- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
13-攻擊檢測與防範命令
本章節下載: 13-攻擊檢測與防範命令 (1013.84 KB)
目 錄
1.1.3 ack-flood detect non-specific
1.1.5 ack-flood source-threshold
1.1.6 attack-defense apply policy
1.1.7 attack-defense local apply policy
1.1.8 attack-defense login block-timeout
1.1.9 attack-defense login enable
1.1.10 attack-defense login max-attempt
1.1.11 attack-defense login reauthentication-delay
1.1.13 attack-defense signature log non-aggregate
1.1.14 attack-defense tcp fragment enable
1.1.15 attack-defense top-attack-statistics enable
1.1.16 blacklist global enable
1.1.17 display attack-defense flood statistics ip
1.1.18 display attack-defense flood statistics ipv6
1.1.19 display attack-defense http-slow-attack statistics ip
1.1.20 display attack-defense http-slow-attack statistics ipv6
1.1.21 display attack-defense policy
1.1.22 display attack-defense policy ip
1.1.23 display attack-defense policy ipv6
1.1.24 display attack-defense scan attacker ip
1.1.25 display attack-defense scan attacker ipv6
1.1.26 display attack-defense statistics interface
1.1.27 display attack-defense statistics local
1.1.28 display attack-defense top-attack-statistics
1.1.31 dns-flood detect non-specific
1.1.34 dns-flood source-threshold
1.1.37 dns-reply-flood detect non-specific
1.1.39 dns-reply-flood threshold
1.1.40 dns-reply-flood source-threshold
1.1.44 fin-flood detect non-specific
1.1.46 fin-flood source-threshold
1.1.49 http-flood detect non-specific
1.1.52 http-flood source-threshold
1.1.53 http-slow-attack action
1.1.54 http-slow-attack detect
1.1.55 http-slow-attack detect non-specific
1.1.56 http-slow-attack period
1.1.58 http-slow-attack threshold
1.1.61 https-flood detect non-specific
1.1.64 https-flood source-threshold
1.1.67 icmp-flood detect non-specific
1.1.69 icmp-flood source-threshold
1.1.71 icmpv6-flood detect ipv6
1.1.72 icmpv6-flood detect non-specific
1.1.74 icmpv6-flood source-threshold
1.1.75 reset attack-defense policy flood
1.1.76 reset attack-defense statistics interface
1.1.77 reset attack-defense statistics local
1.1.78 reset attack-defense top-attack-statistics
1.1.81 rst-flood detect non-specific
1.1.83 rst-flood source-threshold
1.1.85 signature { large-icmp | large-icmpv6 } max-length
1.1.91 sip-flood detect non-specific
1.1.94 sip-flood source-threshold
1.1.97 syn-ack-flood detect non-specific
1.1.98 syn-ack-flood threshold
1.1.99 syn-ack-flood source-threshold
1.1.102 syn-flood detect non-specific
1.1.104 syn-flood source-threshold
1.1.106 threshold-learn auto-apply enable
1.1.107 threshold-learn duration
1.1.108 threshold-learn enable
1.1.109 threshold-learn interval
1.1.111 threshold-learn tolerance-value
ack-flood action命令用來配置ACK flood攻擊防範的全局處理行為。
undo ack-flood action命令用來恢複缺省情況。
【命令】
ack-flood action { drop | logging } *
undo ack-flood action
【缺省情況】
不對檢測到的ACK flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有ACK報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有ACK報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置ACK flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] ack-flood action drop
【相關命令】
· ack-flood detect
· ack-flood detect non-specific
· ack-flood source-threshold
· ack-flood threshold
ack-flood detect命令用來開啟對指定IP地址的ACK flood攻擊防範檢測,並配置ACK flood攻擊防範的觸發閾值和對ACK flood攻擊的處理行為。
undo ack-flood detect命令用來關閉對指定IP地址的ACK flood攻擊防範檢測。
【命令】
ack-flood detect { ip ipv4-address | ipv6 ipv6-address } [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo ack-flood detect { ip ipv4-address | ipv6 ipv6-address }
【缺省情況】
未對任何指定IP地址開啟ACK flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
threshold threshold-value:指定ACK flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的ACK報文數目,取值範圍為1~1000000。
action:設置對ACK flood攻擊的處理行為。若未指定本參數,則表示采用ACK flood攻擊防範的全局處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有ACK報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能ACK flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送ACK報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了ACK flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置ACK flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的ACK flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的ACK報文數持續達到或超過2000時,啟動ACK flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] ack-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· ack-flood action
· ack-flood detect non-specific
· ack-flood threshold
ack-flood detect non-specific命令用來對所有非受保護IP地址開啟ACK flood攻擊防範檢測。
undo ack-flood detect non-specific命令用來關閉對所有非受保護IP地址的ACK flood攻擊防範檢測。
【命令】
ack-flood detect non-specific
undo ack-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟ACK flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
對所有未配置具體攻擊防範策略的IP地址開啟ACK flood攻擊防範檢測後,設備將采用全局的閾值設置(由ack-flood threshold或ack-flood source-threshold命令設置)和處理行為(由ack-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟ACK flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] ack-flood detect non-specific
【相關命令】
· ack-flood action
· ack-flood detect
· ack-flood source-threshold
· ack-flood threshold
ack-flood threshold命令用來配置ACK flood攻擊防範基於目的IP統計的全局觸發閾值。
undo ack-flood threshold命令用來恢複缺省情況。
【命令】
ack-flood threshold threshold-value
undo ack-flood threshold
【缺省情況】
ACK flood攻擊防範基於目的IP統計的全局觸發閾值為40000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定向某IP地址每秒發送的ACK報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的ACK flood攻擊防範。
【使用指導】
使能ACK flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送ACK報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了ACK flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置ACK flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的ACK報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置ACK flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的ACK報文數持續達到或超過100時,啟動ACK flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] ack-flood threshold 100
【相關命令】
· ack-flood action
· ack-flood detect
· ack-flood detect non-specific
ack-flood source-threshold命令用來配置ACK flood攻擊防範基於源IP統計的全局觸發閾值。
undo ack-flood source-threshold命令用來恢複缺省情況。
【命令】
ack-flood source-threshold threshold-value
undo ack-flood source-threshold
【缺省情況】
ACK flood攻擊防範基於源IP統計的全局觸發閾值為40000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的ACK報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的ACK flood攻擊防範。
【使用指導】
使能ACK flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送的ACK報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了ACK flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置ACK flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的ACK報文數持續達到或超過100時,啟動ACK flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] ack-flood source-threshold 100
【相關命令】
· ack-flood action
· ack-flood detect
· ack-flood detect non-specific
attack-defense apply policy命令用來在接口上應用攻擊防範策略。
undo attack-defense apply policy命令用來恢複缺省情況。
【命令】
attack-defense apply policy policy-name
undo attack-defense apply policy
【缺省情況】
接口上未應用任何攻擊防範策略。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:攻擊防範策略名稱,為1~31個字符的字符串,不區分大小寫。合法取值包括大寫字母、小寫字母、數字、特殊字符“_”和“-”。
【使用指導】
一個接口上隻能應用一個攻擊防範策略(可多次配置,最後一次配置的有效),但一個攻擊防範策略可應用到多個接口上。
【舉例】
# 將攻擊防範策略atk-policy-1應用到接口Vlan-interface100上。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] attack-defense apply policy atk-policy-1
【相關命令】
· attack-defense policy
· display attack-defense policy
attack-defense local apply policy命令用來在本機應用安全攻擊防範策略。
undo attack-defense local apply policy命令用來恢複缺省情況。
【命令】
attack-defense local apply policy policy-name
undo attack-defense local apply policy
【缺省情況】
本機未應用任何攻擊防範策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:攻擊防範策略名稱,為1~31個字符的字符串,不區分大小寫。合法取值包括大寫字母、小寫字母、數字、特殊字符“_”和“-”。
【使用指導】
通過在本機應用攻擊防範策略,使已配置的攻擊防範策略對目的地址為本機的報文生效。
可以通過在本機上應用攻擊防範策略提高對目的地址為本機的攻擊報文的處理效率。
本機隻能應用一個攻擊防範策略(可多次配置,最後一次配置的有效),但一個攻擊防範策略除了可以應用到本機外,還可應用到多個接口上。
當同時在接口和本機應用攻擊防範策略時,目的地址是本機的報文到達設備後,將會被根據應用在接口上的策略和應用在本機的策略先後檢測兩次。
【舉例】
# 在本機應用攻擊防範策略atk-policy-1。
<Sysname> system-view
[Sysname] attack-defense local apply policy atk-policy-1
【相關命令】
· attack-defense policy
· display attack-defense policy
attack-defense login block-timeout命令用來配置Login用戶登錄失敗後阻斷時長。
undo attack-defense login block-timeout命令用來恢複缺省情況。
【命令】
attack-defense login block-timeout minutes
undo attack-defense login block-timeout
【缺省情況】
Login用戶登錄失敗後默認阻斷時長為60分鍾。
係統視圖
network-admin
【參數】
minutes:設備管理用戶登錄失敗後阻斷時長,取值範圍為1~2880,單位為分鍾。
【使用指導】
Login用戶登錄失敗後,若用戶的IP地址被加入黑名單,則設備將會丟棄來自該IP地址的報文,使得該用戶不能在指定的阻斷時長內進行登錄操作。
# 配置Login用戶登錄失敗後阻斷時長為5分鍾。
<Sysname> system-view
[Sysname] attack-defense login block-timeout 5
【相關命令】
· attack-defense login enable
· blacklist global enable
attack-defense login enable命令用來開啟Login用戶攻擊防範功能。
undo attack-defense login enable命令用來關閉Login用戶攻擊防範功能。
【命令】
attack-defense login enable
undo attack-defense login enable
【缺省情況】
Login用戶攻擊防範功能處於關閉狀態。
係統視圖
network-admin
【使用指導】
開啟Login用戶攻擊防範功能後,如果用戶登錄設備連續失敗的次數達到指定次數,則此用戶IP將被加入黑名單,並在指定時間內不能進行登錄。
將Login用戶加入黑名單進行阻斷的功能必須在全局黑名單過濾功能處於開啟狀態時才能生效。
# 開啟Login用戶攻擊防範功能。
<Sysname> system-view
[Sysname] attack-defense login enable
【相關命令】
· blacklist global enable
attack-defense login max-attempt命令用來配置Login用戶登錄失敗的最大次數。
undo attack-defense login max-attempt命令用來恢複缺省情況。
【命令】
attack-defense login max-attempt max-attempt
undo attack-defense login max-attempt
【缺省情況】
Login用戶登錄失敗的最大次數為3次。
係統視圖
network-admin
【參數】
max-attempt:用戶登錄連續失敗的最大次數,取值為1~60。
【使用指導】
Login用戶攻擊防範功能處於開啟狀態時,如果用戶登錄設備連續失敗的次數達到指定次數,則此用戶IP地址將被加入黑名單,在全局黑名單功能開啟的情況下,來自該IP地址的用戶報文將被阻斷指定的時長。
若用戶成功登錄或設備重啟,用戶登錄失敗次數會重新從零計數。
# 配置Login用戶登錄失敗的最大次數為5次。
<Sysname> system-view
[Sysname] attack-defense login max-attempt 5
【相關命令】
· attack-defense login enable
attack-defense login reauthentication-delay命令用來配置Login用戶登錄失敗後重新進行認證的等待時長。
undo attack-defense login reauthentication-delay命令用來恢複缺省情況。
attack-defense login reauthentication-delay seconds
undo attack-defense login reauthentication-delay
【缺省情況】
Login用戶登錄失敗後重新進行認證不需要等待。
係統視圖
network-admin
【參數】
seconds:設備管理用戶登錄失敗後重新進行認證的等待時長,取值範圍為4~60,單位為秒。
【使用指導】
Login用戶登錄失敗後,若設備上配置了重新進行認證的等待時長,則係統將會延遲一定的時長之後再允許用戶進行認證,可以避免設備受到字典式攻擊。
Login用戶延遲認證功能與Login用戶攻擊防範功能無關,隻要配置了延遲認證等待時間,即可生效。
# 配置Login用戶登錄失敗後重新進行認證的等待時長為5秒鍾。
[Sysname] attack-defense login reauthentication-delay 5
attack-defense policy命令用來創建一個攻擊防範策略,並進入攻擊防範策略視圖。如果指定的攻擊防範策略已經存在,則直接進入攻擊防範策略視圖。
undo attack-defense policy命令用來刪除指定的攻擊防範策略。
【命令】
attack-defense policy policy-name
undo attack-defense policy policy-name
【缺省情況】
不存在任何攻擊防範策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:攻擊防範策略名稱,為1~31個字符的字符串,不區分大小寫。合法取值包括大寫字母、小寫字母、數字、特殊字符“_”和“-”。
【使用指導】
攻擊防範的缺省觸發閾值對於現網環境而言可能過小,這會導致用戶上網慢或者網頁打不開等情況,請根據實際網絡環境配置合理的觸發閾值。
【舉例】
# 創建攻擊防範策略atk-policy-1,並進入攻擊防範策略視圖。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1]
【相關命令】
· attack-defense apply policy
· display attack-defense policy
attack-defense signature log non-aggregate命令用來指定對單包攻擊防範日誌非聚合輸出。
undo attack-defense signature log non-aggregate命令用來恢複缺省情況。
【命令】
attack-defense signature log non-aggregate
undo attack-defense signature log non-aggregate
【缺省情況】
單包攻擊防範的日誌信息經係統聚合後再輸出。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
對日誌進行聚合輸出是指,在一定時間內,對在本機或同一個接口上檢測到的相同攻擊類型、相同攻擊防範動作、相同的源/目的地址的單包攻擊的所有日誌聚合成一條日誌輸出。通常不建議開啟單包攻擊防範的日誌非聚合輸出功能,因為在單包攻擊較為頻繁的情況下,它會導致大量日誌信息輸出,占用控製台的顯示資源。
【舉例】
# 開啟對單包攻擊防範日誌的非聚合輸出功能。
<Sysname> system-view
[Sysname] attack-defense signature log non-aggregate
【相關命令】
· signature detect
attack-defense tcp fragment enable命令用來開啟TCP分片攻擊防範功能。
undo attack-defense tcp fragment enable命令用來關閉TCP分片攻擊防範功能。
【命令】
attack-defense tcp fragment enable
undo attack-defense tcp fragment enable
【缺省情況】
TCP分片攻擊防範功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
設備的包過濾功能一般是通過判斷TCP首個分片中的五元組(源IP地址、源端口號、目的IP地址、目的端口號、傳輸層協議號)信息來決定後續TCP分片是否允許通過。RFC 1858對TCP分片報文進行了規定,認為TCP分片報文中,首片報文中TCP報文長度小於20字節,或後續分片報文中分片偏移量等於8字節的報文為TCP分片攻擊報文。這類報文可以成功繞過上述包過濾功能,對設備造成攻擊。為防止這類攻擊,可以在設備上開啟TCP分片攻擊防範功能,對TCP分片攻擊報文進行丟棄。
如果設備上開啟了TCP分片攻擊防範功能,並應用了單包攻擊防範策略,則TCP分片攻擊防範功能會先於單包攻擊防範策略檢測並處理入方向的TCP報文。
【舉例】
# 開啟TCP分片攻擊防範功能。
<Sysname> system-view
[Sysname] attack-defense tcp fragment enable
attack-defense top-attack-statistics enable命令用來開啟攻擊排名的Top統計功能。
undo attack-defense top-attack-statistics enable命令用來關閉攻擊排名的Top統計功能。
【命令】
attack-defense top-attack-statistics enable
undo attack-defense top-attack-statistics enable
【缺省情況】
攻擊排名的Top統計功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
可以通過display attack-defense top-attack-statistics命令查看攻擊數目的Top排名統計信息。
【舉例】
# 開啟攻擊排名的Top統計功能。
<Sysname> system-view
[Sysname] attack-defense top-attack-statistics enable
【相關命令】
· display attack-defense top-attack-statistics
blacklist global enable命令用來開啟全局黑名單過濾功能。
undo blacklist global enable命令用來關閉全局黑名單過濾功能。
【命令】
blacklist global enable
undo blacklist global enable
【缺省情況】
全局黑名單過濾功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
使能全局黑名單過濾功能表示開啟所有接口上的黑名單過濾功能。
【舉例】
# 開啟全局黑名單過濾功能。
<Sysname> system-view
[Sysname] blacklist global enable
【相關命令】
· blacklist enable
· blacklist ip
display attack-defense flood statistics ip命令用來顯示IPv4 flood攻擊防範統計信息。
【命令】
display attack-defense { ack-flood | dns-flood | dns-reply-flood | fin-flood | flood | http-flood | https-flood | icmp-flood | rst-flood | sip-flood | syn-ack-flood | syn-flood | udp-flood } statistics ip [ ip-address ] [ interface interface-type interface-number | local ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ack-flood:顯示ACK flood攻擊防範統計信息。
dns-flood:顯示DNS flood攻擊防範統計信息。
dns-reply-flood:顯示DNS reply flood攻擊防範統計信息。
fin-flood:顯示FIN flood攻擊防範統計信息。
flood:顯示所有類型的IPv4 flood攻擊防範統計信息。
http-flood:顯示HTTP flood攻擊防範統計信息。
https-flood:顯示HTTPS flood攻擊防範統計信息。
icmp-flood:顯示ICMP flood攻擊防範統計信息。
rst-flood:顯示RST flood攻擊防範統計信息。
sip-flood:顯示SIP flood攻擊防範統計信息。
syn-ack-flood:顯示SYN-ACK flood攻擊防範統計信息。
syn-flood:顯示SYN flood攻擊防範統計信息。
udp-flood:顯示UDP flood攻擊防範統計信息。
ip-address:顯示指定目的IPv4地址的flood攻擊防範統計信息。若未指定本參數,則顯示所有目的IPv4地址的flood攻擊防範統計信息。
interface interface-type interface-number:顯示指定接口的flood攻擊防範統計信息,interface-type interface-number表示接口類型和接口編號。
local:顯示本機上進行檢測的flood攻擊防範統計信息。
count:顯示受到flood攻擊的IPv4地址數目。
【使用指導】
由於flood攻擊不關心源IP地址,因此本命令顯示的是對指定目的IPv4地址的攻擊防範統計信息。
若未指定interface和local參數,則顯示所有接口以及本機上的flood攻擊防範統計信息。
【舉例】
# 顯示所有類型的IPv4 flood攻擊防範統計信息。
<Sysname> display attack-defense flood statistics ip
Dest IP VPN Detected on Detect type State PPS Dropped
201.55.7.45 -- GE1/0/1 SYN-ACK-FLOOD Normal 1000 111111111
192.168.11.5 -- GE1/0/2 ACK-FLOOD Normal 1000 222222222
Src IP VPN Detected on Detect type State PPS Dropped
201.55.7.44 -- Local DNS-FLOOD Normal 1000 111111111
192.168.11.4 -- Local ACK-FLOOD Normal 1000 22222222
192.168.8.41 -- Local SIP-FLOOD Normal 1000 125623489
# 顯示所有類型的flood攻擊檢測的IPv4地址數目。
<Sysname> display attack-defense flood statistics ip count
Totally 2 flood destination entries.
Totally 3 flood source entries.
