- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-攻击检测与防范命令
本章节下载: 03-攻击检测与防范命令 (556.03 KB)
目 录
1.1.3 ack-flood detect non-specific
1.1.5 attack-defense local apply policy
1.1.6 attack-defense login reauthentication-delay
1.1.8 attack-defense signature log non-aggregate
1.1.9 attack-defense tcp fragment enable
1.1.10 display attack-defense flood statistics ip
1.1.11 display attack-defense policy
1.1.12 display attack-defense policy ip
1.1.13 display attack-defense scan attacker ip
1.1.14 display attack-defense scan victim ip
1.1.15 display attack-defense statistics local
1.1.18 dns-flood detect non-specific
1.1.23 fin-flood detect non-specific
1.1.27 http-flood detect non-specific
1.1.32 icmp-flood detect non-specific
1.1.34 reset attack-defense policy flood
1.1.35 reset attack-defense statistics local
1.1.38 rst-flood detect non-specific
1.1.41 signature large-icmp max-length
1.1.47 syn-ack-flood detect non-specific
1.1.48 syn-ack-flood threshold
1.1.51 syn-flood detect non-specific
ack-flood action命令用来配置ACK flood攻击防范的全局处理行为。
undo ack-flood action命令用来恢复缺省情况。
【命令】
ack-flood action { drop | logging } *
undo ack-flood action
【缺省情况】
不对检测到的ACK flood攻击采取任何措施。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有ACK报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
【举例】
# 在攻击防范策略atk-policy-1中配置ACK flood攻击防范的全局处理行为是丢弃后续报文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] ack-flood action drop
【相关命令】
· ack-flood threshold
· ack-flood detect
· ack-flood detect non-specific
ack-flood detect命令用来开启对指定IP地址的ACK flood攻击防范检测,并配置ACK flood攻击防范的触发阈值和对ACK flood攻击的处理行为。
undo ack-flood detect命令用来关闭对指定IP地址的ACK flood攻击防范检测。
【命令】
ack-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo ack-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ]
【缺省情况】
未对任何指定IP地址开启ACK flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为全1地址或全0地址。
vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。
threshold threshold-value:指定ACK flood攻击防范的触发阈值。其中,threshold-value为向指定IP地址每秒发送的ACK报文数目,取值范围为1~1000000。
action:设置对ACK flood攻击的处理行为。若未指定本参数,则表示采用ACK flood攻击防范的全局处理行为。
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有ACK报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
none:表示不采取任何动作。
【使用指导】
使能ACK flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送ACK报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了ACK flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
每个攻击防范策略下可以同时对多个IP地址配置ACK flood攻击防范检测。
【举例】
# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的ACK flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的ACK报文数持续达到或超过2000时,启动ACK flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] ack-flood detect ip 192.168.1.2 threshold 2000
【相关命令】
· ack-flood action
· ack-flood detect non-specific
· ack-flood threshold
ack-flood detect non-specific命令用来对所有非受保护IP地址开启ACK flood攻击防范检测。
undo ack-flood detect non-specific命令用来关闭对所有非受保护IP地址的ACK flood攻击防范检测。
【命令】
ack-flood detect non-specific
undo ack-flood detect non-specific
【缺省情况】
未对任何非受保护IP地址开启ACK flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【使用指导】
对所有未配置具体攻击防范策略的IP地址开启ACK flood攻击防范检测后,设备将采用全局的阈值设置(由ack-flood threshold命令设置)和处理行为(由ack-flood action命令配置)对这些IP地址进行保护。
【举例】
# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启ACK flood攻击防范检测。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] ack-flood detect non-specific
【相关命令】
· ack-flood action
· ack-flood detect
· ack-flood threshold
ack-flood threshold命令用来配置ACK flood攻击防范的全局触发阈值。
undo ack-flood threshold命令用来恢复缺省情况。
【命令】
ack-flood threshold threshold-value
undo ack-flood threshold
【缺省情况】
ACK flood攻击防范的全局触发阈值为1000。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
threshold-value:指定向某IP地址每秒发送的ACK报文数目,取值范围为1~1000000。
【使用指导】
使能ACK flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送ACK报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了ACK flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
对于未专门配置ACK flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的ACK报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。
【举例】
# 在攻击防范策略atk-policy-1中配置ACK flood攻击防范的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的ACK报文数持续达到或超过100时,启动ACK flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] ack-flood threshold 100
【相关命令】
· ack-flood action
· ack-flood detect
· ack-flood detect non-specific
attack-defense local apply policy命令用来在本机应用安全攻击防范策略。
undo attack-defense local apply policy命令用来恢复缺省情况。
【命令】
attack-defense local apply policy policy-name
undo attack-defense local apply policy
【缺省情况】
本机未应用任何攻击防范策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:攻击防范策略名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。
【使用指导】
通过在本机应用攻击防范策略,使已配置的攻击防范策略对目的地址为本机的报文生效。
缺省情况下设备将需要转发的报文下发给硬件转发,只有目的地址是本机的报文才会由软件处理,但软件没有攻击防范功能。为处理针对本机的攻击,需要通过在本机上应用攻击防范策略来实现。
本机只能应用一个攻击防范策略(可多次配置,最后一次配置的有效)。
【举例】
# 在本机应用攻击防范策略atk-policy-1。
<Sysname> system-view
[Sysname] attack-defense local apply policy atk-policy-1
【相关命令】
· attack-defense policy
· display attack-defense policy
attack-defense login reauthentication-delay命令用来配置Login用户登录失败后重新进行认证的等待时长。
undo attack-defense login reauthentication-delay命令用来恢复缺省情况。
attack-defense login reauthentication-delay seconds
undo attack-defense login reauthentication-delay
【缺省情况】
Login用户登录失败后重新进行认证不需要等待。
系统视图
network-admin
【参数】
seconds:设备管理用户登录失败后重新进行认证的等待时长,取值范围为4~60,单位为秒。
【使用指导】
Login用户登录失败后,若设备上配置了重新进行认证的等待时长,则系统将会延迟一定的时长之后再允许用户进行认证,可以避免设备受到字典式攻击。
# 配置Login用户登录失败后重新进行认证的等待时长为5秒钟。
[Sysname] attack-defense login reauthentication-delay 5
attack-defense policy命令用来创建一个攻击防范策略,并进入攻击防范策略视图。如果指定的攻击防范策略已经存在,则直接进入攻击防范策略视图。
undo attack-defense policy命令用来删除指定的攻击防范策略。
【命令】
attack-defense policy policy-name
undo attack-defense policy policy-name
【缺省情况】
不存在任何攻击防范策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:攻击防范策略名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。
【举例】
# 创建攻击防范策略atk-policy-1,并进入攻击防范策略视图。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1]
【相关命令】
· display attack-defense policy
attack-defense signature log non-aggregate命令用来指定对单包攻击防范日志非聚合输出。
undo attack-defense signature log non-aggregate命令用来恢复缺省情况。
【命令】
attack-defense signature log non-aggregate
undo attack-defense signature log non-aggregate
【缺省情况】
单包攻击防范的日志信息经系统聚合后再输出。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
对日志进行聚合输出是指,在一定时间内,对在本机上检测到的相同攻击类型、相同攻击防范动作、相同的源/目的地址以及属于相同VPN的单包攻击的所有日志聚合成一条日志输出。通常不建议开启单包攻击防范的日志非聚合输出功能,因为在单包攻击较为频繁的情况下,它会导致大量日志信息输出,占用控制台的显示资源。
【举例】
# 开启对单包攻击防范日志的非聚合输出功能。
<Sysname> system-view
[Sysname] attack-defense signature log non-aggregate
【相关命令】
· signature detect
attack-defense tcp fragment enable命令用来开启TCP分片攻击防范功能。
undo attack-defense tcp fragment enable命令用来关闭TCP分片攻击防范功能。
【命令】
attack-defense tcp fragment enable
undo attack-defense tcp fragment enable
【缺省情况】
TCP分片攻击防范功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
设备的包过滤功能一般是通过判断TCP首个分片中的五元组(源IP地址、源端口号、目的IP地址、目的端口号、传输层协议号)信息来决定后续TCP分片是否允许通过。RFC 1858对TCP分片报文进行了规定,认为TCP分片报文中,首片报文中TCP报文长度小于20字节,或后续分片报文中分片偏移量等于8字节的报文为TCP分片攻击报文。这类报文可以成功绕过上述包过滤功能,对设备造成攻击。为防止这类攻击,可以在设备上开启TCP分片攻击防范功能,对TCP分片攻击报文进行丢弃。
如果设备上开启了TCP分片攻击防范功能,并应用了单包攻击防范策略,则TCP分片攻击防范功能会先于单包攻击防范策略检测并处理入方向的TCP报文。
【举例】
# 开启TCP分片攻击防范功能。
<Sysname> system-view
[Sysname] attack-defense tcp fragment enable
display attack-defense flood statistics ip命令用来显示IPv4 flood攻击防范统计信息。
【命令】
display attack-defense { ack-flood | dns-flood | fin-flood | flood | http-flood | icmp-flood | rst-flood | syn-ack-flood | syn-flood | udp-flood } statistics ip [ ip-address [ vpn vpn-instance-name ] ] [ [ local ] [ slot slot-number ] ] [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ack-flood:显示ACK flood攻击防范统计信息。
dns-flood:显示DNS flood攻击防范统计信息。
fin-flood:显示FIN flood攻击防范统计信息。
flood:显示所有类型的IPv4 flood攻击防范统计信息。
http-flood:显示HTTP flood攻击防范统计信息。
icmp-flood:显示ICMP flood攻击防范统计信息。
rst-flood:显示RST flood攻击防范统计信息。
syn-ack-flood:显示SYN-ACK flood攻击防范统计信息。
syn-flood:显示SYN flood攻击防范统计信息。
udp-flood:显示UDP flood攻击防范统计信息。
ip-address:显示指定目的IPv4地址的flood攻击防范统计信息。若未指定本参数,则显示所有目的IPv4地址的flood攻击防范统计信息。
vpn-instance vpn-instance-name:指定IPv4地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该IPv4地址属于公网。
local:显示本机上进行检测的flood攻击防范统计信息。
slot slot-number:指定设备编号,取值只能为1。
count:显示符合指定条件的被进行flood攻击检测的IPv4地址数目。
【使用指导】
由于flood攻击不关心源地址,因此本命令显示的是对指定目的IPv4地址的攻击防范统计信息。
若未指定local参数,则显示本机上的flood攻击防范统计信息。
【举例】
# 显示所有类型的IPv4 flood攻击防范统计信息。
<Sysname> display attack-defense flood statistics ip
slot 1:
IP address VPN Detected on Detect type State PPS Dropped
201.55.7.44 -- Local DNS-FLOOD Normal 1000 111111111
192.168.11.4 -- Local ACK-FLOOD Normal 1000 22222222
slot 2:
IP address VPN Detected on Detect type State PPS Dropped
192.168.100.66 -- Local SYN-ACK-FLOOD Normal 1000 165467998
# 显示所有类型的flood攻击检测的IPv4地址数目。
<Sysname> display attack-defense flood statistics ip count
Slot 1:
Totally 2 flood entries.
