN-ACK flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood action drop
【相關命令】
· client-verify tcp enable
· syn-ack-flood detect
· syn-ack-flood detect non-specific
· syn-ack-flood source-threshold
· syn-ack-flood threshold
syn-ack-flood detect命令用來對指定IP地址的SYN-ACK flood攻擊防範檢測,並配置SYN-ACK flood攻擊防範檢測觸發閾值和防範行為。
undo syn-ack-flood detect命令用來關閉對指定IP地址的SYN-ACK flood攻擊防範檢測。
【命令】
syn-ack-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
undo syn-ack-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未對任何指定IP地址配置SYN-ACK flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
vpn-instance vpn-instance-name:受保護IP地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該保護IP地址屬於公網。
threshold threshold-value:指定SYN-ACK flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的SYN-ACK報文數目,取值範圍為1~1000000。
action:設置對SYN-ACK flood攻擊的處理行為。若未指定本參數,則表示采用SYN-ACK flood攻擊防範的全局處理行為。
client-verify:表示自動將受到攻擊的IP地址添加到TCP客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有SYN-ACK報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能SYN-ACK flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送SYN-ACK報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了SYN-ACK flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置SYN-ACK flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 開啟對IP地址192.168.1.2的SYN-ACK flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的SYN-ACK報文數持續達到或超過2000時,啟動SYN-ACK攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· syn-ack-flood action
· syn-ack-flood detect non-specific
· syn-ack-flood threshold
syn-ack-flood detect non-specific命令用來對所有非受保護IP地址開啟SYN-ACK flood攻擊防範檢測。
undo syn-ack-flood detect non-specific命令用來關閉對所有非受保護IP地址的SYN-ACK flood攻擊防範檢測。
【命令】
syn-ack-flood detect non-specific
undo syn-ack-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟SYN-ACK flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對所有非受保護IP地址開啟SYN-ACK flood攻擊防範檢測後,設備將采用全局的閾值設置(由syn-ack-flood threshold或syn-ack-flood source-threshold命令設置)和處理行為(由syn-ack-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟UDP flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood detect non-specific
【相關命令】
· syn-ack flood action
· syn-ack-flood detect
· syn-ack-flood source-threshold
· syn-ack-flood threshold
syn-ack-flood threshold命令用來配置SYN-ACK flood攻擊防範基於目的IP統計的全局觸發閾值。
undo syn-ack-flood threshold命令用來恢複缺省情況。
【命令】
syn-ack-flood threshold threshold-value
undo syn-ack-flood threshold
【缺省情況】
SYN-ACK flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定向某IP地址每秒發送的SYN-ACK報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的SYN-ACK flood攻擊防範。
【使用指導】
使能SYN-ACK flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送SYN-ACK報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了SYN-ACK flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置SYN-ACK flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的SYN-ACK報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SYN-ACK flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的SYN-ACK報文數持續達到或超過100時,啟動SYN-ACK flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood threshold 100
【相關命令】
· syn-ack-flood action
· syn-ack-flood detect
· syn-ack-flood detect non-specific
syn-ack-flood source-threshold命令用來配置SYN-ACK flood攻擊防範基於源IP統計的全局觸發閾值。
undo syn-ack-flood source-threshold命令用來恢複缺省情況。
【命令】
syn-ack-flood source-threshold threshold-value
undo syn-ack-flood source-threshold
【缺省情況】
SYN-ACK flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的SYN-ACK報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的SYN-ACK flood攻擊防範。
【使用指導】