表1-1 display attack-defense flood statistics ip命令顯示信息描述表
|
字段 |
描述 |
|
Dest IP |
被檢測的目的IPv4地址 |
|
Src IP |
被檢測的源IPv4地址 |
|
VPN |
(暫不支持)目的IPv4地址所屬的MPLS L3VPN實例名稱,屬於公網時顯示為“--” |
|
Detected on |
進行攻擊檢測的位置,包括接口和本機(Local) |
|
Detect type |
檢測的flood攻擊類型,包括: · ACK flood · DNS flood · DNS reply flood · FIN flood · ICMP flood · ICMPv6 flood · SYN flood · SYN-ACK flood · UDP flood · RST flood · HTTP flood · SIP flood · HTTPS flood |
|
State |
接口或本機是否處於攻擊狀態,可包括以下取值: · Attacked:受攻擊狀態 · Normal:正常狀態(當前並未受到攻擊) |
|
PPS |
指定的目的IPv4地址收到flood攻擊報文的速率(單位為報文每秒) |
|
Dropped |
接口或本機丟棄的flood攻擊報文數目 |
|
Totally 2 flood destination entries |
被檢測的IPv4目的地址表項數目 |
|
Totally 2 flood source entries |
被檢測的IPv4源地址表項數目 |
display attack-defense flood statistics ipv6命令用來顯示IPv6 flood攻擊防範統計信息。
【命令】
display attack-defense { ack-flood | dns-flood | dns-reply-flood | fin-flood | flood | http-flood | https-flood | icmpv6-flood | rst-flood | sip-flood | syn-ack-flood | syn-flood | udp-flood } statistics ipv6 [ ipv6-address ] [ interface interface-type interface-number | local ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ack-flood:顯示指定ACK flood類型統計信息。
dns-flood:顯示指定DNS flood類型統計信息。
dns-reply-flood:顯示DNS reply flood攻擊防範統計信息。
fin-flood:顯示指定FIN flood類型統計信息。
flood:顯示所有類型的IPv6 flood攻擊防範統計信息。
http-flood:顯示HTTP flood攻擊防範統計信息。
https-flood:顯示HTTP flood攻擊防範統計信息。
icmpv6-flood:顯示指定ICMPv6 flood類型統計信息。
rst-flood:顯示指定RST flood類型統計信息。
sip-flood:顯示指定SIP flood類型統計信息。
syn-flood:顯示指定SYN flood類型統計信息。
syn-ack-flood:顯示SYN-ACK flood攻擊防範統計信息。
udp-flood:顯示指定UDP flood類型統計信息。
ipv6-address:顯示指定目的IPv6地址的flood攻擊防範統計信息。若未指定本參數,則顯示所有目的IPv6地址的flood攻擊防範統計信息。
interface interface-type interface-number:顯示指定接口的flood攻擊防範統計信息,interface-type interface-number表示接口類型和接口編號。
local:顯示本機上進行檢測的flood攻擊防範統計信息。
count:顯示受到flood攻擊的IPv6地址數目。
【使用指導】
由於flood攻擊不關心源IP地址,因此本命令顯示的是對指定目的IPv6地址的攻擊防範統計信息。
若未指定interface和local參數,則顯示所有接口以及本機上的flood攻擊防範統計信息。
【舉例】
# 顯示所有類型的IPv6 flood攻擊防範統計信息。
<Sysname> display attack-defense flood statistics ipv6
Dest IPv6 VPN Detected on Detect type State PPS Dropped
1::2 -- GE1/0/1 DNS-FLOOD Normal 1000 111111111
1::3 -- GE1/0/2 SYN-ACK-FLOOD Normal 1000 222222222
Src IPv6 VPN Detected on Detect type State PPS Dropped
1::4 -- Local ACK-FLOOD Normal 1000 111111111
1::5 -- Local SYN-FLOOD Normal 1000 22222222
17::14 -- Local SIP-FLOOD Normal 1000 264549789
# 顯示所有類型的flood攻擊檢測的IPv6地址數目。
<Sysname> display attack-defense flood statistics ipv6 count
Totally 2 flood destination entries.
Totally 3 flood source entries.
表1-2 display attack-defense flood statistics ipv6命令顯示信息描述表
|
字段 |
描述 |
|
Dest IPv6 |
被檢測的目的IPv6地址 |
|
Src IPv6 |
被檢測的源IPv6地址 |
|
VPN |
(暫不支持)目的IPv6地址所屬的MPLS L3VPN實例名稱,屬於公網時顯示為“--” |
|
Detected on |
進行攻擊檢測的位置,包括接口和本機(Local) |
|
Detect type |
檢測的flood攻擊類型,包括: · ACK flood · DNS flood · DNS reply flood · FIN flood · ICMPv6 flood · SYN flood · SYN-ACK flood · UDP flood · RST flood · HTTP flood · SIP flood · HTTPS flood |
|
State |
接口或本機是否處於攻擊狀態,可包括以下取值: · Attacked:受攻擊狀態 · Normal:正常狀態(當前並未受到攻擊) |
|
PPS |
指定的目的IPv6地址收到報文的速率(單位為報文每秒) |
|
Dropped |
接口或本機丟棄的flood攻擊報文數目 |
|
Totally 4 flood destination entries |
被檢測的IPv6目的地址表項數目 |
|
Totally 2 flood source entries |
被檢測的IPv6源地址表項數目 |
display attack-defense http-slow-attack statistics ip命令用來顯示IPv4慢速攻擊防範統計信息。
【命令】
display attack-defense http-slow-attack statistics ip [ ip-address ] [ interface { interface-type interface-number | interface-name } | local ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ip-address:顯示指定目的IPv4地址的慢速攻擊防範統計信息。若未指定本參數,則顯示指定接口或本機上的所有慢速攻擊防範統計信息。
interface { interface-type interface-number | interface-name }:顯示指定接口的慢速攻擊防範統計信息,interface-type表示接口類型,interface-number接口編號,interface-name表示接口名稱。
local:顯示本機上進行檢測的慢速攻擊防範統計信息。
count:顯示受到慢速攻擊的IPv4地址的數目。
【使用指導】
若未指定interface和local參數,則顯示所有接口以及本機上的慢速攻擊防範統計信息。
【舉例】
# 顯示IPv4 慢速攻擊防範統計信息。
<Sysname> display attack-defense http-slow-attack statistics ip
IP address VPN Detected on State
192.168.11.4 asd Local Normal
201.55.7.44 -- GE1/0/2 Normal
# 顯示受到慢速攻擊的IPv4地址的數目。
<Sysname> display attack-defense http-slow-attack statistics ip count
Totally 2 HTTP slow attack entries.
表1-3 display attack-defense http-slow-attack statistics ip命令顯示信息描述表
|
字段 |
描述 |
|
IP address |
被檢測的目的IPv4地址 |
|
Detected on |
進行攻擊檢測的位置,包括接口和本機(Local) |
|
State |
接口或本機是否處於攻擊狀態,可包括以下取值: · Attacked:受攻擊狀態 · Normal:正常狀態(當前並未受到攻擊) |
|
Totally 2 http slow attack entries |
被檢測的IPv4源地址表項數目 |
display attack-defense http-slow-attack statistics ipv6命令用來顯示IPv6慢速攻擊防範統計信息。
【命令】
display attack-defense http-slow-attack statistics ipv6 [ ipv6-address ] [ interface { interface-type interface-number | interface-name } | local ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ipv6-address:顯示指定目的IPv6地址的慢速攻擊防範統計信息。若未指定本參數,則顯示指定接口或本機上的所有慢速攻擊防範統計信息。
interface { interface-type interface-number | interface-name }:顯示指定接口的慢速攻擊防範統計信息,interface-type表示接口類型,interface-number接口編號,interface-name表示接口名稱。
local:顯示本機上進行檢測的慢速攻擊防範統計信息。
count:顯示受到慢速攻擊的IPv6地址的數目。
【使用指導】
若未指定interface和local參數,則顯示所有接口以及本機上的慢速攻擊防範統計信息。
【舉例】
# 顯示慢速攻擊防範統計信息。
<Sysname> display attack-defense http-slow-attack statistics ipv6
IPv6 address VPN Detected on State
1::5 asd Local Normal
17::14 -- GE1/0/2 Normal
# 顯示受到慢速攻擊的IPv6地址的數目。
<Sysname> display attack-defense http-slow-attack statistics ipv6 count
Totally 5 HTTP slow attack entries.
表1-4 display attack-defense http-slow-attack statistics ipv6命令顯示信息描述表
|
字段 |
描述 |
|
IPv6 address |
被檢測的目的IPv6地址 |
|
Detected on |
進行攻擊檢測的位置,包括接口和本機(Local) |
|
State |
接口或本機是否處於攻擊狀態,可包括以下取值: · Attacked:受攻擊狀態 · Normal:正常狀態(當前並未受到攻擊) |
|
Totally 2 HTTP slow attack entries |
被檢測的IPv6源地址表項數目 |
display attack-defense policy用來顯示攻擊防範策略的配置信息。
【命令】
display attack-defense policy [ policy-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
policy-name:攻擊防範策略名稱,為1~31個字符的字符串,包括英文大/小寫字母、數字、下劃線和連字符,不區分大小寫。若未指定本參數,則表示顯示所有攻擊防範策略的摘要信息。
【使用指導】
本命令顯示的內容主要包括各類型攻擊防範的使能情況、對攻擊報文的處理方式和相關的閾值參數。
【舉例】
# 顯示指定攻擊防範策略abc的配置信息。
<Sysname> display attack-defense policy abc
Attack-defense Policy Information
--------------------------------------------------------------------------
Policy name : abc
Applied list : Local
GE1/0/1
Vlan1
--------------------------------------------------------------------------
Exempt IPv4 ACL: : Not configured
Exempt IPv6 ACL: : vip
--------------------------------------------------------------------------
Actions: CV-Client verify BS-Block source L-Logging D-Drop N-None
Signature attack defense configuration:
Signature name Defense Level Actions
Fragment Enabled Info L
Impossible Enabled Info L
Teardrop Disabled Info L
Tiny fragment Disabled Info L
IP option abnormal Disabled Info L
Smurf Disabled Info N
Traceroute Disabled Medium L,D
Ping of death Disabled Low L
Large ICMP Disabled Medium L,D
Max length 4000 bytes
Large ICMPv6 Disabled Low L
Max length 4000 bytes
TCP invalid flags Disabled medium L,D
TCP null flag Disabled Low L
TCP all flags Enabled Info L
TCP SYN-FIN flags Disabled Info L
TCP FIN only flag Enabled Info L
TCP Land Disabled Info L
Winnuke Disabled Info L
UDP Bomb Disabled Info L
UDP Snork Disabled Info L
UDP Fraggle Enabled Info L
IP option record route Disabled Info L
IP option internet timestamp Enabled Info L
IP option security Disabled Info L
IP option loose source routing Enabled Info L
IP option stream ID Disabled Info L
IP option strict source routing Disabled Info L
IP option route alert Disabled Info L
ICMP echo request Disabled Info L
ICMP echo reply Disabled Info L
ICMP source quench Disabled Info L
ICMP destination unreachable Enabled Info L
ICMP redirect Enabled Info L
ICMP time exceeded Enabled Info L
ICMP parameter problem Disabled Info L
ICMP timestamp request Disabled Info L
ICMP timestamp reply Disabled Info L
ICMP information request Disabled Info L
ICMP information reply Disabled Medium L,D
ICMP address mask request Disabled Medium L,D
ICMP address mask reply Disabled Medium L,D
ICMPv6 echo request Enabled Medium L,D
ICMPv6 echo reply Disabled Medium L,D
ICMPv6 group membership query Disabled Medium L,D
ICMPv6 group membership report Disabled Medium L,D
ICMPv6 group membership reduction Disabled Medium L,D
ICMPv6 destination unreachable Enabled Medium L,D
ICMPv6 time exceeded Enabled Medium L,D
ICMPv6 parameter problem Disabled Medium L,D
ICMPv6 packet too big Disabled Medium L,D
IPv6 extension header abnormal Disabled Info L
IPv6 extension header exceeded Disabled Info L
Limit 7
Scan attack defense configuration:
Preset defense:
Defense: Disabled
User-defined defense:
Port scan defense: Enabled
Port scan defense threshold: 5000 packets
IP sweep defense: Enabled
IP sweep defense threshold: 8000 packets
Period: 100s
Actions: L
Flood type Global dest/src thres(pps) Global actions Service ports Non-specific
DNS flood 1000/1000 - 53 Disabled
DNS reply flood 1000/1000 - - Disabled
HTTP flood 1000/1000 80 - Disabled
SIP flood 1000/1000 50 - Enabled
HTTPS flood 1000/1000 - 443 Disabled
SYN flood 1000/1000 - - Disabled
ACK flood 1000/1000 - - Disabled
SYN-ACK flood 1000/1000 - - Disabled
RST flood 1000/1000 - - Disabled
FIN flood 1000/1000 - - Disabled
UDP flood 1000/1000 - - Disabled
ICMP flood 1000/1000 - - Disabled
ICMPv6 flood 1000/1000 - - Enabled
Flood attack defense for protected IP addresses:
Address VPN instance Flood type Thres(pps) Actions Ports
1::1 -- FIN-FLOOD 10 L,D -
192.168.1.1 -- SYN-ACK-FLOOD 10 - -
1::1 -- FIN-FLOOD - L -
HTTP slow attack defense configuration:
Non-specific: Enabled
Global threshold:
Alert-number: 1200000
Content-length: 100000000
Payload-length: 1000
Packet-number: 1000
Global period: 1200 seconds
Global action: L, BS (1000)
Ports: 80, 8000 to 8001
Threshold: AN-Alert number, CL-Content length, PL-Payload length, PN-Packet number
HTTP slow attack defense configuration for protected IP addresses:
Address VPN instance Threshold (AN/CL/PL/PN) Period Actions Ports
1111:2222:3333:4 abcdefghigkl 1200000,100000000,1000,1000 1000 L,BS(10) 80
444::8888 mnopqrstuvwx
yz
表1-5 display attack-defense policy命令顯示信息描述表
|
字段 |
描述 |
||
|
Policy name |
攻擊防範策略名稱 |
||
|
Applied list |
攻擊防範策略應用的對象列表,包括接口名稱和本機(Local) |
||
|
Exempt IPv4 ACL |
IPv4例外列表 |
||
|
Exempt IPv6 ACL |
IPv6例外列表 |
||
|
Actions |
攻擊防範的處理行為,包括以下取值: · (暫不支持)CV:啟用客戶端驗證 · (暫不支持)BS:添加黑名單(老化時間,單位為分鍾) · L:輸出告警日誌 · D:丟棄報文 · N:不采用任何處理行為 |
||
|
Signature attack defense configuration |
單包攻擊防範配置信息 |
||
|
Signature name |
單包的類型 |
||
|
Defense |
攻擊防範的開啟狀態,包括以下取值: · Enabled:開啟 · Disabled:關閉 |
||
|
Level |
單包攻擊的級別,包括以下取值: · Info: 提示級別 · low:低級別 · medium:中級別 · high:高級別(目前暫無實例) |
||
|
Actions |
單包攻擊防範的處理行為,包括以下取值: · L:輸出告警日誌 · D:丟棄報文 · N:不采用任何處理行為 |
||
|
IP option record route |
IP選項record route攻擊 |
||
|
IP option security |
IP選項security攻擊 |
||
|
IP option stream ID |
IP選項stream identifier攻擊 |
||
|
IP option internet timestamp |
IP選項 internet timestamp攻擊 |
||
|
IP option loose source routing |
IP選項loose source routing攻擊 |
||
|
IP option strict source routing |
IP選項strict source routing攻擊 |
||
|
IP option abnormal |
IP選項異常攻擊 |
||
|
IP option route alert |
IP選項route alert攻擊 |
||
|
Fragment |
IP分片異常攻擊 |
||
|
IP impossible |
IP impossible攻擊 |
||
|
Tiny fragment |
IP tiny fragment攻擊 |
||
|
Teardrop |
IP teardrop攻擊,又稱IP overlapping fragments |
||
|
Large ICMP |
Large ICMP攻擊 |
||
|
Max length |
ICMP報文所允許的最大長度 |
||
|
Smurf |
Smurf攻擊 |
||
|
Traceroute |
Traceroute攻擊 |
||
|
Ping of death |
Ping of death攻擊 |
||
|
ICMP echo request |
ICMP echo request攻擊 |
||
|
ICMP echo reply |
ICMP echo reply攻擊 |
||
|
ICMP source quench |
ICMP source quench攻擊 |
||
|
ICMP redirect |
ICMP redirect攻擊 |
||
|
ICMP parameter problem |
ICMP parameter problem攻擊 |
||
|
ICMP timestamp request |
ICMP timestamp request攻擊 |
||
|
ICMP timestamp reply |
ICMP timestamp reply攻擊 |
||
|
ICMP information request |
ICMP information request攻擊 |
||
|
ICMP information reply |
ICMP information reply攻擊 |
||
|
ICMP address mask request |
ICMP address mask request攻擊 |
||
|
ICMP address mask reply |
ICMP address mask reply攻擊 |
||
|
ICMP destination unreachable |
ICMP destination unreachable攻擊 |
||
|
ICMP time exceeded |
ICMP time exceeded攻擊 |
||
|
Large ICMPv6 |
Large ICMPv6攻擊 |
||
|
ICMPv6 echo request |
ICMPv6 echo request攻擊 |
||
|
ICMPv6 echo reply |
ICMPv6 echo reply攻擊 |
||
|
ICMPv6 group membership query |
ICMPv6 group membership query攻擊 |
||
|
ICMPv6 group membership report |
ICMPv6 group membership report攻擊 |
||
|
ICMPv6 group membership reduction |
ICMPv6 group membership reduction攻擊 |
||
|
ICMPv6 destination unreachable |
ICMPv6 destination unreachable攻擊 |
||
|
ICMPv6 time exceeded |
ICMPv6 time exceeded攻擊 |
||
|
ICMPv6 parameter problem |
ICMPv6 parameter problem攻擊 |
||
|
ICMPv6 packet too big |
ICMPv6 packet too big攻擊 |
||
|
IPv6 extension header abnormal |
IPv6擴展頭異常攻擊 |
||
|
Limit |
IPv6擴展頭數目上限 |
||
|
Winnuke |
Winnuke攻擊 |
||
|
TCP Land |
Land攻擊 |
||
|
TCP NULL flag |
TCP NULL flag攻擊 |
||
|
TCP invalid flags |
TCP invalid flags攻擊 |
||
|
TCP all flags |
TCP所有標誌位均被置位攻擊,又稱聖誕樹攻擊 |
||
|
TCP SYN-FIN flags |
TCP SYN和FIN被同時置位攻擊 |
||
|
TCP FIN only flag |
TCP 隻有FIN被置位的攻擊 |
||
|
Fraggle |
Fraggle攻擊,又稱UDP chargen DoS attack |
||
|
UDP Bomb |
UDP Bomb攻擊 |
||
|
Snork |
Snork攻擊 |
||
|
Scan attack defense configuration |
掃描攻擊防範配置信息 |
||
|
Preset defense |
預定義掃描攻擊防範配置信息 |
|
|
|
Defense |
掃描攻擊防範的開啟狀態 |
||
|
Level |
掃描攻擊的級別,包括以下取值: · low:低級別 · medium:中級別 · high:高級別 |
||
|
User-defined defense |
用戶自定義掃描攻擊防範配置信息 |
|
|
|
Port scan defense |
端口掃描攻擊防範狀態: · Enabled:開啟 · Disabled:關閉 |
|
|
|
Port scan defense threshold |
端口掃描防範檢測閾值 |
|
|
|
IP sweep defense |
IP地址掃描攻擊防範狀態: · Enabled:開啟 · Disabled:關閉 |
|
|
|
IP sweep defense threshold |
IP地址掃描防範檢測閾值 |
|
|
|
Period |
掃描攻擊防範檢測周期 |
|
|
|
Actions |
掃描攻擊防範的處理行為,包括以下取值: · (暫不支持)BS:添加黑名單(老化時間,單位為分鍾) · D:丟棄報文 · L:輸出告警日誌 |
||
|
Flood attack defense configuration |
flood攻擊防範配置信息 |
||
|
Flood type |
flood攻擊類型,包括以下取值: · ACK flood · DNS flood · DNS reply flood · FIN flood · ICMP flood · ICMPv6 flood · SYN flood · SYN-ACK flood · UDP flood · RST flood · HTTP flood · SIP flood · HTTPS flood |
||
|
Global dest/src thres(pps) |
flood攻擊防範基於目的地址檢測和源地址檢測的全局觸發閾值,單位為每秒報文數,默認值為1000pps |
||
|
Global actions |
flood攻擊防範的全局處理行為,包括以下取值: · D:丟棄報文 · L:輸出告警日誌, · (暫不支持)CV:啟用客戶端驗證 · -:未配置 |
||
|
Service ports |
flood攻擊防範的全局檢測端口號。該字段隻對DNS flood攻擊防範和HTTP flood攻擊防範生效,對於其它flood攻擊防範,顯示為“-” |
||
|
Non-specific |
對非受保護IP地址開啟SYN flood攻擊防範檢測的狀態 |
||
|
Flood attack defense for protected IP addresses |
對受保護IP地址的flood攻擊防範配置 |
||
|
Address |
指定的IP地址 |
||
|
VPN instance |
(暫不支持)所屬的VPN實例名稱,未配置時顯示為空 |
||
|
Thres(pps) |
攻擊防範檢測的觸發閾值,單位為報文每秒,未配置時顯示為“1000” |
||
|
Actions |
對指定IP地址采用的攻擊防範處理行為,包括 取值: · (暫不支持)CV:啟用客戶端驗證 · (暫不支持)BS:添加黑名單 · L:輸出告警日誌 · D:丟棄報文 · N:不采用任何處理行為 |
||
|
Ports |
flood攻擊防範的檢測端口號。該字段隻對DNS flood攻擊防範和HTTP flood攻擊防範生效,對於其他攻擊防範,顯示為“-” |
||
|
HTTP slow attack defense configuration |
慢速攻擊防範非保護IP配置信息 |
||
|
Non-specific |
對非受保護IP地址開啟慢速攻擊防範檢測的狀態: · Enabled:開啟 · Disabled:關閉 |
||
|
Global threshold |
對非受保護IP地址配置的閾值。包括: Alert-number:觸發慢速攻擊檢查的HTTP並發連接數,未配置時顯示為“5000”。 Content-length:Content-Length字段閾值,未配置時顯示為“10000”。 Payload-length:報文實際載荷閾值,未配置時顯示為“50”。 Packet-number:異常報文的防範閾值,未配置時顯示為“10”。 |
||
|
Global period |
慢速攻擊防範非受保護IP地址的檢測周期 |
||
|
Global action |
慢速攻擊防範非受保護IP地址的處理動作,包括以下取值: · (暫不支持)BS:添加黑名單(老化時間,單位為分鍾) · L:輸出告警日誌 |
||
|
Ports |
慢速攻擊防範非受保護IP地址的檢測端口。未配置時顯示為“80” |
||
|
HTTP slow attack defense configuration for protected IP addresses |
對受保護IP地址的慢速攻擊防範配置 |
||
|
Address |
慢速攻擊防範指定的IP地址 |
||
|
VPN instance |
(暫不支持)慢速攻擊防範指定的VPN實例名稱,未配置時顯示為空 |
||
|
Threshold (AN/CL/PL/PN) |
對受保護IP地址配置的閾值,其中AN-Alert number,CL-Content length,PL-Payload length,PN-Packet number。 四項閾值均未配置時,顯示為非受保護IP的對應閾值。如部分配置四項閾值,則其餘未配置的閾值顯示為非受保護IP對應該閾值的缺省值。 |
||
|
Period |
慢速攻擊防範受保護IP地址的檢測周期。未配置時,顯示為非受保護IP的檢測周期。 |
||
|
Actions |
慢速攻擊防範受保護IP地址采用的處理動作,包括以下取值: · BS:添加黑名單(老化時間,單位為分鍾) · L:輸出告警日誌 未配置時,顯示為非受保護IP的處理動作。 |
||
|
Ports |
慢速攻擊防範受保護IP的檢測端口。未配置時顯示為非受保護IP的檢測端口。 |
||
# 顯示所有攻擊防範策略的概要配置信息。
<Sysname> display attack-defense policy
Attack-defense Policy Brief Information
------------------------------------------------------------
Policy Name Applied list
Atk-policy-1 GigabitEthernet1/0/1
GigabitEthernet1/0/2
P123 GigabitEthernet1/0/2
p1 Local
p12 Local
表1-6 display attack-defense policy命令顯示信息描述表
|
字段 |
描述 |
|
Policy Name |
攻擊防範策略名稱 |
|
Applied list |
攻擊防範策略應用的對象列表,包括接口名稱和本機(Local) |
【相關命令】
· attack-defense policy
display attack-defense policy ip命令用來顯示flood攻擊防範的IPv4類型的受保護IP表項。
【命令】
display attack-defense policy policy-name { ack-flood | dns-flood | dns-reply-flood | fin-flood | flood | http-flood | https-flood | icmp-flood | rst-flood | sip-flood | syn-ack-flood | syn-flood | udp-flood } ip [ ip-address ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
policy-name:攻擊防範策略名稱,為1~31個字符的字符串,不區分大小寫。合法取值包括大寫字母、小寫字母、數字、特殊字符“_”和“-”。
ack-flood:顯示ACK flood攻擊防範受保護IP表項。
dns-flood:顯示DNS flood攻擊防範受保護IP表項。
dns-reply-flood:顯示DNS reply flood攻擊防範受保護IP表項。
fin-flood:顯示FIN flood攻擊防範受保護IP表項。
flood:顯示所有類型的flood攻擊防範受保護IP表項。
http-flood:顯示HTTP flood攻擊防範受保護IP表項。
https-flood:顯示HTTPS flood攻擊防範受保護IP表項。
icmp-flood:顯示ICMP flood攻擊防範受保護IP表項。
rst-flood:顯示RST flood攻擊防範受保護IP表項。
sip-flood:顯示SIP flood攻擊防範受保護IP表項。
syn-ack-flood:顯示SYN-ACK flood攻擊防範受保護IP表項。
syn-flood:顯示SYN flood攻擊防範受保護IP表項。
udp-flood:顯示UDP flood攻擊防範受保護IP表項。
ip ip-address:顯示指定IPv4地址的受保護IP表項。若未指定ip-address參數,則表示顯示所有IPv4類型的受保護IP表項。
count:顯示符合指定條件的flood受保護IP表項的數目。
【舉例】
# 顯示指定攻擊防範策略abc中所有flood攻擊防範的IPv4類型受保護IP表項的信息。
<Sysname> display attack-defense policy abc flood ip
IP address VPN instance Type Rate threshold(PPS) Dropped
123.123.123.123 -- SYN-ACK-FLOOD 100 4294967295
201.55.7.45 -- ICMP-FLOOD 100 10
192.168.11.5 -- DNS-FLOOD 23 100
10.168.200.5 -- SIP-FLOOD 100 102556
# 顯示指定攻擊防範策略abc中所有flood攻擊防範的IPv4類型受保護IP表項的個數。
<Sysname> display attack-defense policy abc flood ip count
Totally 3 flood protected IP addresses.