Slot 2:
Totally 1 flood entries.
表1-1 display attack-defense flood statistics ip命令显示信息描述表
|
字段 |
描述 |
|
IP address |
被检测的目的IPv4地址 |
|
VPN |
目的IPv4地址所属的MPLS L3VPN实例名称,属于公网时显示为“--” |
|
Detected on |
进行攻击检测的位置,即本机(Local) |
|
Detect type |
检测的flood攻击类型 |
|
State |
本机是否处于攻击状态,可包括以下取值: · Attacked:受攻击状态 · Normal:正常状态(当前并未受到攻击) |
|
PPS |
指定的目的IPv4地址收到flood攻击报文的速率(单位为报文每秒) |
|
Dropped |
本机丢弃的flood攻击报文数目 |
|
Totally 2 flood entries |
被检测的IPv4地址数目 |
display attack-defense policy用来显示攻击防范策略的配置信息。
【命令】
display attack-defense policy [ policy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
policy-name:攻击防范策略名称,为1~31个字符的字符串,包括英文大/小写字母、数字、下划线和连字符,不区分大小写。若未指定本参数,则表示显示所有攻击防范策略的摘要信息。
【使用指导】
本命令显示的内容主要包括各类型攻击防范的使能情况、对攻击报文的处理方式和相关的阈值参数。
【举例】
# 显示指定攻击防范策略abc的配置信息。
<Sysname> display attack-defense policy abc
Attack-defense Policy Information
--------------------------------------------------------------------------
Policy name : abc
Applied list : Local
--------------------------------------------------------------------------
Actions: CV-Client verify BS-Block source L-Logging D-Drop N-None
Signature attack defense configuration:
Signature name Defense Level Actions
Fragment Enabled Info L
Impossible Enabled Info L
Teardrop Disabled Info L
Tiny fragment Disabled Info L
IP option abnormal Disabled Info L
Smurf Disabled Info N
Traceroute Disabled Medium L,D
Ping of death Disabled Low L
Large ICMP Disabled Medium L,D
Max length 4000 bytes
TCP invalid flags Disabled medium L,D
TCP null flag Disabled Low L
TCP all flags Enabled Info L
TCP SYN-FIN flags Disabled Info L
TCP FIN only flag Enabled Info L
TCP Land Disabled Info L
Winnuke Disabled Info L
UDP Bomb Disabled Info L
UDP Snork Disabled Info L
UDP Fraggle Enabled Info L
IP option record route Disabled Info L
IP option internet timestamp Enabled Info L
IP option security Disabled Info L
IP option loose source routing Enabled Info L
IP option stream ID Disabled Info L
IP option strict source routing Disabled Info L
IP option route alert Disabled Info L
ICMP echo request Disabled Info L
ICMP echo reply Disabled Info L
ICMP source quench Disabled Info L
ICMP destination unreachable Enabled Info L
ICMP redirect Enabled Info L
ICMP time exceeded Enabled Info L
ICMP parameter problem Disabled Info L
ICMP timestamp request Disabled Info L
ICMP timestamp reply Disabled Info L
ICMP information request Disabled Info L
ICMP information reply Disabled Medium L,D
ICMP address mask request Disabled Medium L,D
ICMP address mask reply Disabled Medium L,D
Scan attack defense configuration:
Defense: Disabled
Level: Medium
Actions: L
Flood attack defense configuration:
Flood type Global thres(pps) Global actions Service ports Non-specific
SYN flood 1000(default) - - Disabled
ACK flood 1000(default) - - Enabled
SYN-ACK flood 1000(default) - - Disabled
RST flood 200 - - Enabled
FIN flood 1000(default) L,D - Disabled
UDP flood 1000(default) - - Disabled
ICMP flood 1000(default) - - Disabled
DNS flood 10000 - 30,61 to 62 Enabled
HTTP flood 10000 - 80,8080 Enabled
Flood attack defense for protected IP addresses:
Address VPN instance Flood type Thres(pps) Actions Ports
1::1 -- FIN-FLOOD 10 L,D -
192.168.1.1 -- SYN-ACK-FLOOD 10 - -
1::1 -- FIN-FLOOD - L -
2013:2013:2013:2013: -- DNS-FLOOD 100 L,CV 53
2013:2013:2013:2013
表1-2 display attack-defense policy命令显示信息描述表
|
字段 |
描述 |
|
Policy name |
攻击防范策略名称 |
|
Applied list |
攻击防范策略应用的对象列表,包括本机(Local) |
|
Actions |
攻击防范的处理行为,包括以下取值: · L:输出告警日志 · D:丢弃报文 · N:不采用任何处理行为 |
|
Signature attack defense configuration |
单包攻击防范配置信息 |
|
Signature name |
单包的类型 |
|
Defense |
攻击防范的开启状态,包括以下取值: Enabled:开启 Disabled:关闭 |
|
Level |
单包攻击的级别,包括以下取值: · Info: 提示级别 · low:低级别 · medium:中级别 · high:高级别(目前暂无实例) |
|
IP option record route |
IP 选项record route攻击 |
|
IP option security |
IP 选项security攻击 |
|
IP option stream ID |
IP 选项stream identifier攻击 |
|
IP option internet timestamp |
IP 选项 internet timestamp攻击 |
|
IP option loose source routing |
IP 选项loose source routing攻击 |
|
IP option strict source routing |
IP 选项strict source routing攻击 |
|
IP option abnormal |
IP 选项异常攻击 |
|
IP option route alert |
IP 选项route alert攻击 |
|
Fragment |
IP分片异常攻击 |
|
IP impossible |
IP impossible攻击 |
|
Tiny fragment |
IP tiny fragment攻击 |
|
Teardrop |
IP teardrop攻击,又称IP overlapping fragments |
|
Large ICMP |
Large ICMP攻击 |
|
Max length |
ICMP报文所允许的最大长度 |
|
Smurf |
Smurf攻击 |
|
Traceroute |
Traceroute攻击 |
|
Ping of death |
Ping of death攻击 |
|
ICMP echo request |
ICMP echo request攻击 |
|
ICMP echo reply |
ICMP echo reply攻击 |
|
ICMP source quench |
ICMP source quench攻击 |
|
ICMP redirect |
ICMP redirect攻击 |
|
ICMP parameter problem |
ICMP parameter problem攻击 |
|
ICMP timestamp request |
ICMP timestamp request攻击 |
|
ICMP timestamp reply |
ICMP timestamp reply攻击 |
|
ICMP information request |
ICMP information request攻击 |
|
ICMP information reply |
ICMP information reply攻击 |
|
ICMP address mask request |
ICMP address mask request攻击 |
|
ICMP address mask reply |
ICMP address mask reply攻击 |
|
ICMP destination unreachable |
ICMP destination unreachable攻击 |
|
ICMP time exceeded |
ICMP time exceeded攻击 |
|
Winnuke |
Winnuke攻击 |
|
TCP Land |
Land攻击 |
|
TCP NULL flag |
TCP NULL flag攻击 |
|