使能SYN-ACK flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發出的SYN-ACK報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了SYN-ACK flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SYN-ACK flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的SYN-ACK報文數持續達到或超過100時,啟動SYN-ACK flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood source-threshold 100
【相關命令】
· syn-ack-flood action
· syn-ack-flood detect
· syn-ack-flood detect non-specific
syn-flood action命令用來配置對SYN flood攻擊防範的全局處理行為。
undo syn-flood action命令用來恢複缺省情況。
【命令】
syn-flood action { client-verify | drop | logging } *
undo syn-flood action
【缺省情況】
不對檢測到的SYN flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
client-verify:表示自動將受到攻擊的IP地址添加到TCP客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。本參數對基於源IP統計的泛洪攻擊不生效。
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有SYN報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有SYN報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
本命令中client-verify參數的使用分別需要和TCP客戶端驗證功能配合。開啟了TCP客戶端驗證的安全域檢測到SYN flood攻擊時,若本命令中指定了client-verify參數,則設備會將受攻擊的IP地址動態添加到相應客戶端驗證的受保護IP列表中,並對與這些IP地址建立的連接進行代理。若安全域上未開啟相應的代理功能,則不會對任何連接進行代理。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對SYN flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-flood action drop
【相關命令】
· syn-flood detect non-specific
· syn-flood detect
· syn-flood source-threshold
· syn-flood threshold
syn-flood detect命令用來開啟對指定IP地址的SYN flood攻擊防範檢測,並配置SYN flood攻擊防範檢測的觸發閾值和對SYN flood攻擊的處理行為。
undo syn-flood detect命令用來關閉對指定IP地址的SYN flood攻擊防範檢測。
【命令】
syn-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
undo syn-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未對任何指定IP地址配置SYN flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
vpn-instance vpn-instance-name:受保護IP地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該保護IP地址屬於公網。
threshold threshold-value:指定SYN flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的SYN報文數目,取值範圍為1~1000000。
action:設置對SYN flood攻擊的處理行為。若未指定本參數,則表示采用SYN flood攻擊防範的全局處理行為。
client-verify:表示自動將受到攻擊的IP地址添加到TCP客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有SYN報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能SYN flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送SYN報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了SYN flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置SYN flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的SYN flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的SYN報文數持續達到或超過2000時,啟動SYN flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· syn-flood action
· syn-flood detect non-specific
· syn-flood threshold
syn-flood detect non-specific命令用來對所有非受保護IP地址開啟SYN flood攻擊防範檢測。
undo syn-flood detect non-specific命令用來關閉對所有非受保護IP地址的SYN flood攻擊防範檢測。
【命令】
syn-flood detect non-specific
undo syn-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟SYN flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對所有非受保護IP地址開啟SYN flood攻擊防範檢測後,設備將采用全局的閾值設置(由syn-flood threshold或syn-flood source-threshold命令設置)和處理行為(由syn-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟SYN flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-flood detect non-specific
【相關命令】
· syn-flood action
· syn-flood detect
· syn-flood source-threshold
· syn-flood threshold
syn-flood threshold命令用來配置SYN flood攻擊防範基於目的IP統計的全局觸發閾值。
undo syn-flood threshold命令用來恢複缺省情況。
【命令】
syn-flood threshold threshold-value
undo syn-flood threshold
【缺省情況】
SYN flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定向某IP地址每秒發送的SYN報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的SYN flood攻擊防範。
【使用指導】