表1-7 display attack-defense flood ip命令顯示信息描述表
|
字段 |
描述 |
|
Totally 3 flood protected IP addresses |
IPv4類型受保護IP表項數目 |
|
IP address |
受保護的IPv4地址 |
|
VPN instance |
(暫不支持)受保護的IPv4地址所屬的MPLS L3VPN實例名稱,未指定時顯示為空 |
|
Type |
flood攻擊類型 |
|
Rate threshold(PPS) |
配置的flood攻擊防範觸發閾值(單位為報文每秒),未配置時顯示“1000” |
|
Dropped |
檢測到flood攻擊後的丟包數,若隻輸出日誌該項顯示為0 |
display attack-defense policy ipv6命令用來顯示flood攻擊防範的IPv6類型的受保護IP表項。
【命令】
display attack-defense policy policy-name { ack-flood | dns-flood | dns-reply-flood | fin-flood | flood | http-flood | https-flood | icmpv6-flood | rst-flood | sip-flood | syn-ack-flood | syn-flood | udp-flood } ipv6 [ ipv6-address ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
policy-name:攻擊防範策略名稱,為1~31個字符的字符串,不區分大小寫。合法取值包括大寫字母、小寫字母、數字、特殊字符“_”和“-”。
ack-flood:顯示ACK flood攻擊防範受保護IP表項。
dns-flood:顯示DNS flood攻擊防範受保護IP表項。
dns-reply-flood:顯示DNS reply flood攻擊防範受保護IP表項。
fin-flood:顯示FIN flood攻擊防範受保護IP表項。
flood:顯示所有類型的flood攻擊防範受保護IP表項。
http-flood:顯示HTTP flood攻擊防範受保護IP表項。
https-flood:顯示HTTPS flood攻擊防範受保護IP表項。
icmpv6-flood:顯示ICMPv6 flood攻擊防範受保護IP表項。
rst-flood:顯示RST flood攻擊防範受保護IP表項。
sip-flood:顯示SIP flood攻擊防範受保護IP表項。
syn-ack-flood:顯示SYN-ACK flood攻擊防範受保護IP表項。
syn-flood:顯示SYN flood攻擊防範受保護IP表項。
udp-flood:顯示UDP flood攻擊防範受保護IP表項。
ipv6 ipv6-address:顯示指定IPv6地址的受保護IP表項。若未指定ipv6-address參數,則表示所有IPv6類型的受保護IP表項。
count:顯示符合指定條件的flood受保護IP表項的數目。
【舉例】
# 顯示指定攻擊防範策略abc中所有flood攻擊防範的IPv6類型受保護IP表項。
<Sysname> display attack-defense policy abc flood ipv6
IPv6 address VPN instance Type Rate threshold(PPS) Dropped
2013::127f -- SYN-ACK-FLOOD 100 4294967295
2::5 -- ACK-FLOOD 100 10
1::5 -- ACK-FLOOD 100 23
10::15 -- SIP-FLOOD 100 1002
# 顯示指定攻擊防範策略abc中所有flood攻擊防範的IPv6類型受保護IP表項的個數。
<Sysname> display attack-defense policy abc flood ipv6 count
Totally 3 flood protected IP addresses.
表1-8 display flood ipv6命令顯示信息描述表
|
字段 |
描述 |
|
Totally 3 flood protected IP addresses |
IPv6類型受保護IP表項數目 |
|
IPv6 address |
受保護的IPv6地址 |
|
VPN instance |
(暫不支持)受保護的IPv6地址所屬的MPLS L3VPN實例名稱,未指定時顯示為空 |
|
Type |
flood攻擊類型 |
|
Rate threshold(PPS) |
配置的flood攻擊防範觸發閾值(單位為報文每秒),未配置時顯示“1000” |
|
Dropped |
檢測到flood攻擊後的丟包數,若隻輸出日誌該項顯示為0 |
display attack-defense scan attacker ip命令用來顯示掃描攻擊者的IPv4地址表項。
【命令】
display attack-defense scan attacker ip [ interface interface-type interface-number | local ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定接口上檢測到的掃描攻擊者的IPv4地址表項,interface-type interface-number表示接口類型和接口編號。
local:顯示本機檢測到的掃描攻擊者IPv4地址表項。
count:顯示受到掃描攻擊的IPv4地址數目。
【使用指導】
若未指定任何參數,則表示顯示所有掃描攻擊者的IPv4地址表項。
【舉例】
# 顯示所有掃描攻擊者的IPv4地址表項。
<Sysname> display attack-defense scan attacker ip
IP addr(DslitePeer) VPN instance Protocol Detected on Duration(min)
192.168.31.2(--) -- TCP GE1/0/2 1284
2.2.2.3(--) -- UDP GE1/0/2 23
192.68.11.2(--) -- TCP Local 782
2.2.2.1(--) -- UDP Local 23
# 顯示所有掃描攻擊者的IPv4地址表項的個數。
<Sysname> display attack-defense scan attacker ip count
Totally 3 attackers.
表1-9 display attack-defense scan attacker ip命令顯示信息描述表
|
字段 |
描述 |
|
Totally 3 attackers |
掃描攻擊者的數目 |
|
IP addr(DslitePeer) |
發起攻擊的IPv4地址,DS-Lite組網DslitePeer顯示為DS-Lite隧道源IPv6地址,否則顯示“--” |
|
VPN instance |
(暫不支持)所屬的MPLS L3VPN實例名稱,屬於公網時顯示為空 |
|
Protocol |
協議名稱 |
|
Detected on |
進行攻擊檢測的位置,包括接口或本機(Local) |
|
Duration(min) |
檢測到攻擊持續的時間,單位為分鍾 |
【相關命令】
· scan detect
display attack-defense scan attacker ipv6命令用來顯示掃描攻擊者的IPv6地址表項。
【命令】
display attack-defense scan attacker ipv6 [ interface interface-type interface-number | local ] [ count ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定接口的掃描攻擊者的IPv6地址表項,interface-type interface-number表示接口類型和接口編號。
local:顯示本機檢測到的掃描攻擊者IPv6地址表項。
count:顯示受到掃描攻擊的IPv6地址數目。
【使用指導】
若未指定任何參數,則表示顯示所有掃描攻擊者的IPv6地址表項。
【舉例】
# 顯示掃描攻擊者的IPv6地址表項。
<Sysname> display attack-defense scan attacker ipv6
IPv6 address VPN instance Protocol Detected on Duration(min)
2013::2 -- TCP GE1/0/1 1234
1230::22 -- UDP GE1/0/2 10
1002::20 -- TCP Local 782
1230::1 -- UDP Local 10
# 顯示掃描攻擊者的IPv6地址表項的個數。
<Sysname> display attack-defense scan attacker ipv6 count
Totally 3 attackers.
表1-10 display attack-defense scan attacker ipv6命令顯示信息描述表
|
字段 |
描述 |
|
Totally 3 attackers |
攻擊者的數目 |
|
IPv6 address |
發起攻擊的IPv6地址 |
|
VPN instance |
(暫不支持)所屬的MPLS L3VPN實例名稱,屬於公網時顯示為空 |
|
Protocol |
協議名稱 |
|
Detected on |
進行攻擊檢測的位置,包括接口或本機(Local) |
|
Duration(min) |
檢測到攻擊持續的時間,單位為分鍾 |
【相關命令】
· scan detect
display attack-defense statistics interface命令用來顯示接口上的攻擊防範統計信息。
【命令】
display attack-defense statistics interface interface-type interface-number
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface-type interface-number:表示指定接口的接口類型和接口編號。
【舉例】
# 顯示接口GigabitEthernet1/0/1上的攻擊防範統計信息。
<Sysname> display attack-defense statistics interface gigabitethernet 1/0/1
Attack policy name: abc
Scan attack defense statistics:
AttackType AttackTimes Dropped
Port scan 2 23
IP sweep 3 33
Distribute port scan 1 10
Flood attack defense statistics:
AttackType AttackTimes Dropped
SYN flood 1 0
ACK flood 1 0
SYN-ACK flood 3 5000
RST flood 2 0
FIN flood 2 0
UDP flood 1 0
ICMP flood 1 0
ICMPv6 flood 1 0
DNS flood 1 0
DNS reply flood 1 0
HTTP flood 1 0
SIP flood 1 1000
HTTPS flood 1 0
HTTP slow attack defense statistics:
AttackType AttackTimes
HTTP slow attack 1
Signature attack defense statistics:
AttackType AttackTimes Dropped
IP option record route 1 100
IP option security 2 0
IP option stream ID 3 0
IP option internet timestamp 4 1
IP option loose source routing 5 0
IP option strict source routing 6 0
IP option route alert 3 0
Fragment 1 0
Impossible 1 1
Teardrop 1 1
Tiny fragment 1 0
IP options abnormal 3 0
Smurf 1 0
Ping of death 1 0
Traceroute 1 0
Large ICMP 1 0
TCP NULL flag 1 0
TCP all flags 1 0
TCP SYN-FIN flags 1 0
TCP FIN only flag 1 0
TCP invalid flag 1 0
TCP Land 1 0
Winnuke 1 0
UDP Bomb 1 0
Snork 1 0
Fraggle 1 0
Large ICMPv6 1 0
ICMP echo request 1 0
ICMP echo reply 1 0
ICMP source quench 1 0
ICMP destination unreachable 1 0
ICMP redirect 2 0
ICMP time exceeded 3 0
ICMP parameter problem 4 0
ICMP timestamp request 5 0
ICMP timestamp reply 6 0
ICMP information request 7 0
ICMP information reply 4 0
ICMP address mask request 2 0
ICMP address mask reply 1 0
ICMPv6 echo request 1 1
ICMPv6 echo reply 1 1
ICMPv6 group membership query 1 0
ICMPv6 group membership report 1 0
ICMPv6 group membership reduction 1 0
ICMPv6 destination unreachable 1 0
ICMPv6 time exceeded 1 0
ICMPv6 parameter problem 1 0
ICMPv6 packet too big 1 0
IPv6 extension header abnormal 1 0
IPv6 extension header exceeded 1 0
表1-11 display attack-defense statistics interface 命令顯示信息描述表
|
字段 |
描述 |
|
AttackType |
攻擊類型 |
|
AttackTimes |
受到攻擊的次數 |
|
Dropped |
丟棄報文的數目 |
|
SYN flood |
SYN flood攻擊,當AttackTimes為0時,該列不顯示 |
|
ACK flood |
ACK flood攻擊,當AttackTimes為0時,該列不顯示 |
|
SYN-ACK flood |
SYN-ACK flood攻擊,當AttackTimes為0時,該列不顯示 |
|
RST flood |
RST flood攻擊,當AttackTimes為0時,該列不顯示 |
|
FIN flood |
FIN flood攻擊,當AttackTimes為0時,該列不顯示 |
|
UDP flood |
UDP flood 攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP flood |
ICMP flood攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 flood |
ICMPv6 flood攻擊,當AttackTimes為0時,該列不顯示 |
|
DNS flood |
DNS flood攻擊,當AttackTimes為0時,該列不顯示 |
|
DNS reply flood |
DNS reply flood攻擊,當AttackTimes為0時,該列不顯示 |
|
HTTP flood |
HTTP flood攻擊,當AttackTimes為0時,該列不顯示 |
|
HTTP slow attack |
HTTP slow attack攻擊,當AttackTimes為0時,顯示為No HTTP slow attack detected |
|
HTTPS flood |
HTTPS flood攻擊,當AttackTimes為0時,該列不顯示 |
|
SIP flood |
SIP flood攻擊,當AttackTimes為0時,該列不顯示 |
|
Port scan |
端口掃描攻擊,當AttackTimes 為0時,該列不顯示 |
|
IP Sweep |
IP掃描攻擊,當AttackTimes 為0時,該列不顯示 |
|
Distribute port scan |
分布式端口掃描攻擊,當AttackTimes為0時,該列不顯示 |
|
IP option record route |
IP選項record route攻擊,當AttackTimes為0時,該列不顯示 |
|
IP option security |
IP選項security攻擊,當AttackTimes 為0時,該列不顯示 |
|
IP option stream ID |
IP選項stream identifier攻擊,當AttackTimes 為0時,該列不顯示 |
|
IP option internet timestamp |
IP選項 internet timestamp攻擊,當AttackTimes為0時,該列不顯示 |
|
IP option loose source routing |
IP選項loose source routing攻擊,當AttackTimes為0時,該列不顯示 |
|
IP option strict source routing |
IP選項strict source routing攻擊,當AttackTimes為0時,該列不顯示 |
|
IP option route alert |
IP選項strict source routing攻擊,當AttackTimes為0時,該列不顯示 |
|
Fragment |
IP分片異常攻擊,當AttackTimes為0時,該列不顯示 |
|
Impossible |
IP impossible攻擊,當AttackTimes為0時,該列不顯示 |
|
Teardrop |
IP teardrop攻擊,又稱IP overlapping fragments,當AttackTimes為0時,該列不顯示 |
|
Tiny fragment |
IP tiny fragment攻擊 |
|
IP option abnormal |
IP選項異常攻擊,當AttackTimes為0時,該列不顯示 |
|
Smurf |
Smurf攻擊,當AttackTimes為0時,該列不顯示 |
|
Ping of death |
Ping of death攻擊,當AttackTimes為0時,該列不顯示 |
|
Traceroute |
Traceroute攻擊,當AttackTimes為0時,該列不顯示 |
|
Large ICMP |
Large ICMP攻擊,當AttackTimes為0時,該列不顯示 |
|
TCP NULL flag |
TCP NULL flag攻擊,當AttackTimes為0時,該列不顯示 |
|
TCP all flags |
TCP所有標誌位均被置位攻擊,又稱聖誕樹攻擊,當AttackTimes為0時,該列不顯示 |
|
TCP SYN-FIN flags |
TCP SYN和FIN被同時置位攻擊,當AttackTimes為0時,該列不顯示 |
|
TCP FIN only flag |
TCP 隻有FIN被置位的攻擊,當AttackTimes為0時,該列不顯示 |
|
TCP invalid flag |
TCP 非法標誌位攻擊,當AttackTimes 為0時,該列不顯示 |
|
TCP Land |
TCP Land攻擊,當AttackTimes為0時,該列不顯示 |
|
Winnuke |
Winnuke攻擊,當AttackTimes為0時,該列不顯示 |
|
UDP Bomb |
UDP Bomb攻擊,當AttackTimes為0時,該列不顯示 |
|
Snork |
UDP snork攻擊,當AttackTimes為0時,該列不顯示 |
|
Fraggle |
Fraggle攻擊,又稱UDP chargen DoS attack,當AttackTimes為0時,該列不顯示 |
|
Large ICMPv6 |
Large ICMPv6攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP echo request |
ICMP echo request攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP echo reply |
ICMP echo reply攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP source quench |
ICMP source quench攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP destination unreachable |
ICMP destination unreachable攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP redirect |
ICMP redirect攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP time exceeded |
ICMP time exceeded攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP parameter problem |
ICMP parameter problem攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP timestamp request |
ICMP timestamp request攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP timestamp reply |
ICMP timestamp reply攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP information request |
ICMP information request攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP information reply |
ICMP information reply攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP address mask request |
ICMP address mask request攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP address mask reply |
ICMP address mask reply攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 echo request |
ICMPv6 echo request攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMPv6 echo reply |
ICMPv6 echo reply攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 group membership query |
ICMPv6 group membership query攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 group membership report |
ICMPv6 group membership report攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 group membership reduction |
ICMPv6 group membership reduction攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 destination unreachable |
ICMPv6 destination unreachable攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 time exceeded |
ICMPv6 time exceeded攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 parameter problem |
ICMPv6 parameter problem攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 packet too big |
ICMPv6 packet too big攻擊,當AttackTimes為0時,該列不顯示 |
|
IPv6 extension header abnormal |
IPv6擴展頭異常攻擊,當AttackTimes為0時,該列不顯示 |
|
IPv6 extension header exceeded |
IPv6擴展頭數目超限攻擊,當AttackTimes為0時,該列不顯示 |
【相關命令】
· reset attack-defense statistics interface
display attack-defense statistics local命令用來顯示本機攻擊防範的統計信息。
【命令】
display attack-defense statistics local
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示本機攻擊防範統計信息。
<Sysname> display attack-defense statistics local
Attack defense policy name: abc
Scan attack defense statistics:
AttackType AttackTimes Dropped
Port scan 2 23
IP sweep 3 33
Distribute port scan 1 10
Flood attack defense statistics:
AttackType AttackTimes Dropped
SYN flood 1 0
ACK flood 1 0
SYN-ACK flood 3 5000
RST flood 2 0
FIN flood 2 0
UDP flood 1 0
ICMP flood 1 0
ICMPv6 flood 1 0
DNS flood 1 0
DNS reply flood 1 0
HTTP flood 1 0
SIP flood 1 1000
HTTPS flood 1 0
HTTP slow attack defense statistics:
AttackType AttackTimes
HTTP slow attack 1
Signature attack defense statistics:
AttackType AttackTimes Dropped
IP option record route 1 100
IP option security 2 0
IP option stream ID 3 0
IP option internet timestamp 4 1
IP option loose source routing 5 0
IP option strict source routing 6 0
IP option route alert 3 0
Fragment 1 0
Impossible 1 1
Teardrop 1 1
Tiny fragment 1 0
IP options abnormal 3 0
Smurf 1 0
Ping of death 1 0
Traceroute 1 0
Large ICMP 1 0
TCP NULL flag 1 0
TCP all flags 1 0
TCP SYN-FIN flags 1 0
TCP FIN only flag 1 0
TCP invalid flag 1 0
TCP Land 1 0
Winnuke 1 0
UDP Bomb 1 0
Snork 1 0
Fraggle 1 0
Large ICMPv6 1 0
ICMP echo request 1 0
ICMP echo reply 1 0
ICMP source quench 1 0
ICMP destination unreachable 1 0
ICMP redirect 2 0
ICMP time exceeded 3 0
ICMP parameter problem 4 0
ICMP timestamp request 5 0
ICMP timestamp reply 6 0
ICMP information request 7 0
ICMP information reply 4 0
ICMP address mask request 2 0
ICMP address mask reply 1 0
ICMPv6 echo request 1 1
ICMPv6 echo reply 1 1
ICMPv6 group membership query 1 0
ICMPv6 group membership report 1 0
ICMPv6 group membership reduction 1 0
ICMPv6 destination unreachable 1 0
ICMPv6 time exceeded 1 0
ICMPv6 parameter problem 1 0
ICMPv6 packet too big 1 0
IPv6 extension header abnormal 1 0
IPv6 extension header exceeded 1 0
表1-12 display attack-defense statistics local命令顯示信息描述表
|
字段 |
描述 |
|
AttackType |
攻擊類型 |
|
AttackTimes |
受到攻擊的次數 |
|
Dropped |
丟棄報文的數目 |
|
Port scan |
端口掃描攻擊,當AttackTimes為0時,該列不顯示 |
|
IP Sweep |
IP掃描攻擊,當AttackTimes為0時,該列不顯示 |
|
Distribute port scan |
分布式端口掃描攻擊,當AttackTimes為0時,該列不顯示 |
|
SYN flood |
SYN flood攻擊,當AttackTimes 為0時,該列不顯示 |
|
ACK flood |
ACK flood攻擊,當AttackTimes 為0時,該列不顯示 |
|
SYN-ACK flood |
SYN-ACK flood攻擊,當AttackTimes為0時,該列不顯示 |
|
RST flood |
RST flood攻擊,當AttackTimes為0時,該列不顯示 |
|
FIN flood |
FIN flood攻擊,當AttackTimes為0時,該列不顯示 |
|
UDP flood |
UDP flood 攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP flood |
ICMP flood攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 flood |
ICMPv6 flood攻擊,當AttackTimes為0時,該列不顯示 |
|
DNS flood |
DNS flood攻擊,當AttackTimes為0時,該列不顯示 |
|
DNS reply flood |
DNS reply flood攻擊,當AttackTimes為0時,該列不顯示 |
|
HTTP flood |
HTTP flood攻擊,當AttackTimes為0時,該列不顯示 |
|
HTTP slow attack |
HTTP slow attack攻擊,當AttackTimes為0時,顯示為No HTTP slow attack detected |
|
HTTPS flood |
HTTPS flood攻擊,當AttackTimes為0時,該列不顯示 |
|
SIP flood |
SIP flood攻擊,當AttackTimes為0時,該列不顯示 |
|
IP option record route |
IP選項record route攻擊,當AttackTimes為0時,該列不顯示 |
|
IP option security |
IP選項security攻擊,當AttackTimes為0時,該列不顯示 |
|
IP option stream ID |
IP選項stream identifier攻擊,當AttackTimes為0時,該列不顯示 |
|
IP option internet timestamp |
IP選項 internet timestamp攻擊,當AttackTimes為0時,該列不顯示 |
|
IP option loose source routing |
IP選項loose source routing攻擊,當AttackTimes為0時,該列不顯示 |
|
IP option strict source routing |
IP選項strict source routing攻擊,當AttackTimes為0時,該列不顯示 |
|
IP option route alert |
IP選項strict source routing攻擊,當AttackTimes為0時,該列不顯示 |
|
Fragment |
IP分片異常攻擊,當AttackTimes為0時,該列不顯示 |
|
Impossible |
IP impossible攻擊,當AttackTimes為0時,該列不顯示 |
|
Teardrop |
IP teardrop攻擊,又稱IP overlapping fragments,當AttackTimes為0時,該列不顯示 |
|
Tiny fragment |
IP tiny fragment攻擊 |
|
IP option abnormal |
IP選項異常攻擊,當AttackTimes為0時,該列不顯示 |
|
Smurf |
Smurf攻擊,當AttackTimes為0時,該列不顯示 |
|
Ping of death |
Ping of death攻擊,當AttackTimes為0時,該列不顯示 |
|
Traceroute |
Traceroute攻擊,當AttackTimes為0時,該列不顯示 |
|
Large ICMP |
Large ICMP攻擊,當AttackTimes為0時,該列不顯示 |
|
TCP NULL flag |
TCP NULL flag攻擊,當AttackTimes為0時,該列不顯示 |
|
TCP all flags |
TCP所有標誌位均被置位攻擊,又稱聖誕樹攻擊,當AttackTimes為0時,該列不顯示 |
|
TCP SYN-FIN flags |
TCP SYN和FIN被同時置位攻擊,當AttackTimes為0時,該列不顯示 |
|
TCP FIN only flag |
TCP隻有FIN被置位的攻擊,當AttackTimes為0時,該列不顯示 |
|
TCP invalid flag |
TCP非法標誌位攻擊,當AttackTimes為0時,該列不顯示 |
|
TCP Land |
TCP Land攻擊,當AttackTimes為0時,該列不顯示 |
|
Winnuke |
Winnuke攻擊,當AttackTimes為0時,該列不顯示 |
|
UDP Bomb |
UDP Bomb攻擊,當AttackTimes為0時,該列不顯示 |
|
Snork |
Snork攻擊,當AttackTimes為0時,該列不顯示 |
|
Fraggle |
Fraggle攻擊,又稱UDP chargen DoS attack,當AttackTimes為0時,該列不顯示 |
|
Large ICMPv6 |
Large ICMPv6攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP echo request |
ICMP echo request攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMP echo reply |
ICMP echo reply攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP source quench |
ICMP source quench攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP destination unreachable |