TCP invalid flags |
TCP invalid flags攻击 |
|
TCP all flags |
TCP所有标志位均被置位攻击,又称圣诞树攻击 |
|
TCP SYN-FIN flags |
TCP SYN和FIN被同时置位攻击 |
|
TCP FIN only flag |
TCP 只有FIN被置位的攻击 |
|
Fraggle |
Fraggle攻击,又称UDP chargen DoS attack |
|
UDP Bomb |
UDP Bomb攻击 |
|
Snork |
Snork攻击 |
|
Scan attack defense configuration |
扫描攻击防范配置信息 |
|
Level |
扫描攻击的级别,包括以下取值: · low:低级别 · medium:中级别 · high:高级别 |
|
Flood attack defense configuration |
flood攻击防范配置信息 |
|
Flood type |
flood攻击类型,包括以下取值: · ACK flood · DNS flood · FIN flood · ICMP flood · SYN flood · SYN-ACK flood · UDP flood · RST flood · HTTP flood |
|
Global thres(pps) |
flood攻击防范的全局触发阈值,单位为每秒报文数,默认值为1000pps |
|
Global actions |
flood攻击防范的全局处理行为,包括以下取值: · D:丢弃报文 · L:输出告警日志, · -:未配置 |
|
Service ports |
flood攻击防范的全局检测端口号。该字段只对DNS flood攻击防范和HTTP flood攻击防范生效,对于其它flood攻击防范,显示为“-” |
|
Non-specific |
对非受保护IP地址开启SYN flood攻击防范检测的状态 |
|
Flood attack defense for protected IP addresses |
对受保护IP地址的flood攻击防范配置 |
|
Address |
指定的IP地址 |
|
VPN instance |
所属的VPN实例名称,未配置时显示为“--” |
|
Thres(pps) |
攻击防范检测的触发阈值,单位为报文每秒,未配置时显示为“-” |
|
Ports |
Flood攻击防范的检测端口号。该字段只对DNS flood攻击防范和HTTP flood攻击防范生效,对于其他攻击防范,显示为“-” |
# 显示所有攻击防范策略的概要配置信息。
<Sysname> display attack-defense policy
Attack-defense Policy Brief Information
------------------------------------------------------------
Policy Name Applied list
P2 None
p1 Local
p12 Local
表1-3 display attack-defense policy命令显示信息描述表
|
字段 |
描述 |
|
Policy Name |
攻击防范策略名称 |
|
Applied list |
攻击防范策略应用的对象列表,包括本机(Local) |
【相关命令】
· attack-defense policy
display attack-defense policy ip命令用来显示flood攻击防范的IPv4类型的受保护IP表项。
【命令】
display attack-defense policy policy-name { ack-flood | dns-flood | fin-flood | flood | http-flood | icmp-flood | rst-flood | syn-ack-flood | syn-flood | udp-flood } ip [ ip-address [ vpn vpn-instance-name ] ] [ slot slot-number ] [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
policy-name:攻击防范策略名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。
ack-flood:显示ACK flood攻击防范受保护IP表项。
dns-flood:显示DNS flood攻击防范受保护IP表项。
fin-flood:显示FIN flood攻击防范受保护IP表项。
flood:显示所有类型的flood攻击防范受保护IP表项。
http-flood:显示HTTP flood攻击防范受保护IP表项。
icmp-flood:显示ICMP flood攻击防范受保护IP表项。
rst-flood:显示RST flood攻击防范受保护IP表项。
syn-ack-flood:显示SYN-ACK flood攻击防范受保护IP表项。
syn-flood:显示SYN flood攻击防范受保护IP表项。
udp-flood:显示UDP flood攻击防范受保护IP表项。
ip ip-address:显示指定IPv4地址的受保护IP表项。若未指定ip-address参数,则表示显示所有IPv4类型的受保护IP表项。
vpn-instance vpn-instance-name:显示指定VPN实例的受保护IP表项。其中vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示显示指公网的受保护IP表项。
slot slot-number:指定设备编号,取值只能为1。
count:显示符合指定条件的flood受保护IP表项的数目。
【举例】
# 显示指定攻击防范策略abc中所有flood攻击防范的IPv4类型受保护IP表项的信息。
<Sysname> display attack-defense policy abc flood ip
Slot 1:
IP address VPN instance Type Rate threshold(PPS) Dropped
123.123.123.123 -- SYN-ACK-FLOOD 100 4294967295
201.55.7.45 -- ICMP-FLOOD 100 10
192.168.11.5 -- DNS-FLOOD 23 100
Slot 2:
IP address VPN instance Type Rate threshold(PPS) Dropped
# 显示指定攻击防范策略abc中所有IPv4类型flood受保护IP表项的个数。
<Sysname> display attack-defense policy abc flood ip count
Slot 1:
Totally 3 flood protected IP addresses.
Slot 2:
Totally 0 flood protected IP addresses.
表1-4 display attack-defense flood ip命令显示信息描述表
|
字段 |
描述 |
|
Totally 3 flood protected IP addresses |
IPv4类型受保护IP表项数目 |
|
IP address |
受保护的IPv4地址 |
|
VPN instance |
受保护的IPv4地址所属的MPLS L3VPN实例名称,未指定时显示为“--” |
|
Type |
flood攻击类型 |
|
Rate threshold(PPS) |
配置的flood攻击防范触发阈值(单位为报文每秒),未配置时显示“-” |
|
Dropped |
检测到flood攻击后的丢包数,若只输出日志该项显示为0 |
display attack-defense scan attacker ip命令用来显示扫描攻击者的IPv4地址表项。
【命令】
display attack-defense scan attacker ip [ [ local ] [ slot slot-number ] ] [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
local:显示本机检测到的扫描攻击者IPv4地址表项。
slot slot-number:指定设备编号,取值只能为1。
count:显示符合指定条件的当前扫描攻击者的IPv4地址表项数目。
【使用指导】
若未指定任何参数,则表示显示所有扫描攻击者的IPv4地址表项。
【举例】
# 显示所有扫描攻击者的IPv4地址表项。
<Sysname> display attack-defense scan attacker ip
Slot 1:
IP address VPN instance DS-Lite tunnel peer Detected on Duration(min)
192.68.11.2 -- -- Local 782
# 显示所有扫描攻击者的IPv4地址表项的个数。
<Sysname> display attack-defense scan attacker ip count
Slot 1:
Totally 3 attackers.
Slot 2:
Totally 2 attackers.
表1-5 display attack-defense scan attacker ip命令显示信息描述表
|
字段 |
描述 |
|
Totally 3 attackers |
扫描攻击者的数目 |
|
IP address |
发起攻击的IPv4地址 |
|
VPN instance |
所属的MPLS L3VPN实例名称,属于公网时显示为“--” |
|
DS-Lite tunnel peer |
DS-Lite隧道对端地址。DS-Lite组网下,若本设备为AFTR,此列表示报文来自具体的哪个B4,如果不在DS-Lite组网或本设备不为AFTR,则该字段无意义,显示为“--” |
|
Detected on |
进行攻击检测的位置,即本机(Local) |
|
Duration(min) |
检测到攻击持续的时间,单位为分钟 |
【相关命令】
· display attack-defense scan victim ip
· scan detect
display attack-defense scan victim ip命令用来显示扫描攻击被攻击者的IPv4地址表项。
【命令】
display attack-defense scan victim ip [ [ local ] [ slot slot-number ] ] [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
local:显示本机检测到的被攻击者的IPv4地址表项。
slot slot-number:指定设备编号,取值只能为1。
count:显示符合指定条件的被攻击者的IPv4地址表项数目。
【使用指导】
若未指定任何参数,则表示显示所有扫描攻击的被攻击者的IPv4地址表项。
【举例】
# 显示扫描攻击的被攻击者的IPv4地址表项。
<Sysname> display attack-defense scan victim ip
Slot 1:
IP address VPN instance Detected on Duration(min)
192.168.24.82 -- Local 782
Slot 2:
IP address VPN instance Detected on Duration(min)
# 显示扫描攻击的被攻击者的IPv4地址表项的个数。
<Sysname> display attack-defense scan victim ip count
Slot 1:
Totally 3 victim IP addresses.