使能SYN flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送SYN報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了SYN flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置SYN flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的SYN報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SYN flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的SYN報文數持續達到或超過100時,啟動SYN flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-flood threshold 100
【相關命令】
· syn-flood action
· syn-flood detect
· syn-flood detect non-specific
syn-flood source-threshold命令用來配置SYN flood攻擊防範基於源IP統計的全局觸發閾值。
undo syn-flood source-threshold命令用來恢複缺省情況。
【命令】
syn-flood source-threshold threshold-value
undo syn-flood source-threshold
【缺省情況】
SYN flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的SYN報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP地址的SYN flood攻擊防範。
【使用指導】
使能SYN flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發出的SYN報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了SYN flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發出報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SYN flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的SYN報文數持續達到或超過100時,啟動SYN flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-flood source-threshold 100
【相關命令】
· syn-flood action
· syn-flood detect
· syn-flood detect non-specific
threshold-learn apply命令用來立即應用最近一次的閾值學習結果。
【命令】
threshold-learn apply
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
在開啟閾值學習功能但沒有開啟閾值學習結果自動應用功能的攻擊防範策略中,可以通過執行該命令將最近一次的閾值學習結果作為泛洪攻擊防範的閾值。多次執行本命令,最後一次執行的命令生效。在閾值學習結果自動應用功能開啟時,此命令不生效。
該功能僅對非受保護IP地址也開啟攻擊防範檢測的泛洪攻擊類型生效。
【舉例】
# 在攻擊防範策略atk-policy-1中立即應用閾值學習功能上次的學習結果。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn apply
【相關命令】
· threshold-learn enable
threshold-learn auto-apply enable命令用來開啟閾值學習結果自動應用功能。
undo threshold-learn auto-apply enable命令用來關閉閾值學習結果自動應用功能。
【命令】
threshold-learn auto-apply enable
undo threshold-learn auto-apply enable
【缺省情況】
閾值學習結果自動應用功能處於關閉狀態。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
隻有在啟用閾值學習功能的攻擊防範策略中才可以應用閾值學習結果自動應用功能,且該功能僅對非受保護IP地址也開啟攻擊防範檢測的泛洪攻擊類型生效。啟用該功能後,係統會在每次完成閾值學習後根據閾值學習結果重新設置泛洪攻擊閾值,即泛洪攻擊閾值為學習值×(1+學習容忍度)。其中,學習值是設備在學習時長內實際網絡流量的峰值,學習容忍度則將學習值進行放大,從而避免在正常的峰值流量時造成合法流量的丟包。
通過執行threshold-learn enable命令可以啟用閾值學習功能;通過執行threshold-learn tolerance-value命令可以配置閾值學習功能的學習容忍度。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟閾值學習結果自動應用功能。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn auto-apply enable
【相關命令】
· threshold-learn enable
· threshold-learn tolerance-value
threshold-learn duration命令用來配置閾值學習時長。
undo threshold-learn duration命令用來恢複缺省情況。
【命令】
threshold-learn duration duration
undo threshold-learn duration
【缺省情況】
流量閾值學習時長為1440分鍾。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
duration:閾值學習時長,取值範圍為1~1200000,單位為分鍾。
【使用指導】
在應用已啟用了閾值學習功能的攻擊防範策略時,係統會自動開始進行閾值學習。建議學習時長設置大於1440分鍾(24小時),以確保設備學習到一整天的流量。如果在學習過程中修改了該值,則會重新開始學習。
【舉例】
# 在攻擊防範策略atk-policy-1中配置流量閾值學習時長為2880分鍾(48小時)。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn duration 2880
【相關命令】
· threshold-learn enable
· threshold-learn loop
threshold-learn enable命令用來開啟泛洪攻擊閾值學習功能。
undo threshold-learn enable命令用來關閉泛洪攻擊閾值學習功能。
【命令】
threshold-learn enable
undo threshold-learn enable
【缺省情況】
泛洪攻擊閾值學習功能處於關閉狀態。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
閾值是觸發係統執行防範動作的條件,閾值的設置是否合理將直接影響攻擊防範的效果。如果閾值設置過低,則可能造成正常流量被丟棄;而閾值設置過高,則可能在發生攻擊時係統不能及時啟動防範功能。因此,在配置泛洪攻擊防範時,為了合理設置閾值,建議啟用閾值學習功能。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟流量閾值學習功能。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn enable
【相關命令】
· threshold-learn auto-apply enable
· threshold-learn duration
threshold-learn interval命令用來配置閾值學習功能的學習間隔。
undo threshold-learn interval命令用來恢複缺省情況。
【命令】
threshold-learn interval interval
undo threshold-learn interval