ICMP destination unreachable攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP redirect |
ICMP redirect攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP time exceeded |
ICMP time exceeded攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP parameter problem |
ICMP parameter problem攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP timestamp request |
ICMP timestamp request攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP timestamp reply |
ICMP timestamp reply攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP information request |
ICMP information request攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP information reply |
ICMP information reply攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP address mask request |
ICMP address mask request攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMP address mask reply |
ICMP address mask reply攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 echo request |
ICMPv6 echo request攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMPv6 echo reply |
ICMPv6 echo reply攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 group membership query |
ICMPv6 group membership query攻擊,當AttackTimes 為0時,該列不顯示 |
|
ICMPv6 group membership report |
ICMPv6 group membership report攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 group membership reduction |
ICMPv6 group membership reduction攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 destination unreachable |
ICMPv6 destination unreachable攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 time exceeded |
ICMPv6 time exceeded攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 parameter problem |
ICMPv6 parameter problem攻擊,當AttackTimes為0時,該列不顯示 |
|
ICMPv6 packet too big |
ICMPv6 packet too big攻擊,當AttackTimes為0時,該列不顯示 |
|
IPv6 extension header abnormal |
IPv6擴展頭異常攻擊,當AttackTimes為0時,該列不顯示 |
|
IPv6 extension header exceeded |
IPv6擴展頭數目超限攻擊,當AttackTimes為0時,該列不顯示 |
【相關命令】
· reset attack-defense statistics local
display attack-defense top-attack-statistics命令用來顯示Top10的攻擊排名統計信息。
【命令】
display attack-defense top-attack-statistics { last-1-hour | last-24-hours | last-30-days } [ by-attacker | by-type | by-victim ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
last-1-hour:顯示最近1小時的統計信息。
last-24-hours:顯示最近24小時的統計信息。
last-30-days:顯示最近30天的統計信息。
by-attacker:顯示基於攻擊者IP地址的Top10排名統計信息。
by-type:顯示基於攻擊類型的統計信息。
by-victim:顯示基於被攻擊者IP地址的Top10排名統計信息。
【使用指導】
若未指定[ by-attacker | by-type | by-victim ]參數,則同時顯示基於攻擊者IP地址、被攻擊者IP地址和攻擊類型的統計信息。
【舉例】
# 顯示最近1小時的Top10排名統計信息
<Sysname> display attack-defense top-attack-statistics last-1-hour
Top attackers:
No. VPN instance Attacker IP Attacks
1 200.200.200.55 21
2 200.200.200.21 16
3 200.200.200.133 12
4 200.200.200.19 10
5 200.200.200.4 8
6 200.200.200.155 8
7 200.200.200.93 5
8 200.200.200.67 3
9 200.200.200.70 1
10 200.200.200.23 1
Top victims:
No. VPN instance Victim IP Attacks
1 -- 201.200.200.12 21
2 -- 201.200.200.32 16
3 -- 201.200.200.14 12
4 -- 201.200.200.251 12
5 -- 201.200.200.10 7
6 -- 201.200.200.77 6
7 -- 201.200.200.96 2
8 -- 201.200.200.22 2
9 -- 201.200.200.154 2
10 -- 201.200.200.18 1
Top attack types:
Attack type Attacks
Scan 155
Syn 155
表1-13 display attack-defense top-attack-statistics命令顯示信息描述表
|
字段 |
描述 |
|
Top attackers |
基於攻擊者IP地址的Top10排名統計信息 |
|
No. |
Top10排名 |
|
VPN instance |
(暫不支持)所屬的VPN實例名稱,屬於公網時顯示為空 |
|
Attacker IP |
攻擊者的IP地址 |
|
Attacks |
攻擊次數 |
|
Top victims |
基於被攻擊者IP地址的Top10排名統計信息 |
|
Victim IP |
被攻擊者的IP地址 |
|
Top attack types |
基於攻擊類型的統計信息 |
|
Attack type |
攻擊類型 |
【相關命令】
· attack-defense top-attack-statistics enable
dns-flood action命令用來配置對DNS flood攻擊防範的全局處理行為。
undo dns-flood action命令用來恢複缺省情況。
【命令】
dns-flood action { drop | logging } *
undo dns-flood action
【缺省情況】
不對檢測到的DNS flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有DNS報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有DNS報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對DNS flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood action drop
【相關命令】
· dns-flood detect
· dns-flood detect non-specific
· dns-flood port
· dns-flood source-threshold
· dns-flood threshold
dns-flood detect命令用來開啟對指定IP地址的攻擊防範檢測,並配置DNS flood攻擊防範檢測的觸發閾值和對DNS flood攻擊的處理行為。
undo dns-flood detect命令用來關閉對指定IP地址的DNS flood攻擊防範檢測。
【命令】
dns-flood detect { ip ipv4-address | ipv6 ipv6-address } [ port port-list ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo dns-flood detect { ip ipv4-address | ipv6 ipv6-address }
【缺省情況】
未對任何指定IP地址配置DNS flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
port port-list:指定開啟DNS flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-24>。&<1-24>表示前麵的參數最多可以輸入24次。end-port-number必須大於或等於start-port-number。若未指定本參數,則表示使用全局配置的檢測端口列表。
threshold threshold-value:指定DNS flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的DNS報文數目,取值範圍為1~1000000。
action:設置對DNS flood攻擊的處理行為。若未指定本參數,則表示采用DNS flood攻擊防範的全局處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有DNS報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能DNS flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送DNS報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了DNS flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置DNS flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的DNS flood攻擊防範檢測,並指定檢測端口為53、觸發閾值為2000。當設備監測到向該IP地址的53端口每秒發送的DNS報文數持續達到或超過2000時,啟動DNS flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood detect ip 192.168.1.2 port 53 threshold 2000
【相關命令】
· dns-flood action
· dns-flood detect non-specific
· dns-flood port
· dns-flood threshold
dns-flood detect non-specific命令用來對所有非受保護IP地址開啟DNS flood攻擊防範檢測。
undo dns-flood detect non-specific命令用來關閉對所有非受保護IP地址的DNS flood攻擊防範檢測。
【命令】
dns-flood detect non-specific
undo dns-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟DNS flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
對所有非受保護IP地址開啟DNS flood攻擊防範檢測後,設備將采用全局的閾值設置(由dns-flood threshold或dns-flood source-threshold命令設置)和處理行為(由dns-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟DNS flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood detect non-specific
【相關命令】
· dns-flood action
· dns-flood detect
· dns-flood port
· dns-flood source-threshold
· dns-flood threshold
dns-flood port命令用來配置DNS flood攻擊防範的全局檢測端口號。
undo dns-flood port命令用來恢複缺省情況。
【命令】
dns-flood port port-list
undo dns-flood port
【缺省情況】
DNS flood攻擊防範的全局檢測端口號為53。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
port-list:指定開啟DNS flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-32>。&<1-32>表示前麵的參數最多可以輸入32次。end-port-number必須大於或等於start-port-number。
【使用指導】
設備隻對指定檢測端口上收到的報文進行DNS flood攻擊檢測。
對於所有非受保護IP地址,或未指定檢測端口的受保護IP地址,設備采用全局的檢測端口進行DNS flood攻擊檢測。對於所有指定檢測端口的受保護IP地址,設備針對為每個受保護IP地址指定的端口進行DNS flood攻擊檢測。
【舉例】
# 在攻擊防範策略atk-policy-1中配置DNS flood攻擊防範的全局檢測端口為53與61000,當設備檢測到訪問53端口或61000端口的DNS flood攻擊時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood port 53 61000
【相關命令】
· dns-flood action
· dns-flood detect
· dns-flood detect non-specific
· dns-flood source-threshold
· dns-flood threshold
dns-flood threshold命令用來配置DNS flood攻擊防範基於目的IP統計的全局觸發閾值。
undo dns-flood threshold命令用來恢複缺省情況。
【命令】
dns-flood threshold threshold-value
undo dns-flood threshold
【缺省情況】
DNS flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定向某IP地址每秒發送的DNS報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的DNS flood攻擊防範。
【使用指導】
使能DNS flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送DNS報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了DNS flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置DNS flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(DNS服務器)的DNS報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置DNS flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的DNS報文數持續達到或超過100時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood threshold 100
【相關命令】
· dns-flood action
· dns-flood detect ip
· dns-flood detect non-specific
· dns-flood port
dns-flood source-threshold命令用來配置DNS flood攻擊防範基於源IP統計的全局觸發閾值。
undo dns-flood source-threshold命令用來恢複缺省情況。
【命令】
dns-flood source-threshold threshold-value
undo dns-flood source-threshold
【缺省情況】
DNS flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的DNS報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的DNS flood攻擊防範。
【使用指導】
使能DNS flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送DNS報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了DNS flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置DNS flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的DNS報文數持續達到或超過100時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood source-threshold 100
【相關命令】
· dns-flood action
· dns-flood detect ip
· dns-flood detect non-specific
· dns-flood port
dns-reply-flood action命令用來配置對DNS reply flood攻擊防範的全局處理行為。
undo dns-reply-flood action命令用來恢複缺省情況。
【命令】
dns-reply-flood action { drop | logging } *
undo dns-reply-flood action
【缺省情況】
不對檢測到的DNS reply flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有DNS reply報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有DNS reply報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對DNS reply flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood action drop
【相關命令】
· dns-reply-flood detect
· dns-reply-flood detect non-specific
· dns-reply-flood source-threshold
· dns-reply-flood threshold
dns-reply-flood detect命令用來開啟對指定IP地址的攻擊防範檢測,並配置DNS reply flood攻擊防範檢測的觸發閾值和對DNS reply flood攻擊的處理行為。
undo dns-reply-flood detect命令用來關閉對指定IP地址的DNS reply flood攻擊防範檢測。
【命令】
dns-reply-flood detect { ip ipv4-address | ipv6 ipv6-address } [ port port-list ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo dns-reply-flood detect { ip ipv4-address | ipv6 ipv6-address }
【缺省情況】
未對任何指定IP地址配置DNS reply flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。
port port-list:指定開啟DNS reply flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-24>。&<1-24>表示前麵的參數最多可以輸入24次。end-port-number必須大於或等於start-port-number。若未指定本參數,則表示使用全局配置的檢測端口列表。
threshold threshold-value:指定DNS flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的DNS reply報文數目,取值範圍為1~1000000,缺省為1000。
action:設置對DNS reply flood攻擊的處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有DNS reply報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
每個攻擊防範策略下可以同時對多個IP地址配置DNS reply flood攻擊防範檢測。
開啟DNS reply flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送DNS reply報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了DNS reply flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的DNS reply flood攻擊防範檢測,並指定檢測端口為53、觸發閾值為2000。當設備監測到向該IP地址的53端口每秒發送的DNS reply報文數持續達到或超過2000時,啟動DNS reply flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood detect ip 192.168.1.2 port 53 threshold 2000
【相關命令】
· dns-reply-flood action
· dns-reply-flood detect non-specific
· dns-reply-flood port
· dns-reply-flood threshold
dns-reply-flood detect non-specific命令用來對所有非受保護IP地址開啟DNS reply flood攻擊防範檢測。
undo dns-reply-flood detect non-specific命令用來關閉對所有非受保護IP地址的DNS reply flood攻擊防範檢測。
【命令】
dns-reply-flood detect non-specific
undo dns-reply-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟DNS reply-flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
對所有非受保護IP地址開啟DNS reply flood攻擊防範檢測後,設備將采用全局的閾值設置(由dns-reply-flood threshold或dns-reply-flood source-threshold命令設置)和處理行為(由dns-reply-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟DNS reply-flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood detect non-specific
【相關命令】
· dns-reply-flood action
· dns-reply-flood detect
· dns-reply-flood port
· dns-reply-flood source-threshold
· dns-reply-flood threshold
dns-reply-flood port命令用來配置DNS reply flood攻擊防範的全局檢測端口號。
undo dns-reply-flood port命令用來恢複缺省情況。
【命令】
dns-reply-flood port port-list
undo dns-reply-flood port
【缺省情況】
DNS reply-flood攻擊防範的全局檢測端口號為53。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
port-list:指定開啟DNS reply flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-32>。&<1-32>表示前麵的參數最多可以輸入32次。end-port-number必須大於或等於start-port-number。
【使用指導】
設備隻對指定檢測端口上收到的報文進行DNS reply flood攻擊檢測。
對於所有非受保護IP地址,或未指定檢測端口的受保護IP地址,設備采用全局的檢測端口進行DNS reply flood攻擊檢測。對於所有指定檢測端口的受保護IP地址,設備針對為每個受保護IP地址指定的端口進行DNS reply flood攻擊檢測。
【舉例】
# 在攻擊防範策略atk-policy-1中配置DNS reply flood攻擊防範的全局檢測端口為53與61000,當設備檢測到訪問53端口或61000端口的DNS flood攻擊時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood port 53 61000
【相關命令】
· dns-reply-flood action
· dns-reply-flood detect
· dns-reply-flood detect non-specific
· dns-reply-flood source-threshold
· dns-reply-flood threshold
dns-reply-flood threshold命令用來配置DNS reply flood攻擊防範基於目的IP統計的全局觸發閾值。
undo dns-reply-flood threshold命令用來恢複缺省情況。
【命令】
dns-reply-flood threshold threshold-value
undo dns-reply-flood threshold
【缺省情況】
DNS reply flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定向某IP地址每秒發送的DNS reply報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的DNS reply flood攻擊防範。
【使用指導】
開啟DNS reply flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送DNS reply 報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了DNS reply flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。
對於未專門配置DNS reply flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(DNS客戶端)的DNS reply報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置DNS reply flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的DNS reply報文數持續達到或超過100時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood threshold 100
【相關命令】
· dns-reply-flood action
· dns-reply-flood detect ip
· dns-reply-flood detect non-specific
· dns-reply-flood port
dns-reply-flood source-threshold命令用來配置DNS reply flood攻擊防範基於源IP統計的全局觸發閾值。
undo dns-reply-flood source-threshold命令用來恢複缺省情況。
【命令】
dns-reply-flood source-threshold threshold-value
undo dns-reply-flood source-threshold
【缺省情況】
DNS reply flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的DNS reply報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的DNS reply flood攻擊防範。
【使用指導】
開啟DNS reply flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送DNSreply 報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了DNS reply flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置DNS reply flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的DNS reply報文數持續達到或超過100時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood source-threshold 100
【相關命令】
· dns-reply-flood action
· dns-reply-flood detect ip
· dns-reply-flood detect non-specific
· dns-reply-flood port
exempt acl命令用來配置攻擊防範例外列表。
undo exempt acl命令用來恢複缺省情況。
【命令】
exempt acl [ ipv6 ] { acl-number | name acl-name }
undo exempt acl [ ipv6 ]
【缺省情況】
未配置攻擊防範例外列表。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:指定IPv6 ACL。如果未指定本參數,則表示IPv4 ACL。
acl-number:表示ACL的編號,取值範圍及其代表的ACL類型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高級ACL。
name acl-name:指定ACL的名稱。acl-name表示ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
【使用指導】
通過配置例外列表,使用ACL過濾不需要進行攻擊防範檢測的主機報文。當本機或接口上收到的報文與攻擊防範例外列表引用的ACL中的permit規則匹配時,設備不對其進行攻擊防範檢測。該配置用於過濾某些被信任的安全主機發送的報文,可以有效的減小誤報率,並提高服務器處理效率。
例外列表引用的ACL的permit規則中僅源地址、目的地址、源端口、目的端口、協議號和非首片分片標記參數用於匹配報文。
如果配置的攻擊防範例外列表中引用的ACL不存在,或引用的ACL中未定義任何規則,例外列表不會生效。
【舉例】
# 在攻擊防範策略atk-policy-1中配置例外列表ACL 2001,過濾來自主機1.1.1.1的報文,不對其進行攻擊防範檢測。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] attack-defense policy atk-policy-1
[attack-defense-policy-atk-policy-1] exempt acl 2001
【相關命令】
· attack-defense policy
fin-flood action命令用來配置對FIN flood攻擊防範的全局處理行為。
undo fin-flood action命令用來恢複缺省情況。
【命令】
fin-flood action { drop | logging } *
undo fin-flood action
【缺省情況】
不對檢測到的FIN flood攻擊采取任何處理行為。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有FIN報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有FIN報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【舉例】
#在攻擊防範策略atk-policy-1配置對FIN flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] fin-flood action drop
【相關命令】
· fin-flood detect
· fin-flood detect non-specific
· fin-flood source-threshold
· fin-flood threshold
fin-flood detect命令用來開啟對指定IP地址的FIN flood攻擊防範檢測,並配置FIN flood攻擊防範檢測的觸發閾值和對FIN flood攻擊的處理行為。
undo fin-flood detect命令用來關閉對指定IP地址的FIN flood攻擊防範檢測。
【命令】
fin-flood detect { ip ipv4-address | ipv6 ipv6-address } [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo fin-flood detect { ip ipv4-address | ipv6 ipv6-address }
【缺省情況】
未對任何指定IP地址配置FIN flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
threshold threshold-value:指定FIN flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的FIN報文數目,取值範圍為1~1000000。