Slot 2:
Totally 0 victim IP addresses.
表1-6 display attack-defense scan victim ip命令显示信息描述表
|
字段 |
描述 |
|
Totally 3 victim IP addresses |
被攻击者的数目 |
|
IP address |
被攻击的IPv4地址 |
|
VPN instance |
所属的MPLS L3VPN实例名称,属于公网时显示为“--” |
|
Detected on |
进行攻击检测的位置,即本机(Local) |
|
Duration(min) |
检测到被攻击的持续时间,单位为分钟 |
【相关命令】
· display attack-defense scan attacker ip
· scan detect
display attack-defense statistics local命令用来显示本机攻击防范的统计信息。
【命令】
display attack-defense statistics local [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定设备编号,取值只能为1。
【举例】
# 显示本机攻击防范统计信息。
<Sysname> display attack-defense statistics local
Attack policy name: abc
Slot 1:
Scan attack defense statistics:
AttackType AttackTimes Dropped
Port scan 2 23
IP sweep 3 33
Distribute port scan 1 10
Flood attack defense statistics:
AttackType AttackTimes Dropped
SYN flood 1 0
ACK flood 1 0
SYN-ACK flood 3 5000
RST flood 2 0
FIN flood 2 0
UDP flood 1 0
ICMP flood 1 0
DNS flood 1 0
HTTP flood 1 0
Signature attack defense statistics:
AttackType AttackTimes Dropped
IP option record route 1 100
IP option security 2 0
IP option stream ID 3 0
IP option internet timestamp 4 1
IP option loose source routing 5 0
IP option strict source routing 6 0
IP option route alert 3 0
Fragment 1 0
Impossible 1 1
Teardrop 1 1
Tiny fragment 1 0
IP options abnormal 3 0
Smurf 1 0
Ping of death 1 0
Traceroute 1 0
Large ICMP 1 0
TCP NULL flag 1 0
TCP all flags 1 0
TCP SYN-FIN flags 1 0
TCP FIN only flag 1 0
TCP invalid flag 1 0
TCP Land 1 0
Winnuke 1 0
UDP Bomb 1 0
Snork 1 0
Fraggle 1 0
ICMP echo request 1 0
ICMP echo reply 1 0
ICMP source quench 1 0
ICMP destination unreachable 1 0
ICMP redirect 2 0
ICMP time exceeded 3 0
ICMP parameter problem 4 0
ICMP timestamp request 5 0
ICMP timestamp reply 6 0
ICMP information request 7 0
ICMP information reply 4 0
ICMP address mask request 2 0
ICMP address mask reply 1 0
Slot 2:
Scan attack defense statistics:
AttackType AttackTimes Dropped
Port scan 4 46
IP sweep 2 28
Distribute port scan 1 10
Flood attack defense statistics:
AttackType AttackTimes Dropped
SYN flood 1 0
ACK flood 1 0
SYN-ACK flood 2 4200
RST flood 2 0
FIN flood 2 20
UDP flood 1 0
ICMP flood 1 0
DNS flood 1 0
HTTP flood 1 0
Signature attack defense statistics:
AttackType AttackTimes Dropped
IP option record route 2 230
IP option security 2 0
IP option stream ID 3 0
IP option internet timestamp 4 1
IP option loose source routing 5 0
IP option strict source routing 2 0
IP option route alert 3 12
Fragment 1 0
Impossible 1 1
Teardrop 1 1
Tiny fragment 1 0
IP options abnormal 3 0
Smurf 1 0
Ping of death 1 0
Traceroute 1 0
Large ICMP 1 0
TCP NULL flag 1 0
TCP all flags 1 0
TCP SYN-FIN flags 1 0
TCP FIN only flag 1 0
TCP invalid flag 1 0
TCP Land 1 0
Winnuke 1 0
UDP Bomb 1 0
Snork 1 0
Fraggle 1 0
ICMP echo request 1 0
ICMP echo reply 1 0
ICMP source quench 1 0
ICMP destination unreachable 1 0
ICMP redirect 2 3
ICMP time exceeded 3 0
ICMP parameter problem 4 0
ICMP timestamp request 5 0
ICMP timestamp reply 6 0
ICMP information request 7 0
ICMP information reply 4 0
ICMP address mask request 2 0
ICMP address mask reply 1 0
表1-7 display attack-defense statistics local命令显示信息描述表
|
字段 |
描述 |
|
AttackType |
攻击类型 |
|
AttackTimes |
受到攻击的次数 |
|
Dropped |
丢弃报文的数目 |
|
Port scan |
端口扫描攻击,当AttackTimes为0时,该列不显示 |
|
IP Sweep |
IP扫描攻击,当AttackTimes为0时,该列不显示 |
|
Distribute port scan |
分布式端口扫描攻击,当AttackTimes为0时,该列不显示 |
|
SYN flood |
SYN flood攻击,当AttackTimes 为0时,该列不显示 |
|
ACK flood |
ACK flood攻击,当AttackTimes 为0时,该列不显示 |
|
SYN-ACK flood |
SYN-ACK flood攻击,当AttackTimes为0时,该列不显示 |
|
RST flood |
RST flood攻击,当AttackTimes为0时,该列不显示 |
|
FIN flood |
FIN flood攻击,当AttackTimes为0时,该列不显示 |
|
UDP flood |
UDP flood 攻击,当AttackTimes为0时,该列不显示 |
|
ICMP flood |
ICMP flood攻击,当AttackTimes为0时,该列不显示 |
|
DNS flood |
DNS flood攻击,当AttackTimes为0时,该列不显示 |
|
HTTP flood |
HTTP flood攻击,当AttackTimes为0时,该列不显示 |
|
IP option record route |
IP 选项record route攻击,当AttackTimes为0时,该列不显示 |
|
IP option security |
IP 选项security攻击,当AttackTimes为0时,该列不显示 |
|
IP option stream ID |
IP 选项stream identifier攻击,当AttackTimes为0时,该列不显示 |
|
IP option internet timestamp |
IP 选项 internet timestamp攻击,当AttackTimes为0时,该列不显示 |
|
IP option loose source routing |
IP 选项loose source routing攻击,当AttackTimes为0时,该列不显示 |
|
IP option strict source routing |
IP 选项strict source routing攻击,当AttackTimes为0时,该列不显示 |
|
IP option route alert |
IP 选项strict source routing攻击,当AttackTimes为0时,该列不显示 |
|
Fragment |
IP分片异常攻击,当AttackTimes为0时,该列不显示 |
|
Impossible |
IP impossible攻击,当AttackTimes为0时,该列不显示 |
|
Teardrop |
IP teardrop攻击,又称IP overlapping fragments,当AttackTimes为0时,该列不显示 |
|
Tiny fragment |
IP tiny fragment攻击 |
|
IP option abnormal |
IP 选项异常攻击,当AttackTimes为0时,该列不显示 |
|
Smurf |
Smurf攻击,当AttackTimes为0时,该列不显示 |
|
Ping of death |
Ping of death攻击,当AttackTimes为0时,该列不显示 |
|
Traceroute |
Traceroute攻击,当AttackTimes为0时,该列不显示 |
|
Large ICMP |
Large ICMP攻击,当AttackTimes为0时,该列不显示 |
|
TCP NULL flag |
TCP NULL flag攻击,当AttackTimes为0时,该列不显示 |
|
TCP all flags |
TCP所有标志位均被置位攻击,又称圣诞树攻击,当AttackTimes为0时,该列不显示 |
|
TCP SYN-FIN flags |
TCP SYN和FIN被同时置位攻击,当AttackTimes为0时,该列不显示 |
|
TCP FIN only flag |
TCP只有FIN被置位的攻击,当AttackTimes为0时,该列不显示 |
|
TCP invalid flag |
TCP非法标志位攻击,当AttackTimes为0时,该列不显示 |
|
TCP Land |
TCP Land攻击,当AttackTimes为0时,该列不显示 |
|
Winnuke |
Winnuke攻击,当AttackTimes为0时,该列不显示 |
|
UDP Bomb |
UDP Bomb攻击,当AttackTimes为0时,该列不显示 |
|
Snork |
Snork攻击,当AttackTimes为0时,该列不显示 |
|
Fraggle |
Fraggle攻击,又称UDP chargen DoS attack,当AttackTimes为0时,该列不显示 |
|
ICMP echo request |
ICMP echo request攻击,当AttackTimes 为0时,该列不显示 |
|
ICMP echo reply |
ICMP echo reply攻击,当AttackTimes为0时,该列不显示 |
|
ICMP source quench |
ICMP source quench攻击,当AttackTimes为0时,该列不显示 |
|
ICMP destination unreachable |
ICMP destination unreachable攻击,当AttackTimes为0时,该列不显示 |
|
ICMP redirect |
ICMP redirect攻击,当AttackTimes为0时,该列不显示 |
|
ICMP time exceeded |
ICMP time exceeded攻击,当AttackTimes为0时,该列不显示 |
|
ICMP parameter problem |
ICMP parameter problem攻击,当AttackTimes为0时,该列不显示 |
|
ICMP timestamp request |
ICMP timestamp request攻击,当AttackTimes为0时,该列不显示 |
|
ICMP timestamp reply |
ICMP timestamp reply攻击,当AttackTimes为0时,该列不显示 |
|
ICMP information request |
ICMP information request攻击,当AttackTimes为0时,该列不显示 |
|
ICMP information reply |
ICMP information reply攻击,当AttackTimes为0时,该列不显示 |
|
ICMP address mask request |
ICMP address mask request攻击,当AttackTimes为0时,该列不显示 |
|
ICMP address mask reply |
ICMP address mask reply攻击,当AttackTimes为0时,该列不显示 |
【相关命令】
· reset attack-defense statistics local
dns-flood action命令用来配置对DNS flood攻击防范的全局处理行为。
undo dns-flood action命令用来恢复缺省情况。
【命令】
dns-flood action { drop | logging } *
undo dns-flood action
【缺省情况】
不对检测到的DNS flood攻击采取任何措施。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有DNS报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
【举例】
# 在攻击防范策略atk-policy-1中配置对DNS flood攻击防范的全局处理行为是丢弃后续报文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood action drop
【相关命令】
· dns-flood detect
· dns-flood detect non-specific
· dns-flood threshold
dns-flood detect命令用来开启对指定IP地址的攻击防范检测,并配置DNS flood攻击防范检测的触发阈值和对DNS flood攻击的处理行为。