【缺省情況】
閾值學習功能的學習間隔為1440分鍾。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interval:閾值學習功能的學習間隔,取值範圍為1~1200000,單位為分鍾。
【使用指導】
若攻擊防範策略中啟用了閾值學習功能且學習模式為周期學習,則在應用該策略時,係統會根據學習間隔周期性地進行閾值學習。其中,學習間隔是指定從上次學習的結束時間到下次學習開始時間的間隔時間。通過執行threshold-learn enable命令可以啟用閾值學習功能;通過執行threshold-learn mode periodic命令可以配置閾值學習為周期學習模式。
【舉例】
# 在攻擊防範策略atk-policy-1中配置流量閾值學習周期間隔為120分鍾。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn interval 120
【相關命令】
· threshold-learn enable
· threshold-learn mode
threshold-learn mode命令用來配置閾值學習功能的學習模式。
undo threshold-learn mode命令用來恢複缺省情況。
【命令】
threshold-learn mode { once | periodic }
undo threshold-learn mode
【缺省情況】
閾值學習功能的學習模式為單次學習。
【視圖】
【缺省用戶角色】
context-admin
【參數】
once:學習模式為單次學習。
periodic:學習模式為周期學習。
【使用指導】
閾值學習有單次學習和周期學習兩種學習模式:
· 單次學習:隻進行一次閾值學習。學習時長通過threshold-learnduration命令進行配置。對於網絡流量模型比較穩定的場景可以使用該模式。
· 周期學習:按配置的學習間隔進行周期性的學習。其中,每個周期中的學習時長通過threshold-learn duration命令進行配置,學習間隔通過threshold-learn interval命令進行配置。對於網絡流量模型易變化的場景可以使用該模式。
【舉例】
# 在攻擊防範策略atk-policy-1中配置流量閾值學習模式為周期學習。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn mode periodic
【相關命令】
· threshold-learn enable
· threshold-learn interval
threshold-learn tolerance-value命令用來配置閾值學習功能的學習容忍度。
undo threshold-learn tolerance-value命令用來恢複缺省情況。
【命令】
threshold-learn tolerance-value tolerance-value
undo threshold-learn tolerance-value
【缺省情況】
閾值學習功能的學習容忍度為50%。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
tolerance-value:學習容忍度,取值範圍為0~4000,單位為百分比。
【使用指導】
由於網絡中的流量是時刻變化的,因此將某個學習時長內學習所得的統計值作為防範閾值後,若網絡流量突然增大,可能會造成正常流量被丟棄。係統提供一個閾值容忍機製,它允許係統在將學習結果應用之前將閾值擴大指定的範圍,然後再應用到網絡中。擴大後的閾值為學習值×(1+學習容忍度)。
容忍度機製可以使閾值學習功能更好的應對網絡流量的波動。隻有當閾值學習結果自動應用功能處於開啟狀態時,配置學習容忍度才生效。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟自動應用,設置容忍度為100。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn auto-apply enable
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn tolerance-value 100
【相關命令】
· threshold-learn auto-apply enable
· threshold-learn enable
udp-flood action命令用來配置對UDP flood攻擊防範的全局處理行為。
undo udp-flood action命令用來恢複缺省情況。
【命令】
udp-flood action { drop | logging } *
undo udp-flood action
【缺省情況】
不對檢測到的UDP flood攻擊進行任何處理。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有UDP報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有UDP報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對UDP flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood action drop
【相關命令】
· udp-flood detect
· udp-flood detect non-specific
· udp-flood source-threshold
· udp-flood threshold
udp-flood detect命令用來開啟對指定IP地址的UDP flood攻擊防範檢測,並配置UDP flood攻擊防範檢測的觸發閾值和對UDP flood攻擊的處理行為。
undo udp-flood detect命令用來關閉對指定IP地址的UDP flood攻擊防範檢測。
【命令】
udp-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo udp-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未對任何指定IP地址配置UDP flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
vpn-instance vpn-instance-name:受保護IP地址所屬的VPN實例。其中,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示該保護IP地址屬於公網。
threshold threshold-value:指定UDP flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的UDP報文數目,取值範圍為1~1000000,則表示采用UDP flood攻擊防範的全局處理行為。
action:設置對UDP flood攻擊的處理行為。若未指定本參數,則表示采用UDP flood攻擊防範的全局處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有UDP報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能UDP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送UDP報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了UDP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置UDP flood攻擊防範參數。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的UDP flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的UDP報文數持續達到或超過2000時,啟動UDP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· udp-flood action