action:設置對FIN flood攻擊的處理行為。若未指定本參數,則表示采用FIN flood攻擊防範的全局處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有FIN報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能FIN flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送FIN報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了FIN flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置FIN flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的FIN flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的FIN報文數持續達到或超過2000時,啟動FIN flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] fin-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· fin-flood action
· fin-flood detect non-specific
· fin-flood threshold
fin-flood detect non-specific命令用來對所有非受保護IP地址開啟FIN flood攻擊防範檢測。
undo fin-flood detect non-specific命令用來關閉對所有非受保護IP地址的FIN flood攻擊防範檢測。
【命令】
fin-flood detect non-specific
undo fin-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟FIN flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
無
【使用指導】
對所有非受保護IP地址開啟FIN flood攻擊防範檢測後,設備將采用全局的閾值設置(由fin-flood threshold或fin-flood source-threshold命令設置)和處理行為(由fin-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟FIN flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] fin-flood detect non-specific
【相關命令】
· fin-flood action
· fin-flood detect
· fin-flood source-threshold
· fin-flood threshold
fin-flood threshold命令用來配置FIN flood攻擊防範基於目的IP統計的全局觸發閾值。
undo fin-flood threshold命令用來恢複缺省情況。
【命令】
fin-flood threshold threshold-value
undo fin-flood threshold
【缺省情況】
FIN flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定向某IP地址每秒發送的FIN報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的FIN flood攻擊防範。
【使用指導】
使能FIN flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送FIN報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了FIN flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置FIN flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的FIN報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置FIN flood攻擊防範檢測的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的FIN報文數持續達到或超過100時,啟動FIN flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] fin-flood threshold 100
【相關命令】
· fin-flood action
· fin-flood detect
· fin-flood detect non-specific
fin-flood source-threshold命令用來配置FIN flood攻擊防範基於源IP統計的全局觸發閾值。
undo fin-flood source-threshold命令用來恢複缺省情況。
【命令】
fin-flood source-threshold threshold-value
undo fin-flood source-threshold
【缺省情況】
FIN flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的FIN報文數目,取值範圍為0~1000000,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的FIN flood攻擊防範。
【使用指導】
使能FIN flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送FIN報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了FIN flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置FIN flood攻擊防範檢測基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的FIN報文數持續達到或超過100時,啟動FIN flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] fin-flood source-threshold 100
【相關命令】
· fin-flood action
· fin-flood detect
· fin-flood detect non-specific
http-flood action命令用來配置對HTTP flood攻擊防範的全局處理行為。
undo http-flood action命令用來恢複缺省情況。
【命令】
http-flood action { drop | logging } *
undo http-flood action
【缺省情況】
不對檢測到的HTTP flood攻擊采取任何處理行為。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有HTTP報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有HTTP報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對HTTP flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood action drop
【相關命令】
· http-flood detect non-specific
· http-flood detect
· http-flood source-threshold
· http-flood threshold
http-flood detect命令用來開啟對指定IP地址的HTTP flood攻擊防範檢測,並配置HTTP flood攻擊防範的觸發閾值和對HTTP flood攻擊的處理行為。
undo http-flood detect命令用來關閉對指定IP地址的HTTP flood攻擊防範檢測。
【命令】
http-flood detect { ip ipv4-address | ipv6 ipv6-address } [ port port-list ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo http-flood detect { ip ipv4-address | ipv6 ipv6-address }
【缺省情況】
未對任何指定IP地址配置HTTP flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
port port-list:指定開啟HTTP flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-24>。&<1-24>表示前麵的參數最多可以輸入24次。end-port-number必須大於或等於start-port-number。若未指定本參數,則表示使用全局配置的檢測端口列表。
threshold threshold-value:指定HTTP flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的HTTP報文數目,取值範圍為1~1000000。
action:設置對HTTP flood攻擊的處理行為。若未指定本參數,則表示采用HTTP flood攻擊防範的全局處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有HTTP報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能HTTP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送HTTP報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了HTTP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置HTTP flood攻擊防範檢測。
告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的HTTP flood攻擊防範檢測,並指定檢測端口為80與8080、觸發閾值為2000。當設備監測到向該IP地址的80或8080端口每秒發送的HTTP報文數持續達到或超過2000時,啟動HTTP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood detect ip 192.168.1.2 port 80 8080 threshold 2000
【相關命令】
· http-flood action
· http-flood detect non-specific
· http-flood port
· http-flood threshold
http-flood detect non-specific命令用來對所有非受保護IPv4地址開啟HTTP flood攻擊防範檢測。
undo http-flood detect non-specific命令用來關閉對所有非受保護IPv4地址的HTTP flood攻擊防範檢測。
【命令】
http-flood detect non-specific
undo http-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟HTTP flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
對所有非受保護IP地址開啟HTTP flood攻擊防範檢測後,設備將采用全局的閾值設置(由http-flood threshold或http-flood source-threshold命令設置)和處理行為(由http-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟HTTP flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood detect non-specific
【相關命令】
· http-flood action
· http-flood detect
· http-flood source-threshold
· http-flood threshold
http-flood port命令用來配置HTTP flood攻擊防範的全局檢測端口號。
undo http-flood port命令用來恢複缺省情況。
【命令】
http-flood port port-list
undo http-flood port
【缺省情況】
HTTP flood攻擊防範的全局檢測端口號為80。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
port-list:指定開啟HTTP flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-32>。&<1-32>表示前麵的參數最多可以輸入32次。end-port-number必須大於或等於start-port-number。
【使用指導】
設備隻對指定檢測端口上收到的報文進行HTTP flood攻擊檢測。
對於所有非受保護IP地址,或未指定檢測端口的受保護IP地址,設備采用全局的檢測端口進行HTTP flood攻擊檢測。對於所有指定檢測端口的受保護IP地址,設備針對為每個受保護IP地址指定的端口進行HTTP flood攻擊檢測。
【舉例】
# 在攻擊防範策略atk-policy-1中配置DNS flood攻擊防範的全局檢測端口為80與8080,當設備檢測到訪問80端口或8080端口的HTTP flood攻擊時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood port 80 8080
【相關命令】
· http-flood action
· http-flood detect
· http-flood detect non-specific
· http-flood source-threshold
· http-flood threshold
http-flood threshold命令用來配置HTTP flood攻擊防範基於目的IP統計的全局觸發閾值。
undo http-flood threshold命令用來恢複缺省情況。
【命令】
http-flood threshold threshold-value
undo http-flood threshold
【缺省情況】
HTTP flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定向某IP地址每秒發送的HTTP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的HTTP flood攻擊防範。
【使用指導】
使能HTTP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送HTTP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了HTTP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置HTTP flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器)的HTTP報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置HTTP flood攻擊防範的全局觸發閾值為100, 即當設備監測到向某IP地址每秒發送的HTTP報文數持續達到或超過100時,啟動HTTP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood threshold 100
【相關命令】
· http-flood action
· http-flood detect
· http-flood detect non-specific
· http-flood port
http-flood source-threshold命令用來配置HTTP flood攻擊防範基於源IP統計的全局觸發閾值。
undo http-flood source-threshold命令用來恢複缺省情況。
【命令】
http-flood source-threshold threshold-value
undo http-flood source-threshold
【缺省情況】
HTTP flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的HTTP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的HTTP flood攻擊防範。
【使用指導】
使能HTTP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送HTTP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了HTTP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置HTTP flood攻擊防範基於源IP統計的全局觸發閾值為100, 即當設備監測到某IP地址每秒發送的HTTP報文數持續達到或超過100時,啟動HTTP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood source-threshold 100
【相關命令】
· http-flood action
· http-flood detect
· http-flood detect non-specific
· http-flood port
http-slow-attack action命令用來配置HTTP慢速攻擊防範的全局處理行為。
undo http-slow-attack action命令用來恢複缺省情況。
【命令】
http-slow-attack action logging
undo http-slow-attack action
【缺省情況】
不對檢測到的HTTP慢速攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
【舉例】
# 在攻擊防範策略atk-policy-1中配置HTTP慢速攻擊防範的全局處理行為為輸出告警日誌和阻斷並丟棄來自該IP地址的後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack action logging
【相關命令】
· http-slow-attack detect
· http-slow-attack detect non-specific
· http-slow-attack period
· http-slow-attack port
· http-slow-attack threshold
http-slow-attack detect命令用來開啟對指定IP地址的HTTP慢速攻擊防範檢測,並配置HTTP慢速攻擊防範檢測的檢測端口號、觸發閾值、檢測周期和對HTTP慢速攻擊的處理行為。
undo http-slow-attack detect命令用來關閉對指定IP地址的HTTP慢速攻擊防範檢測。
【命令】
http-slow-attack detect { ip ipv4-address | ipv6 ipv6-address } [ port { start-port-number [ to end-port-number ] } &<1-16> ] [ threshold { alert-number alert-number | content-length content-length | payload-length payload-length | packet-number packet-number }* ] [ period period ] [ action logging ]
undo http-slow-attack detect { ip ipv4-address | ipv6 ipv6-address }
【缺省情況】
未對任何指定IP地址開啟HTTP慢速攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
port port-list:指定開啟慢速攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-16>。&<1-16>表示前麵的參數最多可以輸入16次。end-port-number必須大於或等於start-port-number。若未指定本參數,則表示使用全局配置的檢測端口列表。
threshold:指定HTTP慢速攻擊防範的閾值。若未指定本參數,則表示采用慢速攻擊防範的全局閾值。
alert-number alert-number:指定觸發慢速攻擊檢測的HTTP並發連接數,取值範圍為1~1200000,缺省為5000。
content-length content-length:指定HTTP報文Content-Length字段的閾值,取值範圍為100~100000000,缺省為10000。
payload-length payload-length:指定HTTP報文實際載荷的閾值,取值範圍為1~1000,缺省為50。
packet-number packet-number:指定異常報文的防範閾值,取值範圍為1~1000,缺省為10。
period period:攻擊檢測周期,取值範圍為1~1200,單位為秒。若未指定本參數,則表示采用慢速攻擊防範的全局檢測周期。
action:設置對HTTP慢速攻擊的處理行為。若未指定本參數,則表示采用慢速攻擊防範的全局處理行為。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
若指定threshold關鍵字,而未指定alert-number、content-length、payload-length、packet-number參數中的一個或多個,未指定的參數采用缺省值,而不采用全局閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址1.1.1.1的HTTP慢速攻擊檢測,並指定檢測端口為80和8080,指定HTTP慢速攻擊檢測的觸發閾值為3000,HTTP報文首部Content-Length字段大於10000且負載長度小於20時,則認為該報文異常。當異常報文個數超過10後,將該源IP地址加入告警日誌。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack detect ip 1.1.1.1 port 80 8080 threshold alert-number 3000 content-length 10000 payload-length 20 packet-number 10 action logging
【相關命令】
· http-slow-attack action
· http-slow-attack detect non-specific
· http-slow-attack period
· http-slow-attack port
· http-slow-attack threshold
http-slow-attack detect non-specific命令用來對所有非受保護IP地址開啟HTTP慢速攻擊防範檢測。
undo http-slow-attack detect non-specific命令用來關閉對所有非受保護IP地址的HTTP慢速攻擊防範檢測。
【命令】
http-slow-attack detect non-specific
undo http-slow-attack detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟HTTP慢速攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
對所有非受保護IP地址開啟HTTP慢速攻擊防範檢測後,設備將采用全局的閾值設置(由http-slow-attack threshold命令配置)、周期設置(由http-slow-attack period命令配置)、端口設置(由http-slow-attack port命令配置)和處理行為(由http-slow-attack action命令配置)對這些IP地址進行保護。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟HTTP慢速攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack detect non-specific
【相關命令】
· http-slow-attack action
· http-slow-attack detect
· http-slow-attack period
· http-slow-attack port
· http-slow-attack threshold
http-slow-attack period命令用來配置HTTP慢速攻擊防範的檢測周期。
undo http-slow-attack period命令用來恢複缺省情況。
【命令】
http-slow-attack period period
undo http-slow-attack period
【缺省情況】
HTTP慢速攻擊檢測周期為60秒。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
period period:攻擊檢測周期,取值範圍為1~1200,缺省值為60,單位為秒。
【舉例】
# 在攻擊防範策略atk-policy-1中配置HTTP慢速攻擊檢測周期為10秒。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack period 10
【相關命令】
· http-slow-attack action
· http-slow-attack detect
· http-slow-attack detect non-specific
· http-slow-attack port
· http-slow-attack threshold
http-slow-attack port命令用來配置慢速攻擊防範的全局檢測端口號。
undo http-slow-attack port命令用來恢複缺省情況。
【命令】
http-slow-attack port port-list &<1-32>
undo http-slow-attack port
【缺省情況】
慢速攻擊防範的全局檢測端口號為80。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
port-list:指定開啟慢速攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-32>。&<1-32>表示前麵的參數最多可以輸入32次。end-port-number必須大於或等於start-port-number。
【使用指導】
設備隻對指定檢測端口的報文進行慢速攻擊檢測。
對於所有非受保護IP地址,或未指定檢測端口的受保護IP地址,設備采用全局的檢測端口進行慢速攻擊檢測。對於所有指定檢測端口的受保護IP地址,設備針對為每個受保護IP地址指定的端口進行慢速攻擊檢測。
一般情況下,建議盡量使用缺省端口號80作為慢速攻擊防範的全局檢測端口號。如果需要通過本命令指定非缺省端口作為慢速攻擊防範的全局檢測端口號,需確保配置的端口號為HTTP協議的通信端口號。否則會給設備帶來大量無效的HTTP慢速攻擊檢測,耗費大量係統資源。
【舉例】
# 在攻擊防範策略atk-policy-1中配置慢速攻擊防範的全局檢測端口為80與8000,設備統計目的端口為80或8000的並發連接數,超過閾值後啟動慢速攻擊報文檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack port 80 8000
【相關命令】
· http-slow-attack action
· http-slow-attack detect
· http-slow-attack detect non-specific
· http-slow-attack period
· http-slow-attack threshold
http-slow-attack threshold命令用來配置HTTP慢速攻擊防範的全局觸發閾值。
undo http-slow-attack threshold命令用來恢複缺省情況。
【命令】
http-slow-attack threshold [ alert-number alert-number | content-length content-length | payload-length payload-length | packet-number packet-number ]*
undo http-slow-attack threshold
【缺省情況】
當HTTP報文連接數超過5000時,觸發HTTP慢速攻擊檢測功能。當HTTP報文首部Content-Length字段的值大於10000,並且HTTP報文負載長度小於50時,則認為設備受到了HTTP慢速攻擊。當檢測周期內,異常報文個數超過10個,則執行相應的HTTP慢速攻擊防範處理行為。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
alert-number alert-number:指定觸發慢速攻擊檢查的HTTP每秒並發連接數,取值範圍為1~1200000,缺省為5000。
content-length content-length:指定HTTP報文Content-Length字段的閾值,取值範圍為100~100000000,缺省為10000。
payload-length payload-length:指定報文實際載荷的閾值,取值範圍為1~1000,缺省為50。
packet-number packet-number:指定異常報文的防範閾值,取值範圍為1~1000,缺省為10。
【使用指導】
當設備的HTTP並發連接數超過HTTP慢速攻擊檢測的觸發閾值時,觸發HTTP慢速攻擊檢測功能。之後,若設備收到的HTTP報文首部Content-Length字段的值大於content-length,並且HTTP報文負載長度小於payload-length,則認為設備受到了HTTP慢速攻擊。當設備收到報文的數目超過配置的異常報文防範閾值,則執行相應的HTTP慢速攻擊防範處理行為。
閾值參數可選配,如未配置,則默認為缺省值。
多次命令行配置以最後一次為準。
【舉例】
# 在攻擊防範策略atk-policy-1中配置HTTP慢速攻擊檢測,配置HTTP慢速攻擊檢測的觸發閾值為3000,HTTP報文首部Content-Length字段的閾值為10000,HTTP報文實際載荷閾值為20,異常報文的防範閾值為10。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack threshold alert-number 3000 content-length 10000 payload-length 20 packet-number 10
【相關命令】
· http-slow-attack action
· http-slow-attack detect
· http-slow-attack detect non-specific
· http-slow-attack period
· http-slow-attack port
https-flood action命令用來配置對HTTPS flood攻擊防範的全局處理行為。
undo https-flood action命令用來恢複缺省情況。
【命令】
https-flood action { client-verify | drop | logging } *
undo https-flood action
【缺省情況】
不對檢測到的HTTPS flood攻擊采取任何處理行為。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
client-verify:表示自動將受到攻擊的IP地址添加到HTTPS客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。本參數對基於源IP統計的泛洪攻擊不生效。
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有HTTPS報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有HTTPS報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
本命令中client-verify參數的使用需要和HTTPS客戶端驗證功能配合。開啟了HTTPS客戶端驗證的接口或安全域檢測到HTTPS flood攻擊時,若本命令中指定了client-verify參數,則設備會將受攻擊的IP地址動態添加到相應客戶端驗證的受保護IP列表中,並對與這些IP地址建立的連接進行代理。若接口或安全域上未開啟相應的代理功能,則不會對任何連接進行代理。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對HTTPS flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] https-flood action drop
【相關命令】
· client-verify https enable
· https-flood detect non-specific
· https-flood detect
· https-flood source-threshold
· https-flood threshold
https-flood detect命令用來開啟對指定IP地址的HTTPS flood攻擊防範檢測,並配置HTTPS flood攻擊防範的觸發閾值和對HTTPS flood攻擊的處理行為。
undo https-flood detect命令用來關閉對指定IP地址的HTTPS flood攻擊防範檢測。
【命令】
https-flood detect { ip ipv4-address | ipv6 ipv6-address } [ port port-list ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]
undo https-flood detect { ip ipv4-address | ipv6 ipv6-address }
【缺省情況】
未對任何指定IP地址配置HTTPS flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
port port-list:指定開啟HTTPS flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-24>。&<1-24>表示前麵的參數最多可以輸入24次。end-port-number必須大於或等於start-port-number。若未指定本參數,則表示使用全局配置的檢測端口列表。
threshold threshold-value:指定HTTPS flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的HTTPS報文數目,取值範圍為1~1000000。
action:設置對HTTPS flood攻擊的處理行為。若未指定本參數,則表示采用HTTPS flood攻擊防範的全局處理行為。
client-verify:表示自動將受到攻擊的IP地址添加到HTTP客戶端驗證的受保護IP列表中。若客戶端驗證功能已使能,則對客戶端與受保護IP地址之間的連接進行代理。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有HTTPS報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能HTTPS flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送HTTPS報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了HTTPS flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置HTTPS flood攻擊防範檢測。
告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的HTTPS flood攻擊防範檢測,並指定檢測端口為443、觸發閾值為2000。當設備監測到向該IP地址的443端口每秒發送的HTTP報文數持續達到或超過2000時,啟動HTTPS flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] https-flood detect ip 192.168.1.2 port 443 threshold 2000
【相關命令】
· https-flood action
· https-flood detect non-specific
· https-flood port
· https-flood threshold