undo dns-flood detect命令用来关闭对指定IP地址的DNS flood攻击防范检测。
【命令】
dns-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo dns-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ]
【缺省情况】
未对任何指定IP地址配置DNS flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为全1地址或全0地址。
vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。
port port-list:指定开启DNS flood攻击防范检测的端口列表,表示方式为{ start-port-number [ to end-port-number ] } &<1-65535>。&<1-65535>表示前面的参数最多可以输入65535次。end-port-number必须大于或等于start-port-number。若未指定本参数,则表示使用全局配置的检测端口列表。
threshold threshold-value:指定DNS flood攻击防范的触发阈值。其中,threshold-value为向指定IP地址每秒发送的DNS报文数目,取值范围为1~1000000。
action:设置对DNS flood攻击的处理行为。若未指定本参数,则表示采用DNS flood攻击防范的全局处理行为。
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有DNS报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
none:表示不采取任何动作。
【使用指导】
使能DNS flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送DNS报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了DNS flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
每个攻击防范策略下可以同时对多个IP地址配置DNS flood攻击防范检测。
【举例】
# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的DNS flood攻击防范检测,并指定检测端口为53、触发阈值为2000。当设备监测到向该IP地址的53端口每秒发送的DNS报文数持续达到或超过2000时,启动DNS flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood detect ip 192.168.1.2 port 53 threshold 2000
【相关命令】
· dns-flood action
· dns-flood detect non-specific
· dns-flood threshold
· dns-flood port
dns-flood detect non-specific命令用来对所有非受保护IP地址开启DNS flood攻击防范检测。
undo dns-flood detect non-specific命令用来关闭对所有非受保护IP地址的DNS flood攻击防范检测。
【命令】
dns-flood detect non-specific
undo dns-flood detect non-specific
【缺省情况】
未对任何非受保护IP地址开启DNS flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【使用指导】
对所有非受保护IP地址开启DNS flood攻击防范检测后,设备将采用全局的阈值设置(由dns-flood threshold命令设置)和处理行为(由dns-flood action命令配置)对这些IP地址进行保护。
【举例】
# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启DNS flood攻击防范检测。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood detect non-specific
【相关命令】
· dns-flood action
· dns-flood detect
· dns-flood threshold
dns-flood port命令用来配置DNS flood攻击防范的全局检测端口号。
undo dns-flood port命令用来恢复缺省情况。
【命令】
dns-flood port port-list
undo dns-flood port
【缺省情况】
DNS flood攻击防范的全局检测端口号为53。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
port-list:指定开启DNS flood攻击防范检测的端口列表,表示方式为{ start-port-number [ to end-port-number ] } &<1-65535>。&<1-65535>表示前面的参数最多可以输入65535次。end-port-number必须大于或等于start-port-number。
【使用指导】
设备只对指定检测端口上收到的报文进行DNS flood攻击检测。
对于所有非受保护IP地址,或未指定检测端口的受保护IP地址,设备采用全局的检测端口进行DNS flood攻击检测。对于所有指定检测端口的受保护IP地址,设备针对为每个受保护IP地址指定的端口进行DNS flood攻击检测。
【举例】
# 在攻击防范策略atk-policy-1中配置DNS flood攻击防范的全局检测端口为53与61000,当设备检测到访问53端口或61000端口的DNS flood攻击时,启动攻击防范措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood port 53 61000
【相关命令】
· dns-flood action
· dns-flood detect
· dns-flood detect non-specific
dns-flood threshold命令用来配置DNS flood攻击防范的全局触发阈值。
undo dns-flood threshold命令用来恢复缺省情况。
【命令】
dns-flood threshold threshold-value
undo dns-flood threshold
【缺省情况】
DNS flood攻击防范的全局触发阈值为1000。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
threshold-value:指定向某IP地址每秒发送的DNS报文数目,取值范围为1~1000000。
【使用指导】
使能DNS flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送DNS报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了DNS flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
对于未专门配置DNS flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(DNS服务器)的DNS报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。
【举例】
# 在攻击防范策略atk-policy-1中配置DNS flood攻击防范的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的DNS报文数持续达到或超过100时,启动攻击防范措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] dns-flood threshold 100
【相关命令】
· dns-flood action
· dns-flood detect ip
· dns-flood detect non-specific
fin-flood action命令用来配置对FIN flood攻击防范的全局处理行为。
undo fin-flood action命令用来恢复缺省情况。
【命令】
fin-flood action { drop | logging } *
undo fin-flood action
【缺省情况】
不对检测到的FIN flood攻击采取任何处理行为。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有FIN报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息
【举例】
#在攻击防范策略atk-policy-1配置对FIN flood攻击防范的全局处理行为是丢弃后续报文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] fin-flood action drop
【相关命令】
· fin-flood detect
· fin-flood detect non-specific
· fin-flood threshold
fin-flood detect命令用来开启对指定IP地址的FIN flood攻击防范检测,并配置FIN flood攻击防范检测的触发阈值和对FIN flood攻击的处理行为。
undo fin-flood detect命令用来关闭对指定IP地址的FIN flood攻击防范检测。
【命令】
fin-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo fin-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ]
【缺省情况】
未对任何指定IP地址配置FIN flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为全1地址或全0地址。
vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。
threshold threshold-value:指定攻击防范的触发阈值。其中,threshold-value为向指定IP地址每秒发送的FIN报文数目,取值范围为1~1000000。
action:设置对FIN flood攻击的处理行为。若未指定本参数,则表示采用FIN flood攻击防范的全局处理行为。
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有FIN报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
none:表示不采取任何动作。
【使用指导】
使能FIN flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送FIN报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了FIN flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
每个攻击防范策略下可以同时对多个IP地址配置FIN flood攻击防范检测。
【举例】
# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的FIN flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的FIN报文数持续达到或超过2000时,启动FIN flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] fin-flood detect ip 192.168.1.2 threshold 2000
【相关命令】
· fin-flood action
· fin-flood detect non-specific
· fin-flood threshold
fin-flood detect non-specific命令用来对所有非受保护IP地址开启FIN flood攻击防范检测。
undo fin-flood detect non-specific命令用来关闭对所有非受保护IP地址的FIN flood攻击防范检测。
【命令】
fin-flood detect non-specific
undo fin-flood detect non-specific
【缺省情况】
未对任何非受保护IP地址开启FIN flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【使用指导】
对所有非受保护IP地址开启FIN flood攻击防范检测后,设备将采用全局的阈值设置(由fin-flood threshold命令设置)和处理行为(由fin-flood action命令配置)对这些IP地址进行保护。
【举例】
# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启FIN flood攻击防范检测。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] fin-flood detect non-specific
【相关命令】
· fin-flood action
· fin-flood detect
· fin-flood threshold
fin-flood threshold命令用来配置FIN flood攻击防范的全局触发阈值。
undo fin-flood threshold命令用来恢复缺省情况。
【命令】
fin-flood threshold threshold-value
undo fin-flood threshold
【缺省情况】
FIN flood攻击防范的全局触发阈值为1000。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
threshold-value:指定向某IP地址每秒发送的FIN报文数目,取值范围为1~1000000。
【使用指导】
使能FIN flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送FIN报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了FIN flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
对于未专门配置FIN flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的FIN报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。
【举例】
# 在攻击防范策略atk-policy-1中配置FIN flood攻击防范检测的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的FIN报文数持续达到或超过100时,启动FIN flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] fin-flood threshold 100
【相关命令】
· fin-flood action
· fin-flood detect
· fin-flood detect non-specific
http-flood action命令用来配置对HTTP flood攻击防范的全局处理行为。
undo http-flood action命令用来恢复缺省情况。
【命令】