· udp-flood detect non-specific
· udp-flood threshold
udp-flood detect non-specific命令用來對所有非受保護IP地址開啟UDP flood攻擊防範檢測。
undo udp-flood detect non-specific命令用來關閉對所有非受保護IP地址的UDP flood攻擊防範檢測。
【命令】
udp-flood detect non-specific
undo udp-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟UDP flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對所有非受保護IP地址開啟UDP flood攻擊防範檢測後,設備將采用全局的閾值設置(由udp-flood threshold或udp-flood source-threshold命令設置)和處理行為(由udp-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟UDP flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood detect non-specific
【相關命令】
· udp-flood action
· udp-flood detect
· udp-flood source-threshold
· udp-flood threshold
udp-flood threshold命令用來配置UDP flood攻擊防範基於目的IP統計的全局觸發閾值。
undo udp-flood threshold命令用來恢複缺省情況。
【命令】
udp-flood threshold threshold-value
undo udp-flood threshold
【缺省情況】
UDP flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定向某IP地址每秒發送的UDP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的UDP flood攻擊防範。
【使用指導】
使能UDP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送UDP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了UDP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置UDP flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的UDP報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置UDP flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的UDP報文數持續達到或超過100時,啟動UDP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood threshold 100
【相關命令】
· udp-flood action
· udp-flood detect
· udp-flood detect non-specific
· udp-flood source-threshold
udp-flood source-threshold命令用來配置UDP flood攻擊防範基於源IP統計的全局觸發閾值。
undo udp-flood source-threshold命令用來恢複缺省情況。
【命令】
udp-flood source-threshold threshold-value
undo udp-flood source-threshold
【缺省情況】
UDP flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的UDP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的UDP flood攻擊防範。
【使用指導】
使能UDP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送UDP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了UDP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置UDP flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的UDP報文數持續達到或超過100時,啟動UDP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood source-threshold 100
【相關命令】
· udp-flood action
· udp-flood detect
· udp-flood detect non-specific
whitelist enable命令用來開啟安全域上的白名單過濾功能。
undo whitelist enable命令用來關閉安全域上的白名單過濾功能。
【命令】
whitelist enable
undo whitelist enable
【缺省情況】
安全域上的白名單過濾功能處於關閉狀態。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
若全局的白名單過濾功能處於開啟狀態,則所有安全域上的白名單過濾功能均處於開啟狀態。
若全局的白名單過濾功能處於關閉狀態,則安全域上的白名單過濾功能由本命令決定是否開啟。
【舉例】
# 開啟安全域Untrust上的白名單過濾功能。
<Sysname> system-view
[Sysname] security-zone name untrust
[Sysname-security-zone-Untrust] whitelist enable
whitelist global enable命令用來開啟全局白名單過濾功能。
undo whitelist global enable命令用來關閉全局白名單過濾功能。
【命令】
whitelist global enable
undo whitelist global enable
【缺省情況】
全局白名單過濾功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟全局白名單過濾功能表示開啟所有安全域上的白名單過濾功能。
【舉例】
# 開啟全局白名單過濾功能。
<Sysname> system-view
[Sysname] whitelist global enable
whitelist object-group命令通過引用地址對象組配置白名單。
undo whitelist object-group命令用來恢複缺省情況。
【命令】
whitelist object-group object-group-name
undo whitelist object-group
【缺省情況】
未引用地址對象組。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group-name:地址對象組名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
本命令需要和地址對象組功能配合使用,有關地址對象組功能的詳細介紹,請參見“安全配置指導”中的“對象組”。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 通過引用地址對象組object-group1配置白名單。
<Sysname> system-view
[Sysname] whitelist object-group object-group1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