https-flood detect non-specific命令用來對所有非受保護IPv4地址開啟HTTPS flood攻擊防範檢測。
undo https-flood detect non-specific命令用來關閉對所有非受保護IPv4地址的HTTPS flood攻擊防範檢測。
【命令】
https-flood detect non-specific
undo https-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟HTTPS flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
對所有非受保護IP地址開啟HTTPS flood攻擊防範檢測後,設備將采用全局的閾值設置(由https-flood threshold或https-flood source-threshold命令設置)和處理行為(由https-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟HTTPS flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] https-flood detect non-specific
【相關命令】
· https-flood action
· https-flood detect
· https-flood source-threshold
· https-flood threshold
https-flood port命令用來配置HTTPS flood攻擊防範的全局檢測端口號。
undo https-flood port命令用來恢複缺省情況。
【命令】
https-flood port port-list
undo https-flood port
【缺省情況】
HTTPS flood攻擊防範的全局檢測端口號為443。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
port-list:指定開啟HTTPS flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-32>。&<1-32>表示前麵的參數最多可以輸入32次。end-port-number必須大於或等於start-port-number。
【使用指導】
設備隻對指定檢測端口上收到的報文進行HTTPS flood攻擊檢測。
對於所有非受保護IP地址,或未指定檢測端口的受保護IP地址,設備采用全局的檢測端口進行HTTPS flood攻擊檢測。對於所有指定檢測端口的受保護IP地址,設備針對為每個受保護IP地址指定的端口進行HTTPS flood攻擊檢測。
【舉例】
# 在攻擊防範策略atk-policy-1中配置HTTPS flood攻擊防範的全局檢測端口為443,當設備檢測到訪問443端口的HTTPS flood攻擊時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] https-flood port 443
【相關命令】
· https-flood action
· https-flood detect
· https-flood detect non-specific
· https-flood source-threshold
· https-flood threshold
https-flood threshold命令用來配置HTTPS flood攻擊防範基於目的IP統計的全局觸發閾值。
undo https-flood threshold命令用來恢複缺省情況。
【命令】
https-flood threshold threshold-value
undo https-flood threshold
【缺省情況】
HTTPS flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定向某IP地址每秒發送的HTTPS報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的HTTPS flood攻擊防範。
【使用指導】
使能HTTPS flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送HTTPS報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了HTTPS flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置HTTPS flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTPS服務器)的HTTPS報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置HTTPS flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的HTTPS報文數持續達到或超過100時,啟動HTTPS flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] https-flood threshold 100
【相關命令】
· https-flood action
· https-flood detect
· https-flood detect non-specific
· https-flood port
https-flood source-threshold命令用來配置HTTPS flood攻擊防範基於源IP統計的全局觸發閾值。
undo https-flood source-threshold命令用來恢複缺省情況。
【命令】
https-flood source-threshold threshold-value
undo https-flood source-threshold
【缺省情況】
HTTPS flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的HTTPS報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的HTTPS flood攻擊防範。
【使用指導】
使能HTTPS flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送HTTPS報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了HTTPS flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置HTTPS flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的HTTPS報文數持續達到或超過100時,啟動HTTPS flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] https-flood source-threshold 100
【相關命令】
· https-flood action
· https-flood detect
· https-flood detect non-specific
· https-flood port
icmp-flood action命令用來配置對ICMP flood攻擊防範的全局處理行為。
undo icmp-flood action命令用來恢複缺省情況。
【命令】
icmp-flood action { drop | logging } *
undo icmp-flood action
【缺省情況】
不對檢測到的ICMP flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有ICMP報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有ICMP報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對ICMP flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmp-flood action drop
【相關命令】
· icmp-flood detect non-specific
· icmp-flood detect ip
· icmp-flood source-threshold
· icmp-flood threshold
icmp-flood detect ip命令用來開啟對指定IP地址的ICMP flood攻擊防範檢測,並配置ICMP flood攻擊防範檢測的觸發閾值和對ICMP flood攻擊的處理行為。
undo icmp-flood detect ip命令用來關閉對指定IP地址的ICMP flood攻擊防範檢測。
【命令】
icmp-flood detect ip ip-address [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo icmp-flood detect ip ip-address
【缺省情況】
未對任何指定IP地址配置ICMP flood 攻擊防範觸發閾值。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ip ip-address:指定要保護的IP地址。該IP地址不能為255.255.255.255或0.0.0.0。
threshold threshold-value:指定ICMP flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的ICMP報文數目,取值範圍為1~1000000。
action:設置對ICMP flood攻擊的處理行為。若未指定本參數,則表示采用ICMP flood攻擊防範的全局處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有ICMP報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能ICMP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送ICMP報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了ICMP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置ICMP flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的ICMP flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的ICMP報文數持續達到或超過2000時,啟動ICMP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmp-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· icmp-flood action
· icmp-flood detect non-specific
· icmp-flood threshold
icmp-flood detect non-specific命令用來對所有非受保護IPv4地址開啟ICMP flood攻擊防範檢測。
undo icmp-flood detect non-specific命令用來關閉對所有非受保護IPv4地址的ICMP flood攻擊防範檢測。
【命令】
icmp-flood detect non-specific
undo icmp-flood detect non-specific
【缺省情況】
未對任何非受保護IPv4地址開啟ICMP flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
對任何非受保護IPv4地址開啟ICMP flood攻擊防範檢測後,設備將采用全局的閾值設置(由icmp-flood threshold或icmp-flood source-threshold命令設置)和處理行為(由icmp-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IPv4地址開啟ICMP flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmp-flood detect non-specific
【相關命令】
· icmp-flood action
· icmp-flood detect ip
· icmp-flood source-threshold
· icmp-flood threshold
icmp-flood threshold命令用來配置ICMP flood攻擊防範基於目的IP統計的全局觸發閾值。
undo icmp-flood threshold命令用來恢複缺省情況。
【命令】
icmp-flood threshold threshold-value
undo icmp-flood threshold
【缺省情況】
ICMP flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定向某IP地址每秒發送的ICMP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的ICMP flood攻擊防範。
【使用指導】
使能ICMP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送ICMP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了ICMP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置ICMP flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的ICMP報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置ICMP flood攻擊防範檢測的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的ICMP報文數持續達到或超過100時,啟動ICMP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmp-flood threshold 100
【相關命令】
· icmp-flood action
· icmp-flood detect
· icmp-flood detect non-specific
icmp-flood source-threshold命令用來配置ICMP flood攻擊防範基於源IP統計的全局觸發閾值。
undo icmp-flood source-threshold命令用來恢複缺省情況。
【命令】
icmp-flood source-threshold threshold-value
undo icmp-flood source-threshold
【缺省情況】
ICMP flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的ICMP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的ICMP flood攻擊防範。
【使用指導】
使能ICMP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送ICMP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了ICMP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該IP發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置ICMP flood攻擊防範檢測基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的ICMP報文數持續達到或超過100時,啟動ICMP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmp-flood source-threshold 100
【相關命令】
· icmp-flood action
· icmp-flood detect
· icmp-flood detect non-specific
icmpv6-flood action命令用來配置對ICMPv6 flood攻擊防範的全局處理行為。
undo icmpv6-flood action命令用來恢複缺省情況。
【命令】
icmpv6-flood action { drop | logging } *
undo icmpv6-flood action
【缺省情況】
不對檢測到的ICMPv6 flood攻擊采取任何防範措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有ICMPv6報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有ICMPv6報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對ICMPv6 flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood action drop
【相關命令】
· icmpv6-flood detect ipv6
· icmpv6-flood detect non-specific
· icmpv6-flood source-threshold
· icmpv6-flood threshold
icmpv6-flood detect ipv6命令用來開啟對指定IPv6地址的ICMPv6 flood攻擊防範檢測,並配置ICMPv6 flood攻擊防範檢測的觸發閾值和對ICMPv6 flood攻擊的處理行為。
undo icmpv6-flood detect ipv6命令用來關閉對指定IPv6地址的ICMPv6 flood攻擊防範檢測。
【命令】
icmpv6-flood detect ipv6 ipv6-address [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo icmpv6-flood detect ipv6 ipv6-address
【缺省情況】
未對任何指定IPv6地址配置ICMPv6 flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
threshold threshold-value:指定ICMPv6 flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的ICMPv6報文數目,取值範圍為1~1000000。
action:設置對ICMPv6 flood攻擊的處理行為。若未指定本參數,則表示采用ICMPv6 flood攻擊防範的全局處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有ICMPv6報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能ICMPv6 flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送ICMPv6報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了ICMPv6 flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IPv6地址配置ICMPv6 flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址2012::12的ICMPv6 flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的ICMP報文數持續達到或超過2000時,啟動ICMPv6 flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood detect ipv6 2012::12 threshold 2000
【相關命令】
· icmpv6-flood action
· icmpv6-flood detect non-specific
· icmpv6-flood threshold
icmpv6-flood detect non-specific命令用來對所有非受保護IPv6地址開啟ICMPv6 flood攻擊防範檢測。
undo icmpv6-flood detect non-specific命令用來關閉對所有非受保護IPv6地址的ICMPv6 flood攻擊防範檢測。
【命令】
icmpv6-flood detect non-specific
undo icmpv6-flood detect non-specific
【缺省情況】
未對任何非受保護IPv6地址開啟ICMPv6 flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
對所有非受保護IPv6地址開啟ICMPv6 flood攻擊防範檢測後,設備將采用全局的閾值設置(由icmpv6-flood threshold或icmpv6-flood source-threshold命令設置)和處理行為(由icmpv6-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IPv6地址開啟ICMPv6 flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood detect non-specific
【相關命令】
· icmpv6-flood action
· icmpv6-flood detect ipv6
· icmpv6-flood source-threshold
· icmpv6-flood threshold
icmpv6-flood threshold命令用來配置ICMPv6 flood攻擊防範基於目的IP統計的全局觸發閾值。
undo icmpv6-flood threshold命令用來恢複缺省情況。
【命令】
icmpv6-flood threshold threshold-value
undo icmpv6-flood threshold
【缺省情況】
ICMPv6 flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定向某IPv6地址每秒發送的ICMPv6報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的ICMPv6 flood攻擊防範。
【使用指導】
使能ICMPv6 flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IPv6地址發送ICMPv6報文的速率持續達到或超過了該觸發閾值時,即認為該IPv6地址受到了ICMPv6 flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置ICMPv6 flood攻擊防範檢測的IPv6地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的ICMPv6報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置ICMPv6 flood攻擊防範檢測的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的ICMPv6報文數持續達到或超過100時,啟動ICMPv6 flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood threshold 100
【相關命令】
· icmpv6-flood action
· icmpv6-flood detect
· icmpv6-flood detect non-specific
icmpv6-flood source-threshold命令用來配置ICMPv6 flood攻擊防範基於源IP統計的全局觸發閾值。
undo icmpv6-flood source-source-threshold命令用來恢複缺省情況。
【命令】
icmpv6-flood source-threshold threshold-value
undo icmpv6-flood source-threshold
【缺省情況】
ICMPv6 flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的ICMPv6報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的ICMPv6 flood攻擊防範。
【使用指導】
使能ICMPv6 flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送ICMPv6報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了ICMPv6 flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置ICMPv6 flood攻擊防範檢測基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的ICMPv6報文數持續達到或超過100時,啟動ICMPv6 flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood source-threshold 100
【相關命令】
· icmpv6-flood action
· icmpv6-flood detect
· icmpv6-flood detect non-specific
reset attack-defense policy flood命令用來清除flood攻擊防範受保護IP表項的統計信息。
【命令】
reset attack-defense policy policy-name flood protected { ip | ipv6 } statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:攻擊防範策略名稱,為1~31個字符的字符串,不區分大小寫。合法取值包括大寫字母、小寫字母、數字、特殊字符“_”和“-”。
ip:指定IPv4類型的flood受保護IP表項。
ipv6:指定IPv6類型的flood受保護IP表項。
statistics:清除指定類型的flood受保護IP表項的統計信息。
【舉例】
# 清除攻擊防範策略abc中所有IPv4類型的flood保護IP表項的統計信息
<Sysname> reset attack-defense policy abc flood protected ip statistics
# 清除攻擊防範策略abc中所有IPv6類型的flood保護IP表項的統計信息
<Sysname> reset attack-defense policy abc flood protected ipv6 statistics
【相關命令】
· display attack-defense policy ip
· display attack-defense policy ipv6
reset attack-defense statistics interface命令用來清除接口上的攻擊防範統計信息。
【命令】
reset attack-defense statistics interface interface-type interface-number
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface-type interface-number:表示指定接口的接口類型和接口編號。
【舉例】
# 清除接口Vlan-interface100上的攻擊防範的統計信息。
<Sysname> reset attack-defense statistics interface vlan-interface 100
【相關命令】
· display attack-defense policy
reset attack-defense statistics local命令用來清除本機攻擊防範的統計信息。
【命令】
reset attack-defense statistics local
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【舉例】
# 清除本機上所有攻擊防範的統計信息。
<Sysname> reset attack-defense statistics local
【相關命令】
· display attack-defense statistics local
reset attack-defense top-attack-statistics命令用來清除Top10的攻擊排名統計信息。
【命令】
reset attack-defense top-attack-statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 清除Top10的攻擊排名統計信息。
<Sysname> reset attack-defense top-attack-statistics
【相關命令】
· attack-defense top-attack-statistics enable
· display attack-defense top-attack-statistics
rst-flood action命令用來配置對RST flood攻擊防範的全局處理行為。
undo rst-flood action命令用來恢複缺省情況。
【命令】
rst-flood action { drop | logging } *
undo rst-flood action
【缺省情況】
不對檢測到的RST flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有RST報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有RST報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對RST flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] rst-flood action drop
【相關命令】
· rst-flood detect
· rst-flood detect non-specific
· rst-flood source-threshold
· rst-flood threshold
rst-flood detect命令用來開啟對指定IP地址的RST flood攻擊防範檢測,並配置RST flood攻擊防範的觸發閾值和對RST flood攻擊的處理行為。
undo rst-flood命令用來關閉對指定IP地址的RST flood攻擊防範檢測。
【命令】
rst-flood detect { ip ipv4-address | ipv6 ipv6-address } [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo rst-flood detect { ip ipv4-address | ipv6 ipv6-address }
【缺省情況】
未對任何指定IP地址配置RST flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
threshold threshold-value:指定RST flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的RST報文數目,取值範圍為1~1000000。
action:設置對RST flood攻擊的處理行為。若未指定本參數,則表示采用RST flood攻擊防範的全局處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有RST報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能RST flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送RST報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了RST flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置RST flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的RST flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的RST報文數持續達到或超過2000時,啟動RST flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] rst-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· rst-flood action
· rst-flood detect non-specific
· rst-flood threshold
rst-flood detect non-specific命令用來對所有非受保護IP地址開啟RST flood攻擊防範檢測。
undo rst-flood detect non-specific命令用來關閉對所有非受保護IP地址的RST flood攻擊防範檢測。
【命令】
rst-flood detect non-specific
undo rst-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟RST flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
對所有非受保護IP地址開啟RST flood攻擊防範檢測後,設備將采用全局的閾值設置(由rst-flood threshold或rst-flood source-threshold命令設置)和處理行為(由rst-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟RST flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] rst-flood detect non-specific
【相關命令】
· rst-flood action
· rst-flood detect
· rst-flood source-threshold
· rst-flood threshold
rst-flood threshold命令用來配置RST flood攻擊防範基於目的IP統計的全局觸發閾值。
undo rst-flood threshold命令用來恢複缺省情況。
【命令】
rst-flood threshold threshold-value
undo rst-flood threshold
【缺省情況】
RST flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定向某IP地址每秒發送的RST報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的RST flood攻擊防範。
【使用指導】
使能RST flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送RST報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了RST flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置RST flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的RST報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置RST flood攻擊防範檢測的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的RST報文數持續達到或超過100時,啟動RST flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] rst-flood threshold 100
【相關命令】
· rst-flood action
· rst-flood detect
· rst-flood detect non-specific
rst-flood source-threshold命令用來配置RST flood攻擊防範基於源IP統計的全局觸發閾值。