http-flood action { drop | logging } *
undo http-flood action
【缺省情况】
不对检测到的HTTP flood攻击采取任何处理行为。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有HTTP报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
【举例】
# 在攻击防范策略atk-policy-1中配置对HTTP flood攻击防范的全局处理行为是丢弃后续报文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood action drop
【相关命令】
· http-flood detect non-specific
· http-flood detect
· http-flood threshold
http-flood detect命令用来开启对指定IP地址的HTTP flood攻击防范检测,并配置HTTP flood攻击防范的触发阈值和对HTTP flood攻击的处理行为。
undo http-flood detect命令用来关闭对指定IP地址的HTTP flood攻击防范检测。
【命令】
http-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo http-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ]
【缺省情况】
未对任何指定IP地址配置HTTP flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为全1地址或全0地址。
vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。
port port-list:指定开启HTTP flood攻击防范检测的端口列表,表示方式为{ start-port-number [ to end-port-number ] } &<1-65535>。&<1-65535>表示前面的参数最多可以输入65535次。end-port-number必须大于或等于start-port-number。若未指定本参数,则表示使用全局配置的检测端口列表。
threshold threshold-value:指定攻击防范的触发阈值。其中,threshold-value为向指定IP地址每秒发送的HTTP报文数目,取值范围为1~1000000。
action:设置对HTTP flood攻击的处理行为。若未指定本参数,则表示采用HTTP flood攻击防范的全局处理行为。
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有HTTP报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
none:表示不采取任何动作。
【使用指导】
使能HTTP flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送HTTP报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了HTTP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
每个攻击防范策略下可以同时对多个IP地址配置HTTP flood攻击防范检测。
【举例】
# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的HTTP flood攻击防范检测,并指定检测端口为80与8080、触发阈值为2000。当设备监测到向该IP地址的80或8080端口每秒发送的HTTP报文数持续达到或超过2000时,启动HTTP flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood detect ip 192.168.1.2 port 80 8080 threshold 2000
【相关命令】
· http-flood action
· http-flood detect non-specific
· http-flood threshold
· http-flood port
http-flood detect non-specific命令用来对所有非受保护IPv4地址开启HTTP flood攻击防范检测。
undo http-flood detect non-specific命令用来关闭对所有非受保护IPv4地址的HTTP flood攻击防范检测。
【命令】
http-flood detect non-specific
undo http-flood detect non-specific
【缺省情况】
未对任何非受保护IP地址开启HTTP flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【使用指导】
对所有非受保护IP地址开启HTTP flood攻击防范检测后,设备将采用全局的阈值设置(由http-flood threshold命令设置)和处理行为(由http-flood action命令配置)对这些IP地址进行保护。
【举例】
# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启HTTP flood攻击防范检测。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood detect non-specific
【相关命令】
· http-flood action
· http-flood detect
· http-flood threshold
http-flood port命令用来配置HTTP flood攻击防范的全局检测端口号。
undo http-flood port命令用来恢复缺省情况。
【命令】
http-flood port port-list
undo http-flood port
【缺省情况】
HTTP flood攻击防范的全局检测端口号为80。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
port-list:指定开启HTTP flood攻击防范检测的端口列表,表示方式为{ start-port-number [ to end-port-number ] } &<1-65535>。&<1-65535>表示前面的参数最多可以输入65535次。end-port-number必须大于或等于start-port-number。
【使用指导】
设备只对指定检测端口上收到的报文进行HTTP flood攻击检测。
对于所有非受保护IP地址,或未指定检测端口的受保护IP地址,设备采用全局的检测端口进行HTTP flood攻击检测。对于所有指定检测端口的受保护IP地址,设备针对为每个受保护IP地址指定的端口进行HTTP flood攻击检测。
【举例】
# 在攻击防范策略atk-policy-1中配置DNS flood攻击防范的全局检测端口为80与8080,当设备检测到访问80端口或8080端口的HTTP flood攻击时,启动攻击防范措施。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood port 80 8080
【相关命令】
· http-flood action
· http-flood detect
· http-flood detect non-specific
http-flood threshold命令用来配置HTTP flood攻击防范的全局触发阈值。
undo http-flood threshold命令用来恢复缺省情况。
【命令】
http-flood threshold threshold-value
undo http-flood threshold
【缺省情况】
缺省情况下,HTTP flood攻击防范的全局触发阈值为1000。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
threshold-value:指定向某IP地址每秒发送的HTTP报文数目,取值范围为1~1000000。
【使用指导】
使能HTTP flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送HTTP报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了HTTP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
对于未专门配置HTTP flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器)的HTTP报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。
【举例】
# 在攻击防范策略atk-policy-1中配置HTTP flood攻击防范的全局触发阈值为100, 即当设备监测到向某IP地址每秒发送的HTTP报文数持续达到或超过100时,启动HTTP flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] http-flood threshold 100
【相关命令】
· http-flood action
· http-flood detect
· http-flood detect non-specific
icmp-flood action命令用来配置对ICMP flood攻击防范的全局处理行为。
undo icmp-flood action命令用来恢复缺省情况。
【命令】
icmp-flood action { drop | logging } *
undo icmp-flood action
【缺省情况】
不对检测到的ICMP flood攻击采取任何措施。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有ICMP报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
【举例】
# 在攻击防范策略atk-policy-1中配置对ICMP flood攻击防范的全局处理行为是丢弃后续报文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmp-flood action drop
【相关命令】
· icmp-flood detect non-specific
· icmp-flood detect ip
· icmp-flood threshold
icmp-flood detect ip命令用来开启对指定IP地址的ICMP flood攻击防范检测,并配置ICMP flood攻击防范检测的触发阈值和对ICMP flood攻击的处理行为。
undo icmp-flood detect ip命令用来关闭对指定IP地址的ICMP flood攻击防范检测。
【命令】
icmp-flood detect ip ip-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo icmp-flood detect ip ip-address [ vpn-instance vpn-instance-name ]
【缺省情况】
未对任何指定IP地址配置ICMP flood 攻击防范触发阈值。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
ip ip-address:指定要保护的IP地址。该IP地址不能为全1地址或全0地址。
vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。
threshold threshold-value:指定攻击防范的触发阈值。其中,threshold-value为向指定IP地址每秒发送的ICMP报文数目,取值范围为1~1000000。
action:设置对ICMP flood攻击的处理行为。若未指定本参数,则表示采用ICMP flood攻击防范的全局处理行为。
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有ICMP报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
none:表示不采取任何动作。
【使用指导】
使能ICMP flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送ICMP报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了ICMP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
每个攻击防范策略下可以同时对多个IP地址配置ICMP flood攻击防范检测。
【举例】
# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的ICMP flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的ICMP报文数持续达到或超过2000时,启动ICMP flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmp-flood detect ip 192.168.1.2 threshold 2000
【相关命令】
· icmp-flood action
· icmp-flood threshold
· icmp-flood detect non-specific
icmp-flood detect non-specific命令用来对所有非受保护IPv4地址开启ICMP flood攻击防范检测。
undo icmp-flood detect non-specific命令用来关闭对所有非受保护IPv4地址的ICMP flood攻击防范检测。
【命令】
icmp-flood detect non-specific
undo icmp-flood detect non-specific
【缺省情况】
未对任何非受保护IPv4地址开启ICMP flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【使用指导】
对任何非受保护IPv4地址开启ICMP flood攻击防范检测后,设备将采用全局的阈值设置(由icmp-flood threshold命令设置)和处理行为(由icmp-flood action命令配置)对这些IP地址进行保护。
【举例】
# 在攻击防范策略atk-policy-1中,对所有非受保护IPv4地址开启ICMP flood攻击防范检测。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmp-flood detect non-specific
【相关命令】
· icmp-flood action
· icmp-flood detect ip
· icmp-flood threshold
icmp-flood threshold命令用来配置ICMP flood攻击防范的全局触发阈值。
undo icmp-flood threshold命令用来恢复缺省情况。
【命令】
icmp-flood threshold threshold-value
undo icmp-flood threshold
【缺省情况】
ICMP flood攻击防范的全局触发阈值为1000。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
threshold-value:指定向某IP地址每秒发送的ICMP报文数目,取值范围为1~1000000。
【使用指导】
使能ICMP flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送ICMP报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了ICMP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
对于未专门配置ICMP flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的ICMP报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。
【举例】
# 在攻击防范策略atk-policy-1中配置ICMP flood攻击防范检测的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的ICMP报文数持续达到或超过100时,启动ICMP flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] icmp-flood threshold 100
【相关命令】
· icmp-flood action
· icmp-flood detect
· icmp-flood detect non-specific
reset attack-defense policy flood命令用来清除flood攻击防范受保护IP表项的统计信息。
【命令】
reset attack-defense policy policy-name flood protected ip statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
policy-name:攻击防范策略名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。
ip:指定IPv4类型的flood受保护IP表项。
statistics:清除指定类型的flood受保护IP表项的统计信息。
【举例】
# 清除攻击防范策略abc中所有IPv4类型的flood保护IP表项的统计信息
<Sysname> reset attack-defense policy abc flood protected ip statistics
【相关命令】
· display attack-defense policy ip
reset attack-defense statistics local命令用来清除本机攻击防范的统计信息。
【命令】
reset attack-defense statistics local
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除本机上所有攻击防范的统计信息。
<Sysname> reset attack-defense statistics local
【相关命令】
· display attack-defense statistics local
rst-flood action命令用来配置对RST flood攻击防范的全局处理行为。
undo rst-flood action命令用来恢复缺省情况。
【命令】
rst-flood action { drop | logging } *
undo rst-flood action
【缺省情况】
不对检测到的RST flood攻击采取任何措施。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有RST报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
【举例】
# 在攻击防范策略atk-policy-1中配置对RST flood攻击防范的全局处理行为是丢弃后续报文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] rst-flood action drop
【相关命令】
· rst-flood detect
· rst-flood detect non-specific
· rst-flood threshold
rst-flood detect命令用来开启对指定IP地址的RST flood攻击防范检测,并配置RST flood攻击防范的触发阈值和对RST flood攻击的处理行为。
undo rst-flood命令用来关闭对指定IP地址的RST flood攻击防范检测。
【命令】
rst-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo rst-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ]
【缺省情况】
未对任何指定IP地址配置RST flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为全1地址或全0地址。
vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。
threshold threshold-value:指定攻击防范的触发阈值。其中,threshold-value为向指定IP地址每秒发送的RST报文数目,取值范围为1~1000000。
action:设置对RST flood攻击的处理行为。若未指定本参数,则表示采用RST flood攻击防范的全局处理行为。
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有RST报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
none:表示不采取任何动作。
【使用指导】
使能RST flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送RST报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了RST flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
每个攻击防范策略下可以同时对多个IP地址配置RST flood攻击防范检测。
【举例】
# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的RST flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的RST报文数持续达到或超过2000时,启动RST flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] rst-flood detect ip 192.168.1.2 threshold 2000
【相关命令】
· rst-flood action
· rst-flood detect non-specific
· rst-flood threshold
rst-flood detect non-specific命令用来对所有非受保护IP地址开启RST flood攻击防范检测。
undo rst-flood detect non-specific命令用来关闭对所有非受保护IP地址的RST flood攻击防范检测。
【命令】
rst-flood detect non-specific
undo rst-flood detect non-specific
【缺省情况】
未对任何非受保护IP地址开启RST flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【使用指导】
对所有非受保护IP地址开启RST flood攻击防范检测后,设备将采用全局的阈值设置(由rst-flood threshold命令设置)和处理行为(由rst-flood action命令配置)对这些IP地址进行保护。
【举例】
# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启RST flood攻击防范检测。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] rst-flood detect non-specific
【相关命令】
· rst-flood action
· rst-flood detect
· rst-flood threshold
rst-flood threshold命令用来配置RST flood攻击防范的全局触发阈值。
undo rst-flood threshold命令用来恢复缺省情况。
【命令】
rst-flood threshold threshold-value
undo rst-flood threshold
【缺省情况】
RST flood攻击防范的全局触发阈值为1000。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
threshold-value:指定向某IP地址每秒发送的RST报文数目,取值范围为1~1000000。
【使用指导】
使能RST flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送RST报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了RST flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
对于未专门配置RST flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的RST报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。
【举例】
# 在攻击防范策略atk-policy-1中配置RST flood攻击防范检测的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的RST报文数持续达到或超过100时,启动RST flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] rst-flood threshold 100
【相关命令】
· rst-flood action
· rst-flood detect
· rst-flood detect non-specific
scan detect命令用来配置开启指定级别的扫描攻击防范。
undo scan detect命令用来关闭指定级别的扫描攻击防范。
【命令】
scan detect level { high | low | medium } action { drop | logging } *
undo scan detect
【缺省情况】
扫描攻击防范处于关闭状态。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
level:指定攻击防范的检测级别。
low:表示低防范级别,该级别提供基本的扫描攻击检测,有很低的误报率,但对于一些扫描攻击类型不能检出。该级别的扫描攻击统计周期为60秒。
high:表示高防范级别,该级别能检测出大部分的扫描攻击,但对活跃主机误报率较高,即将可提供服务的主机的报文错误判断为攻击报文的概率比较高。该级别的扫描攻击统计周期为600秒。
medium:表示中防范级别,该级别有适中的攻击检出率与误报率,通常能够检测出Filtered Scan等攻击。该级别的扫描攻击统计周期为90秒。
action:设置对扫描攻击的处理行为。
drop:表示丢弃攻击报文,即设备检测到攻击发生后,由该攻击者发送的报文都将被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成记录告警信息。
【举例】
# 在攻击防范策略atk-policy-1中配置扫描攻击的检测级别为低级别,处理行为是丢弃后续报文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] scan detect level low action drop
signature large-icmp max-length命令用来配置启动Large ICMP攻击防范的ICMP报文长度的最大值。
undo signature large-icmp max-length命令用来恢复缺省情况。
【命令】
signature large-icmp max-length length
undo signature large-icmp max-length
【缺省情况】
启动Large ICMP攻击防范的ICMP报文长度的最大值均为4000字节。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
large-icmp:表示超大ICMP报文攻击防范。
length:表示ICMP报文长度的最大值,ICMP报文取值范围为28~65534,单位为字节。
【举例】
# 在攻击防范策略atk-policy-1中配置启动Large ICMP攻击防范的ICMP报文长度的最大值为50000字节。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] signature large-icmp max-length 50000
【相关命令】
· signature detect
signature detect命令用来开启指定类型单包攻击报文的特征检测,并设置攻击防范的处理行为。
undo signature detect命令用来关闭对指定类型的单包攻击报文的特征检测。
【命令】
signature detect { fraggle | fragment | impossible | land | large-icmp | smurf | snork | tcp-all-flags | tcp-fin-only | tcp-invalid-flags | tcp-null-flag | tcp-syn-fin | tiny-fragment | traceroute | udp-bomb | winnuke } [ action { { drop | logging } * | none } ]
undo signature detect { fraggle | fragment | impossible | land | large-icmp | smurf | snork | tcp-all-flags | tcp-fin-only | tcp-invalid-flags | tcp-null-flag | tcp-syn-fin | tiny-fragment | traceroute | udp-bomb | winnuke }
signature detect { ip-option-abnormal | ping-of-death | teardrop } action { drop | logging } *
undo signature detect { ip-option-abnormal | ping-of-death | teardrop }
signature detect icmp-type { icmp-type-value | address-mask-reply | address-mask-request | destination-unreachable | echo-reply | echo-request | information-reply | information-request | parameter-problem | redirect | source-quench | time-exceeded | timestamp-reply | timestamp-request } [ action { { drop | logging } * | none } ]