undo rst-flood source-threshold命令用來恢複缺省情況。
【命令】
rst-flood source-threshold threshold-value
undo rst-flood source-threshold
【缺省情況】
RST flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的RST報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的RST flood攻擊防範。
【使用指導】
使能RST flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發出RST報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了RST flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置RST flood攻擊防範檢測的基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的RST報文數持續達到或超過100時,啟動RST flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] rst-flood source-threshold 100
【相關命令】
· rst-flood action
· rst-flood detect
· rst-flood detect non-specific
scan detect命令用來配置開啟指定級別的掃描攻擊防範。
undo scan detect命令用來關閉指定級別的掃描攻擊防範。
【命令】
scan detect level { { high | low | medium } | user-defined { port-scan-threshold threshold-value | ip-sweep-threshold threshold-value } * [ period period-value ] } action { drop | logging } *
undo scan detect
【缺省情況】
掃描攻擊防範處於關閉狀態。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
level:指定攻擊防範的檢測級別。
high:表示高防範級別,該級別能檢測出大部分的掃描攻擊,但對活躍主機誤報率較高,即將可提供服務的主機的報文錯誤判斷為攻擊報文的概率比較高。該級別的掃描攻擊檢測周期為10秒,針對端口掃描的防範閾值為5000 packets,針對地址掃描的防範閾值為5000 packets。
low:表示低防範級別,該級別提供基本的掃描攻擊檢測,有很低的誤報率,但對於一些掃描攻擊類型不能檢出。該級別的掃描攻擊檢測周期為10秒,針對端口掃描的防範閾值為100000 packets,針對地址掃描的防範閾值為100000 packets。
medium:表示中防範級別,該級別有適中的攻擊檢出率與誤報率,通常能夠檢測出Filtered Scan等攻擊。該級別的掃描攻擊檢測周期為10秒,針對端口掃描的防範閾值為40000 packets,針對地址掃描的防範閾值為40000 packets。
user-defined:表示用戶自定義防範規則,用戶可根據網絡實際情況和需求指定端口掃描、地址掃描的防範閾值和檢測周期。
port-scan-threshold threshold-value:指定端口掃描攻擊防範的觸發閾值。其中,threshold-value為源IP地址每個檢測周期內發送的目的端口不同的報文數目,取值範圍為1~1000000000。
ip-sweep-threshold threshold-value:指定地址掃描攻擊防範的觸發閾值。其中,threshold-value為源IP地址每個檢測周期內發往不同目的IP地址的報文數目,取值範圍為1~1000000000。
period period-value:表示檢測周期,period-value的取值範圍為1~1000000000,單位為秒,缺省值為10。
action:設置對掃描攻擊的處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,由該攻擊者發送的報文都將被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成記錄告警信息,生成的告警信息將被發送到日誌係統。
【舉例】
# 在攻擊防範策略atk-policy-1中配置掃描攻擊的檢測級別為低級別,處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] scan detect level low action drop
signature { large-icmp | large-icmpv6 } max-length命令用來配置啟動Large ICMP攻擊防範的ICMP報文長度的最大值。
undo signature { large-icmp | large-icmpv6 } max-length命令用來恢複缺省情況。
【命令】
signature { large-icmp | large-icmpv6 } max-length length
undo signature { large-icmp | large-icmpv6 } max-length
【缺省情況】
啟動Large ICMP攻擊防範的ICMP報文和ICMPv6報文長度的最大值均為4000字節。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
large-icmp:表示超大ICMP報文攻擊防範。
large-icmpv6:表示超大ICMPv6報文攻擊防範。
length:表示ICMP報文長度的最大值,ICMP報文取值範圍為28~65534,ICMPv6報文取值範圍為48~65534,單位為字節。
【舉例】
# 在攻擊防範策略atk-policy-1中配置啟動Large ICMP攻擊防範的ICMP報文長度的最大值為50000字節。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] signature large-icmp max-length 50000
【相關命令】
· signature detect
signature detect命令用來開啟指定類型單包攻擊報文的特征檢測,並設置攻擊防範的處理行為。
undo signature detect命令用來關閉對指定類型的單包攻擊報文的特征檢測。
【命令】
signature detect { fraggle | fragment | impossible | land | large-icmp | large-icmpv6 | smurf | snork | tcp-all-flags | tcp-fin-only | tcp-invalid-flags | tcp-null-flag | tcp-syn-fin | tiny-fragment | traceroute | udp-bomb | winnuke } [ action { { drop | logging } * | none } ]
undo signature detect { fraggle | fragment | impossible | land | large-icmp | large-icmpv6 | smurf | snork | tcp-all-flags | tcp-fin-only | tcp-invalid-flags | tcp-null-flag | tcp-syn-fin | tiny-fragment | traceroute | udp-bomb | winnuke }
signature detect { ip-option-abnormal | ping-of-death | teardrop } action { drop | logging } *
undo signature detect { ip-option-abnormal | ping-of-death | teardrop }
signature detect icmp-type { icmp-type-value | address-mask-reply | address-mask-request | destination-unreachable | echo-reply | echo-request | information-reply | information-request | parameter-problem | redirect | source-quench | time-exceeded | timestamp-reply | timestamp-request } [ action { { drop | logging } * | none } ]
undo signature detect icmp-type { icmp-type-value | address-mask-reply | address-mask-request | destination-unreachable | echo-reply | echo-request | information-reply | information-request | parameter-problem | redirect | source-quench | time-exceeded | timestamp-reply | timestamp-request }
signature detect icmpv6-type { icmpv6-type-value | destination-unreachable | echo-reply | echo-request | group-query | group-reduction | group-report | packet-too-big | parameter-problem | time-exceeded } [ action { { drop | logging } * | none } ]
undo signature detect icmpv6-type { icmpv6-type-value | destination-unreachable | echo-reply | echo-request | group-query | group-reduction | group-report | packet-too-big | parameter-problem | time-exceeded }
signature detect ip-option { option-code | internet-timestamp | loose-source-routing | record-route | route-alert | security | stream-id | strict-source-routing } [ action { { drop | logging } * | none } ]
undo signature detect ip-option { option-code | internet-timestamp | loose-source-routing | record-route | route-alert | security | stream-id | strict-source-routing }
signature detect ipv6-ext-header ext-header-value [ action { { drop | logging } * | none } ]
undo signature detect ipv6-ext-header next-header-value
signature detect ipv6-ext-header-abnormal [ action { { drop | logging } * | none } ]
undo signature detect ipv6-ext-header-abnormal
signature detect ipv6-ext-header-exceed [ limit limit-value ] [ action { { drop | logging } * | none } ]
undo signature detect ipv6-ext-header-exceed
【缺省情況】
所有類型的單包攻擊報文的特征檢測均處於關閉狀態。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
fraggle:表示Fraggle類型的報文攻擊。
fragment:表示IP分片報文攻擊。
icmp-type:表示ICMP類型的報文攻擊。可以指定報文的類型值,或者指定報文的類型關鍵字。
· icmp-type-value:表示ICMP報文類型的數值,取值範圍為0~255。
· address-mask-reply:表示ICMP address mask reply類型的報文攻擊。
· address-mask-request:表示ICMP address mask request類型的報文攻擊。
· destination-unreachable:表示ICMP destination unreachable類型的報文攻擊。
· echo-reply:表示ICMP echo reply類型的報文攻擊。
· echo-request:表示ICMP echo request類型的報文攻擊。
· information-reply:表示ICMP information reply類型的報文攻擊。
· information-request:表示ICMP information request類型的報文攻擊。
· parameter-problem:表示ICMP para problem類型的報文攻擊。
· redirect:表示ICMP redirect類型的報文攻擊。
· source-quench:表示ICMP source quench類型的報文攻擊。
· time-exceeded:表示ICMP time exceeded類型的報文攻擊。
· timestamp-reply:表示ICMP timestamp reply類型的報文攻擊。
· timestamp-request:表示ICMP timestamp request類型的報文攻擊。
icmpv6-type:表示ICMPv6類型的報文攻擊。可以指定報文的類型值,或者指定報文的類型關鍵字。
· icmpv6-type-value:表示ICMPv6報文類型的數值,取值範圍為0~255。
· destination-unreachable:表示ICMPv6 destination unreachable類型的報文攻擊。
· echo-reply:表示ICMPv6 echo reply類型的報文攻擊。
· echo-request:表示ICMPv6 echo request類型的報文攻擊。
· group-query:表示ICMPv6 group query類型的報文攻擊。
· group-reduction:表示ICMPv6 group reduction類型的報文攻擊。
· group-report:表示ICMPv6 group report類型的報文攻擊。
· packet-too-big:表示ICMPv6 packet too big類型的報文攻擊。
· parameter-problem:表示ICMPv6 para problem類型的報文攻擊。
· time-exceeded:表示ICMPv6 time exceeded類型的報文攻擊。
impossible:表示IP不可信報文的攻擊。
ip-option:表示IP選項類型的報文攻擊。可以指定IP選項代碼值,或者指定IP選項關鍵字。
· option-code:表示IP選項代碼值,取值範圍為1~255。
· internet-timestamp:表示IP選項timestamp類型的報文攻擊。
· loose-source-routing:表示IP選項loose source route類型的報文攻擊。
· record-route:表示IP選項record packet route類型的報文攻擊。
· route-alert:表示IP選項route alert類型的報文攻擊。
· security:表示IP選項security類型的報文攻擊。
· stream-id:表示IP選項stream identifier類型的報文攻擊。
· strict-source-routing:表示IP選項strict source route類型的報文攻擊。
ip-option-abnormal:表示IP選項異常類型的報文攻擊。
ipv6-ext-header ext-header-value:表示IPv6擴展頭參數值,取值範圍在0~255。
ipv6-ext-header-abnormal:表示IPv6擴展頭異常攻擊。
ipv6-ext-header-exceed:表示IPv6擴展頭數目超限攻擊。
land:表示Land類型的報文攻擊。
large-icmp:表示超大ICMP報文的攻擊。
large-icmpv6:表示超大ICMPv6報文的攻擊。
limit limit-value:指定IPv6擴展頭數目上限,取值範圍為0~7,缺省值為7。超過limit-value個擴展頭數目的IPv6報文將被視為IPv6擴展頭數目超限攻擊報文。
ping-of-death:表示Ping-of-death類型的報文攻擊。
smurf:表示Smurf類型的報文攻擊。
snork:表示UDP Snork attack類型的報文攻擊。
tcp-all-flags:表示TCP所有標誌位均置位的報文攻擊。
tcp-fin-only:表示TCP僅FIN標誌被置位的報文攻擊。
tcp-invalid-flags:表示TCP 標誌位非法的報文攻擊。
tcp-null-flag:表示TCP 標誌位為零的報文攻擊。
tcp-syn-fin:表示TCP SYN和FIN標誌位被同時置位的報文攻擊。
teardrop:表示teardrop類型的報文攻擊。
tiny-fragment:表示IP分片報文的攻擊。
traceroute:表示Trace route類型的報文攻擊。
udp-bomb:表示UDP Bomb attack類型的報文攻擊。
winnuke:表示WinNuke類型的報文攻擊。
action:對指定報文攻擊所采取的攻擊防範處理行為。若未指定本參數,則采用該攻擊報文所屬的攻擊防範級別所對應的默認處理行為。
· drop:設置單包攻擊的處理行為為丟棄報文。
· logging:設置單包攻擊的處理行為為發送日誌。
· none:不采取任何動作。
【使用指導】
可以通過多次執行本命令開啟多種類型的單包攻擊報文的特征檢測。
若通過數值指定了報文類型,則當指定的數值為標準的報文類型值時,在顯示信息中將會顯示該數值對應的報文類型字符串,否則顯示為數值。
針對IPv6擴展頭異常攻擊和IPv6擴展頭數目超限攻擊的檢測僅對IPv6報文頭部位於ESP擴展頭前的部分進行,不檢測位於ESP擴展頭之後的部分。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP分片攻擊報文的特征檢測,並指定攻擊防範處理行為為為丟棄報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] signature detect fragment action drop
【相關命令】
· signature level action
signature level action命令用來配置指定級別單包攻擊的處理行為。
undo signature level action命令用來恢複缺省情況。
【命令】
signature level { high | info | low | medium } action { { drop | logging } * | none }
undo signature level { high | info | low | medium } action
【缺省情況】
對提示級別和低級別的單包攻擊的處理行為是發送日誌;對中級別的單包攻擊的處理行為是發送日誌並丟包;對高級別的單包攻擊的處理行為是發送日誌並丟包。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
high:表示高級別的單包攻擊,暫無實例。
info:表示提示級別的單包攻擊,例如Large ICMP。
low:表示低級別的單包攻擊,例如Traceroute。
medium:表示中級別的單包攻擊,例如Winnuke。
drop:設置單包攻擊的處理行為為丟棄報文。
logging:設置單包攻擊的處理行為為發送日誌。
none:不采取任何動作。
【使用指導】
係統根據單包攻擊結果的嚴重程度由低到高將其劃分為四個攻擊級別:提示、低級、中級、高級。開啟某一個級別的單包攻擊報文的特征檢測,相當於批量開啟了屬於該級別的所有類型的單包攻擊報文的特征檢測。
若同時通過signature detect命令開啟了具體類型的單包攻擊報文的特征檢測,則以signature detect命令配置的參數為準。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對提示級別的單包攻擊的處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] signature level info action drop
【相關命令】
· signature detect
· signature level detect
signature level detect命令用來開啟指定級別單包攻擊報文的特征檢測。
undo signature level detect命令用來關閉對指定級別的單包攻擊報文的特征檢測。
【命令】
signature level { high | info | low | medium } detect
undo signature level { high | info | low | medium } detect
【缺省情況】
未開啟任何級別的單包攻擊報文的特征檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
high:表示高級別的單包攻擊,暫無實例。
info:表示提示級別的單包攻擊,例如Large ICMP報文攻擊。
low:表示低級別的單包攻擊,例如Traceroute報文攻擊。
medium:表示中級別的單包攻擊,例如Winnuke報文攻擊。
【使用指導】
係統根據單包攻擊結果的嚴重程度將其劃分為四個級別:提示、低級、中級、高級。開啟某一個級別的單包攻擊報文的特征檢測,相當於批量開啟了屬於該級別的所有單包攻擊報文的特征檢測。針對某一級別的單包攻擊的處理行為由signature level action命令指定。若通過signature detect命令開啟了具體的單包攻擊報文的特征檢測,則對該類攻擊報文的處理行為以signature detect命令配置的參數為準。
可通過display attack-defense policy命令查看各類型單包攻擊所屬的級別。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟提示級別的單包攻擊報文的特征檢測。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] signature level info detect
【相關命令】
· display attack-defense policy
· signature detect
· signature level action
sip-flood action命令用來配置SIP flood攻擊防範的全局處理行為。
undo sip-flood action命令用來恢複缺省情況。
【命令】
sip-flood action { drop | logging } *
undo sip-flood action
【缺省情況】
不對檢測到的SIP flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有SIP報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有SIP報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SIP flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] sip-flood action drop
【相關命令】
· sip-flood detect
· sip-flood detect non-specific
· sip-flood port
· sip-flood source-threshold
· sip-flood threshold
sip-flood detect命令用來開啟對指定IP地址的SIP flood攻擊防範檢測,並配置SIP flood攻擊防範檢測的觸發閾值和對SIP flood攻擊的處理行為。
undo sip-flood detect命令用來關閉對指定IP地址的SIP flood攻擊防範檢測。
【命令】
sip-flood detect { ip ipv4-address | ipv6 ipv6-address } [ port port-list ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo sip-flood detect { ip ipv4-address | ipv6 ipv6-address }
【缺省情況】
未對任何指定IP地址開啟SIP flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
port port-list:指定開啟SIP flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-32>。&<1-32>表示前麵的參數最多可以輸入32次。end-port-number必須大於或等於start-port-number。若未指定本參數,則表示使用全局配置的檢測端口列表。
threshold threshold-value:指定SIP flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的SIP報文數目,取值範圍為1~1000000,缺省為1000。
action:設置對SIP flood攻擊的處理行為。若未指定本參數,則表示采用SIP flood攻擊防範的全局處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有SIP報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
開啟SIP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送SIP報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了SIP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置SIP flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的SIP flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的SIP報文數持續達到或超過2000時,啟動SIP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] sip-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· sip-flood action
· sip-flood detect non-specific
· sip-flood port
· sip-flood threshold
sip-flood detect non-specific命令用來對所有非受保護IP地址開啟SIP flood攻擊防範檢測。
undo sip-flood detect non-specific命令用來關閉對所有非受保護IP地址的SIP flood攻擊防範檢測。
【命令】
sip-flood detect non-specific
undo sip-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟SIP flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
對所有非受保護IP地址開啟SIP flood攻擊防範檢測後,設備將采用全局的閾值設置(由sip-flood threshold或sip-flood source-threshold命令設置)、端口設置(由sip-flood port命令設置)和處理行為(由sip-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟SIP flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] sip-flood detect non-specific
【相關命令】
· sip-flood action
· sip-flood detect
· sip-flood port
· sip-flood source-threshold
· sip-flood threshold
sip-flood port命令用來配置SIP flood攻擊防範的全局檢測端口號。
undo sip-flood port命令用來恢複缺省情況。
【命令】
sip-flood port port-list
undo sip-flood port
【缺省情況】
SIP flood攻擊防範的全局檢測端口號為5060。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
port-list:指定開啟SIP flood攻擊防範檢測的端口列表,表示方式為{ start-port-number [ to end-port-number ] } &<1-32>。&<1-32>表示前麵的參數最多可以輸入32次。end-port-number必須大於或等於start-port-number。
【使用指導】
設備隻對指定檢測端口上收到的報文進行SIP flood攻擊檢測。
對於所有非受保護IP地址,或未指定檢測端口的受保護IP地址,設備采用全局的檢測端口進行SIP flood攻擊檢測。對於所有指定檢測端口的受保護IP地址,設備針對為每個受保護IP地址指定的端口進行SIP flood攻擊檢測。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SIP flood攻擊防範的全局檢測端口為5060與65530,當設備檢測到訪問5060端口或65530端口的SIP flood攻擊時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] sip-flood port 5060 65530
【相關命令】
· sip-flood action
· sip-flood detect
· sip-flood detect non-specific
· sip-flood source-threshold
· sip-flood threshold
sip-flood threshold命令用來配置SIP flood攻擊防範基於目的IP統計的全局觸發閾值。
undo sip-flood threshold命令用來恢複缺省情況。
【命令】
sip-flood threshold threshold-value
undo sip-flood threshold
【缺省情況】
SIP flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定向某IP地址每秒發送的SIP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的SIP flood攻擊防範。開啟SIP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送SIP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了SIP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。
【使用指導】
對於未專門配置SIP flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象的SIP報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SIP flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的SIP報文數持續達到或超過100時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] sip-flood threshold 100
【相關命令】
· sip-flood action
· sip-flood detect
· sip-flood detect non-specific
· sip-flood port
sip-flood source-threshold命令用來配置SIP flood攻擊防範基於源IP統計的全局觸發閾值。
undo sip-flood source-threshold命令用來恢複缺省情況。
【命令】
sip-flood source-threshold threshold-value
undo sip-flood source-threshold
【缺省情況】
SIP flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定某IP地址每秒發送的SIP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的SIP flood攻擊防範。
【使用指導】
開啟SIP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送SIP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了SIP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SIP flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的SIP報文數持續達到或超過100時,啟動攻擊防範措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] sip-flood source-threshold 100
【相關命令】
· sip-flood action
· sip-flood detect
· sip-flood detect non-specific
· sip-flood port
syn-ack-flood action命令用來配置對SYN-ACK flood攻擊防範的全局處理行為。
undo syn-ack-flood action命令用來恢複缺省情況。
【命令】
syn-ack-flood action { drop | logging }*
undo syn-ack-flood action
【缺省情況】
不對檢測到的 SYN-ACK flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有SYN-ACK報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有SYN-ACK報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成記錄告警信息,生成的告警信息將被發送到日誌係統。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對SYN-ACK flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood action drop
【相關命令】
· syn-ack-flood detect
· syn-ack-flood detect non-specific
· syn-ack-flood source-threshold
· syn-ack-flood threshold
syn-ack-flood detect命令用來對指定IP地址的SYN-ACK flood攻擊防範檢測,並配置SYN-ACK flood攻擊防範檢測觸發閾值和防範行為。
undo syn-ack-flood detect命令用來關閉對指定IP地址的SYN-ACK flood攻擊防範檢測。
【命令】
syn-ack-flood detect { ip ipv4-address | ipv6 ipv6-address } [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo syn-ack-flood detect { ip ipv4-address | ipv6 ipv6-address }
【缺省情況】
未對任何指定IP地址配置SYN-ACK flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
threshold threshold-value:指定SYN-ACK flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的SYN-ACK報文數目,取值範圍為1~1000000。
action:設置對SYN-ACK flood攻擊的處理行為。若未指定本參數,則表示采用SYN-ACK flood攻擊防範的全局處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有SYN-ACK報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能SYN-ACK flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送SYN-ACK報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了SYN-ACK flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置SYN-ACK flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 開啟對IP地址192.168.1.2的SYN-ACK flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的SYN-ACK報文數持續達到或超過2000時,啟動SYN-ACK攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· syn-ack-flood action
· syn-ack-flood detect non-specific
· syn-ack-flood threshold
syn-ack-flood detect non-specific命令用來對所有非受保護IP地址開啟SYN-ACK flood攻擊防範檢測。
undo syn-ack-flood detect non-specific命令用來關閉對所有非受保護IP地址的SYN-ACK flood攻擊防範檢測。
【命令】
syn-ack-flood detect non-specific
undo syn-ack-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟SYN-ACK flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
對所有非受保護IP地址開啟SYN-ACK flood攻擊防範檢測後,設備將采用全局的閾值設置(由syn-ack-flood threshold或syn-ack-flood source-threshold命令設置)和處理行為(由syn-ack-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟UDP flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood detect non-specific
【相關命令】
· syn-ack flood action
· syn-ack-flood detect
· syn-ack-flood source-threshold
· syn-ack-flood threshold
syn-ack-flood threshold命令用來配置SYN-ACK flood攻擊防範基於目的IP統計的全局觸發閾值。
undo syn-ack-flood threshold命令用來恢複缺省情況。
【命令】
syn-ack-flood threshold threshold-value
undo syn-ack-flood threshold
【缺省情況】
SYN-ACK flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定向某IP地址每秒發送的SYN-ACK報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的SYN-ACK flood攻擊防範。
【使用指導】
使能SYN-ACK flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送SYN-ACK報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了SYN-ACK flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置SYN-ACK flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的SYN-ACK報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SYN-ACK flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的SYN-ACK報文數持續達到或超過100時,啟動SYN-ACK flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood threshold 100
【相關命令】
· syn-ack-flood action
· syn-ack-flood detect
· syn-ack-flood detect non-specific
syn-ack-flood source-threshold命令用來配置SYN-ACK flood攻擊防範基於源IP統計的全局觸發閾值。
undo syn-ack-flood source-threshold命令用來恢複缺省情況。
【命令】
syn-ack-flood source-threshold threshold-value
undo syn-ack-flood source-threshold
【缺省情況】
SYN-ACK flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的SYN-ACK報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的SYN-ACK flood攻擊防範。
【使用指導】
使能SYN-ACK flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發出的SYN-ACK報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了SYN-ACK flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SYN-ACK flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的SYN-ACK報文數持續達到或超過100時,啟動SYN-ACK flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood source-threshold 100
【相關命令】
· syn-ack-flood action
· syn-ack-flood detect
· syn-ack-flood detect non-specific
syn-flood action命令用來配置對SYN flood攻擊防範的全局處理行為。
undo syn-flood action命令用來恢複缺省情況。
【命令】
syn-flood action { drop | logging } *
undo syn-flood action
【缺省情況】
不對檢測到的SYN flood攻擊采取任何措施。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有SYN報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有SYN報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對SYN flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-flood action drop
【相關命令】
· syn-flood detect non-specific
· syn-flood detect
· syn-flood source-threshold
· syn-flood threshold
syn-flood detect命令用來開啟對指定IP地址的SYN flood攻擊防範檢測,並配置SYN flood攻擊防範檢測的觸發閾值和對SYN flood攻擊的處理行為。
undo syn-flood detect命令用來關閉對指定IP地址的SYN flood攻擊防範檢測。
【命令】
syn-flood detect { ip ipv4-address | ipv6 ipv6-address } [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo syn-flood detect { ip ipv4-address | ipv6 ipv6-address }
【缺省情況】
未對任何指定IP地址配置SYN flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
threshold threshold-value:指定SYN flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的SYN報文數目,取值範圍為1~1000000。
action:設置對SYN flood攻擊的處理行為。若未指定本參數,則表示采用SYN flood攻擊防範的全局處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有SYN報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能SYN flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送SYN報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了SYN flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置SYN flood攻擊防範檢測。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的SYN flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的SYN報文數持續達到或超過2000時,啟動SYN flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· syn-flood action
· syn-flood detect non-specific
· syn-flood threshold
syn-flood detect non-specific命令用來對所有非受保護IP地址開啟SYN flood攻擊防範檢測。
undo syn-flood detect non-specific命令用來關閉對所有非受保護IP地址的SYN flood攻擊防範檢測。
【命令】
syn-flood detect non-specific
undo syn-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟SYN flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
對所有非受保護IP地址開啟SYN flood攻擊防範檢測後,設備將采用全局的閾值設置(由syn-flood threshold或syn-flood source-threshold命令設置)和處理行為(由syn-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟SYN flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-flood detect non-specific
【相關命令】
· syn-flood action
· syn-flood detect
· syn-flood source-threshold
· syn-flood threshold
syn-flood threshold命令用來配置SYN flood攻擊防範基於目的IP統計的全局觸發閾值。
undo syn-flood threshold命令用來恢複缺省情況。
【命令】
syn-flood threshold threshold-value
undo syn-flood threshold
【缺省情況】
SYN flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定向某IP地址每秒發送的SYN報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的SYN flood攻擊防範。
【使用指導】
使能SYN flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送SYN報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了SYN flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置SYN flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的SYN報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SYN flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的SYN報文數持續達到或超過100時,啟動SYN flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-flood threshold 100
【相關命令】
· syn-flood action
· syn-flood detect
· syn-flood detect non-specific
syn-flood source-threshold命令用來配置SYN flood攻擊防範基於源IP統計的全局觸發閾值。
undo syn-flood source-threshold命令用來恢複缺省情況。
【命令】
syn-flood source-threshold threshold-value
undo syn-flood source-threshold
【缺省情況】
SYN flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的SYN報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP地址的SYN flood攻擊防範。
【使用指導】
使能SYN flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發出的SYN報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了SYN flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP地址發出報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置SYN flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到某IP地址每秒發送的SYN報文數持續達到或超過100時,啟動SYN flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-flood source-threshold 100
【相關命令】
· syn-flood action
· syn-flood detect
· syn-flood detect non-specific
threshold-learn apply命令用來立即應用最近一次的閾值學習結果。
【命令】
threshold-learn apply
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
在開啟閾值學習功能但沒有開啟閾值學習結果自動應用功能的攻擊防範策略中,可以通過執行該命令將最近一次的閾值學習結果作為泛洪攻擊防範的閾值。多次執行本命令,最後一次執行的命令生效。在閾值學習結果自動應用功能開啟時,此命令不生效。
該功能僅對非受保護IP地址也開啟攻擊防範檢測的泛洪攻擊類型生效。
【舉例】
# 在攻擊防範策略atk-policy-1中立即應用閾值學習功能上次的學習結果。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn apply
【相關命令】
· threshold-learn enable
threshold-learn auto-apply enable命令用來開啟閾值學習結果自動應用功能。
undo threshold-learn auto-apply enable命令用來關閉閾值學習結果自動應用功能。
【命令】
threshold-learn auto-apply enable
undo threshold-learn auto-apply enable
【缺省情況】
閾值學習結果自動應用功能處於關閉狀態。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
隻有在啟用閾值學習功能的攻擊防範策略中才可以應用閾值學習結果自動應用功能,且該功能僅對非受保護IP地址也開啟攻擊防範檢測的泛洪攻擊類型生效。啟用該功能後,係統會在每次完成閾值學習後根據閾值學習結果重新設置泛洪攻擊閾值,即泛洪攻擊閾值為學習值×(1+學習容忍度)。其中,學習值是設備在學習時長內實際網絡流量的峰值,學習容忍度則將學習值進行放大,從而避免在正常的峰值流量時造成合法流量的丟包。
通過執行threshold-learn enable命令可以啟用閾值學習功能;通過執行threshold-learn tolerance-value命令可以配置閾值學習功能的學習容忍度。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟閾值學習結果自動應用功能。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn auto-apply enable
【相關命令】
· threshold-learn enable
· threshold-learn tolerance-value
threshold-learn duration命令用來配置閾值學習時長。
undo threshold-learn duration命令用來恢複缺省情況。
【命令】
threshold-learn duration duration
undo threshold-learn duration
【缺省情況】
流量閾值學習時長為1440分鍾。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
duration:閾值學習時長,取值範圍為1~1200000,單位為分鍾。
【使用指導】
在應用已啟用了閾值學習功能的攻擊防範策略時,係統會自動開始進行閾值學習。建議學習時長設置大於1440分鍾(24小時),以確保設備學習到一整天的流量。如果在學習過程中修改了該值,則會重新開始學習。
【舉例】
# 在攻擊防範策略atk-policy-1中配置流量閾值學習時長為2880分鍾(48小時)。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn duration 2880
【相關命令】
· threshold-learn enable
· threshold-learn loop
threshold-learn enable命令用來開啟泛洪攻擊閾值學習功能。
undo threshold-learn enable命令用來關閉泛洪攻擊閾值學習功能。
【命令】
threshold-learn enable
undo threshold-learn enable
【缺省情況】
泛洪攻擊閾值學習功能處於關閉狀態。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
閾值是觸發係統執行防範動作的條件,閾值的設置是否合理將直接影響攻擊防範的效果。如果閾值設置過低,則可能造成正常流量被丟棄;而閾值設置過高,則可能在發生攻擊時係統不能及時啟動防範功能。因此,在配置泛洪攻擊防範時,為了合理設置閾值,建議啟用閾值學習功能。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟流量閾值學習功能。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn enable
【相關命令】
· threshold-learn auto-apply enable
· threshold-learn duration
threshold-learn interval命令用來配置閾值學習功能的學習間隔。
undo threshold-learn interval命令用來恢複缺省情況。
【命令】
threshold-learn interval interval
undo threshold-learn interval
【缺省情況】
閾值學習功能的學習間隔為1440分鍾。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
interval:閾值學習功能的學習間隔,取值範圍為1~1200000,單位為分鍾。
【使用指導】
若攻擊防範策略中啟用了閾值學習功能且學習模式為周期學習,則在應用該策略時,係統會根據學習間隔周期性地進行閾值學習。其中,學習間隔是指定從上次學習的結束時間到下次學習開始時間的間隔時間。通過執行threshold-learn enable命令可以啟用閾值學習功能;通過執行threshold-learn mode periodic命令可以配置閾值學習為周期學習模式。
【舉例】
# 在攻擊防範策略atk-policy-1中配置流量閾值學習周期間隔為120分鍾。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn interval 120
【相關命令】
· threshold-learn enable
· threshold-learn mode
threshold-learn mode命令用來配置閾值學習功能的學習模式。
undo threshold-learn mode命令用來恢複缺省情況。
【命令】
threshold-learn mode { once | periodic }
undo threshold-learn mode
【缺省情況】
閾值學習功能的學習模式為單次學習。
【視圖】
【缺省用戶角色】
【參數】
once:學習模式為單次學習。
periodic:學習模式為周期學習。
【使用指導】
閾值學習有單次學習和周期學習兩種學習模式:
· 單次學習:隻進行一次閾值學習。學習時長通過threshold-learnduration命令進行配置。對於網絡流量模型比較穩定的場景可以使用該模式。
· 周期學習:按配置的學習間隔進行周期性的學習。其中,每個周期中的學習時長通過threshold-learn duration命令進行配置,學習間隔通過threshold-learn interval命令進行配置。對於網絡流量模型易變化的場景可以使用該模式。
【舉例】
# 在攻擊防範策略atk-policy-1中配置流量閾值學習模式為周期學習。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn mode periodic
【相關命令】
· threshold-learn enable
· threshold-learn interval
threshold-learn tolerance-value命令用來配置閾值學習功能的學習容忍度。
undo threshold-learn tolerance-value命令用來恢複缺省情況。
【命令】
threshold-learn tolerance-value tolerance-value
undo threshold-learn tolerance-value
【缺省情況】
閾值學習功能的學習容忍度為50%。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
tolerance-value:學習容忍度,取值範圍為0~4000,單位為百分比。
【使用指導】
由於網絡中的流量是時刻變化的,因此將某個學習時長內學習所得的統計值作為防範閾值後,若網絡流量突然增大,可能會造成正常流量被丟棄。係統提供一個閾值容忍機製,它允許係統在將學習結果應用之前將閾值擴大指定的範圍,然後再應用到網路中。擴大後的閾值為學習值×(1+學習容忍度)。
容忍度機製可以使閾值學習功能更好的應對網絡流量的波動。隻有當閾值學習結果自動應用功能處於開啟狀態時,配置學習容忍度才生效。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟自動應用,設置容忍度為100。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn auto-apply enable
[Sysname-attack-defense-policy-atk-policy-1] threshold-learn tolerance-value 100
【相關命令】
· threshold-learn auto-apply enable
· threshold-learn enable
udp-flood action命令用來配置對UDP flood攻擊防範的全局處理行為。
undo udp-flood action命令用來恢複缺省情況。
【命令】
udp-flood action { drop | logging } *
undo udp-flood action
【缺省情況】
不對檢測到的UDP flood攻擊進行任何處理。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
drop:表示丟棄攻擊報文。對於基於源IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄源自攻擊者的後續所有UDP報文;對於基於目的IP統計的泛洪攻擊,設備檢測到攻擊發生後,將丟棄向被攻擊者發送的後續所有UDP報文。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
【使用指導】
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中配置對UDP flood攻擊防範的全局處理行為是丟棄後續報文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood action drop
【相關命令】
· udp-flood detect
· udp-flood detect non-specific
· udp-flood source-threshold
· udp-flood threshold
udp-flood detect命令用來開啟對指定IP地址的UDP flood攻擊防範檢測,並配置UDP flood攻擊防範檢測的觸發閾值和對UDP flood攻擊的處理行為。
undo udp-flood detect命令用來關閉對指定IP地址的UDP flood攻擊防範檢測。
【命令】
udp-flood detect { ip ipv4-address | ipv6 ipv6-address } [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo udp-flood detect { ip ipv4-address | ipv6 ipv6-address }
【缺省情況】
未對任何指定IP地址配置UDP flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:指定要保護的IPv4地址。該IPv4地址不能為255.255.255.255或0.0.0.0。
ipv6 ipv6-address:指定要保護的IPv6地址。該IPv6地址不能為組播地址或::。
threshold threshold-value:指定UDP flood攻擊防範基於目的IP統計的觸發閾值。其中,threshold-value為向指定IP地址每秒發送的UDP報文數目,取值範圍為1~1000000,則表示采用UDP flood攻擊防範的全局處理行為。
action:設置對UDP flood攻擊的處理行為。若未指定本參數,則表示采用UDP flood攻擊防範的全局處理行為。
drop:表示丟棄攻擊報文,即設備檢測到攻擊發生後,向被攻擊者發送的後續所有UDP報文都會被丟棄。
logging:表示輸出告警日誌,即設備檢測到攻擊發生時,生成告警信息,生成的告警信息將被發送到日誌係統。
none:表示不采取任何動作。
【使用指導】
使能UDP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向指定IP地址發送UDP報文的速率持續達到或超過了觸發閾值時,即認為該IP地址受到了UDP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
每個攻擊防範策略下可以同時對多個IP地址配置UDP flood攻擊防範參數。
輸出告警日誌功能開啟後,設備生成的告警日誌信息不會輸出到控製台和監視終端,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“設備管理命令參考”中的“信息中心”。
【舉例】
# 在攻擊防範策略atk-policy-1中開啟對IP地址192.168.1.2的UDP flood攻擊防範檢測,並指定觸發閾值為2000。當設備監測到向該IP地址每秒發送的UDP報文數持續達到或超過2000時,啟動UDP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood detect ip 192.168.1.2 threshold 2000
【相關命令】
· udp-flood action
· udp-flood detect non-specific
· udp-flood threshold
udp-flood detect non-specific命令用來對所有非受保護IP地址開啟UDP flood攻擊防範檢測。
undo udp-flood detect non-specific命令用來關閉對所有非受保護IP地址的UDP flood攻擊防範檢測。
【命令】
udp-flood detect non-specific
undo udp-flood detect non-specific
【缺省情況】
未對任何非受保護IP地址開啟UDP flood攻擊防範檢測。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【使用指導】
對所有非受保護IP地址開啟UDP flood攻擊防範檢測後,設備將采用全局的閾值設置(由udp-flood threshold或udp-flood source-threshold命令設置)和處理行為(由udp-flood action命令配置)對這些IP地址進行保護或防禦。
【舉例】
# 在攻擊防範策略atk-policy-1中,對所有非受保護IP地址開啟UDP flood攻擊防範檢測。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood detect non-specific
【相關命令】
· udp-flood action
· udp-flood detect
· udp-flood source-threshold
· udp-flood threshold
udp-flood threshold命令用來配置UDP flood攻擊防範基於目的IP統計的全局觸發閾值。
undo udp-flood threshold命令用來恢複缺省情況。
【命令】
udp-flood threshold threshold-value
undo udp-flood threshold
【缺省情況】
UDP flood攻擊防範基於目的IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定向某IP地址每秒發送的UDP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於目的IP地址的UDP flood攻擊防範。
【使用指導】
使能UDP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到向某IP地址發送UDP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址受到了UDP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到向該服務器發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
對於未專門配置UDP flood攻擊防範檢測的IP地址,設備采用全局的閾值設置來進行保護。閾值的取值需要根據實際網絡應用場景進行調整,對於正常情況下到被保護對象(HTTP服務器或者FTP服務器)的UDP報文流量較大的應用場景,建議調大觸發閾值,以免閾值太小對正常的業務流量造成影響;對於網絡狀況較差,且對攻擊流量比較敏感的場景,可以適當調小觸發閾值。
【舉例】
# 在攻擊防範策略atk-policy-1中配置UDP flood攻擊防範的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的UDP報文數持續達到或超過100時,啟動UDP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood threshold 100
【相關命令】
· udp-flood action
· udp-flood detect
· udp-flood detect non-specific
· udp-flood source-threshold
udp-flood source-threshold命令用來配置UDP flood攻擊防範基於源IP統計的全局觸發閾值。
undo udp-flood source-threshold命令用來恢複缺省情況。
【命令】
udp-flood source-threshold threshold-value
undo udp-flood source-threshold
【缺省情況】
UDP flood攻擊防範基於源IP統計的全局觸發閾值為10000。
【視圖】
攻擊防範策略視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:指定每秒接收到從某IP地址發出的UDP報文數目,取值範圍為0~1000000,當設置為0時,表示關閉基於源IP統計的UDP flood攻擊防範。
【使用指導】
使能UDP flood攻擊防範後,設備處於攻擊檢測狀態,當它監測到某IP地址發送UDP報文的速率持續達到或超過了該觸發閾值時,即認為該IP地址發起了UDP flood攻擊,則進入攻擊防範狀態,並根據配置啟動相應的防範措施。此後,當設備檢測到該IP發送報文的速率低於恢複閾值(觸發閾值的3/4)時,即認為攻擊結束,則由攻擊防範狀態恢複為攻擊檢測狀態,並停止執行防範措施。
【舉例】
# 在攻擊防範策略atk-policy-1中配置UDP flood攻擊防範基於源IP統計的全局觸發閾值為100,即當設備監測到向某IP地址每秒發送的UDP報文數持續達到或超過100時,啟動UDP flood攻擊防範。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood source-threshold 100
【相關命令】
· udp-flood action
· udp-flood detect
· udp-flood detect non-specific
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