undo signature detect icmp-type { icmp-type-value | address-mask-reply | address-mask-request | destination-unreachable | echo-reply | echo-request | information-reply | information-request | parameter-problem | redirect | source-quench | time-exceeded | timestamp-reply | timestamp-request }
signature detect ip-option { option-code | internet-timestamp | loose-source-routing | record-route | route-alert | security | stream-id | strict-source-routing } [ action { { drop | logging } * | none } ]
undo signature detect ip-option { option-code | internet-timestamp | loose-source-routing | record-route | route-alert | security | stream-id | strict-source-routing }
【缺省情况】
所有类型的单包攻击报文的特征检测均处于关闭状态。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
fraggle:表示Fraggle类型的报文攻击。
fragment:表示IP分片报文攻击。
icmp-type:表示ICMP类型的报文攻击。可以指定报文的类型值,或者指定报文的类型关键字。
· icmp-type-value:表示ICMP报文类型的数值,取值范围为0~255。
· address-mask-reply:表示ICMP address mask reply类型的报文攻击。
· address-mask-request:表示ICMP address mask request类型的报文攻击。
· destination-unreachable:表示ICMP destination unreachable类型的报文攻击。
· echo-reply:表示ICMP echo reply类型的报文攻击。
· echo-request:表示ICMP echo request类型的报文攻击。
· information-reply:表示ICMP information reply类型的报文攻击。
· information-request:表示ICMP information request类型的报文攻击。
· parameter-problem:表示ICMP para problem类型的报文攻击。
· redirect:表示ICMP redirect类型的报文攻击。
· source-quench:表示ICMP source quench类型的报文攻击。
· time-exceeded:表示ICMP time exceeded类型的报文攻击。
· timestamp-reply:表示ICMP timestamp reply类型的报文攻击。
· timestamp-request:表示ICMP timestamp request类型的报文攻击。
impossible:表示IP不可信报文的攻击。
ip-option:表示IP选项类型的报文攻击。可以指定IP选项代码值,或者指定IP选项关键字。
· option-code:表示IP选项代码值,取值范围为0~255。
· internet-timestamp:表示IP选项timestamp类型的报文攻击。
· loose-source-routing:表示IP选项loose source route类型的报文攻击。
· record-route:表示IP选项record packet route类型的报文攻击。
· route-alert:表示IP选项route alert类型的报文攻击。
· security:表示IP选项security类型的报文攻击。
· stream-id:表示IP选项stream identifier类型的报文攻击。
· strict-source-routing:表示IP选项strict source route类型的报文攻击。
ip-option-abnormal:表示IP选项异常类型的报文攻击。
land:表示Land类型的报文攻击。
large-icmp:表示超大ICMP报文的攻击。
ping-of-death:表示Ping-of-death类型的报文攻击。
smurf:表示Smurf类型的报文攻击。
snork:表示UDP Snork attack类型的报文攻击。
tcp-all-flags:表示TCP所有标志位均置位的报文攻击。
tcp-fin-only:表示TCP仅FIN标志被置位的报文攻击。
tcp-invalid-flags:表示TCP 标志位非法的报文攻击。
tcp-null-flag:表示TCP 标志位为零的报文攻击。
tcp-syn-fin:表示TCP SYN和FIN标志位被同时置位的报文攻击。
teardrop:表示teardrop类型的报文攻击。
tiny-fragment:表示IP分片报文的攻击。
traceroute:表示Trace route类型的报文攻击。
udp-bomb:表示UDP Bomb attack类型的报文攻击。
winnuke:表示WinNuke类型的报文攻击。
action:对指定报文攻击所采取的攻击防范处理行为。若未指定本参数,则采用该攻击报文所属的攻击防范级别所对应的默认处理行为。
· drop:设置单包攻击的处理行为为丢弃报文。
· logging:设置单包攻击的处理行为为发送日志。
· none:不采取任何动作。
【使用指导】
可以通过多次执行本命令开启多种类型的单包攻击报文的特征检测。
若通过数值指定了报文类型,则当指定的数值为标准的报文类型值时,在显示信息中将会显示该数值对应的报文类型字符串,否则显示为数值。
【举例】
# 在攻击防范策略atk-policy-1中开启对IP分片攻击报文的特征检测,并指定攻击防范处理行为为为丢弃报文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] signature detect fragment action drop
【相关命令】
· signature level action
signature level action命令用来配置指定级别单包攻击的处理行为。
undo signature level action命令用来恢复缺省情况。
【命令】
signature level { high | info | low | medium } action { { drop | logging } * | none }
undo signature level { high | info | low | medium } action
【缺省情况】
对提示级别和低级别的单包攻击的处理行为是发送日志;对中级别的单包攻击的处理行为是发送日志并丢包;对高级别的单包攻击的处理行为是发送日志并丢包。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
high:表示高级别的单包攻击,暂无实例。
info:表示提示级别的单包攻击,例如Large ICMP。
low:表示低级别的单包攻击,例如Traceroute。
medium:表示中级别的单包攻击,例如Winnuke。
drop:设置单包攻击的处理行为为丢弃报文。
logging:设置单包攻击的处理行为为发送日志。
none:不采取任何动作。
【使用指导】
系统根据单包攻击结果的严重程度由低到高将其划分为四个攻击级别:提示、低级、中级、高级。开启某一个级别的单包攻击报文的特征检测,相当于批量开启了属于该级别的所有类型的单包攻击报文的特征检测。
若同时通过signature detect命令开启了具体类型的单包攻击报文的特征检测,则以signature detect命令配置的参数为准。
【举例】
# 在攻击防范策略atk-policy-1中配置对提示级别的单包攻击的处理行为是丢弃后续报文。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] signature level info action drop
【相关命令】
· signature detect
· signature level detect
signature level detect命令用来开启指定级别单包攻击报文的特征检测。
undo signature level detect命令用来关闭对指定级别的单包攻击报文的特征检测。
【命令】
signature level { high | info | low | medium } detect
undo signature level { high | info | low | medium } detect
【缺省情况】
未开启任何级别的单包攻击报文的特征检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
high:表示高级别的单包攻击,暂无实例。
info:表示提示级别的单包攻击,例如Large ICMP报文攻击。
low:表示低级别的单包攻击,例如Traceroute报文攻击。
medium:表示中级别的单包攻击,例如Winnuke报文攻击。
【使用指导】
系统根据单包攻击结果的严重程度将其划分为四个级别:提示、低级、中级、高级。开启某一个级别的单包攻击报文的特征检测,相当于批量开启了属于该级别的所有单包攻击报文的特征检测。针对某一级别的单包攻击的处理行为由signature level action命令指定。若通过signature detect命令开启了具体的单包攻击报文的特征检测,则对该类攻击报文的处理行为以signature detect命令配置的参数为准。
可通过display attack-defense policy命令查看各类型单包攻击所属的级别。
【举例】
# 在攻击防范策略atk-policy-1中开启提示级别的单包攻击报文的特征检测。
<Sysname> system-view
[Sysname] attack-defense policy 1
[Sysname-attack-defense-policy-1] signature level info detect
【相关命令】
· display attack-defense policy
· signature detect
· signature level action
syn-ack-flood action命令用来配置对SYN-ACK flood攻击防范的全局处理行为。
undo syn-ack-flood action命令用来恢复缺省情况。
【命令】
syn-ack-flood action { drop | logging }*
undo syn-ack-flood action
【缺省情况】
不对检测到的 SYN-ACK flood攻击采取任何措施。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有SYN-ACK报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成记录告警信息。
【举例】
# 在攻击防范策略atk-policy-1中配置对SYN-ACK flood攻击防范的全局处理行为是丢弃后续报文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood action drop
【相关命令】
· syn-ack-flood detect
· syn-ack-flood detect non-specific
· syn-ack-flood threshold
syn-ack-flood detect命令用来对指定IP地址的SYN-ACK flood攻击防范检测,并配置SYN-ACK flood攻击防范检测触发阈值和防范行为。
undo syn-ack-flood detect命令用来关闭对指定IP地址的SYN-ACK flood攻击防范检测。
【命令】
syn-ack-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo syn-ack-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ]
【缺省情况】
未对任何指定IP地址配置SYN-ACK flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为全1地址或全0地址。
vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。
threshold threshold-value:指定SYN-ACK flood攻击防范的触发阈值。其中,threshold-value为向指定IP地址每秒发送的SYN-ACK报文数目,取值范围为1~1000000。
action:设置对SYN-ACK flood攻击的处理行为。若未指定本参数,则表示采用SYN-ACK flood攻击防范的全局处理行为。
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有SYN-ACK报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
none:表示不采取任何动作。
【使用指导】
使能SYN-ACK flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送SYN-ACK报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了SYN-ACK flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
每个攻击防范策略下可以同时对多个IP地址配置SYN-ACK flood攻击防范检测。
【举例】
# 开启对IP地址192.168.1.2的SYN-ACK flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的SYN-ACK报文数持续达到或超过2000时,启动SYN-ACK攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood detect ip 192.168.1.2 threshold 2000
【相关命令】
· syn-ack-flood action
· syn-ack-flood detect non-specific
· syn-ack-flood threshold
syn-ack-flood detect non-specific命令用来对所有非受保护IP地址开启SYN-ACK flood攻击防范检测。
undo syn-ack-flood detect non-specific命令用来关闭对所有非受保护IP地址的SYN-ACK flood攻击防范检测。
【命令】
syn-ack-flood detect non-specific
undo syn-ack-flood detect non-specific
【缺省情况】
未对任何非受保护IP地址开启SYN-ACK flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【使用指导】
对所有非受保护IP地址开启SYN-ACK flood攻击防范检测后,设备将采用全局的阈值设置(由syn-ack-flood threshold命令设置)和处理行为(由syn-ack-flood action命令配置)对这些IP地址进行保护。
【举例】
# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启UDP flood攻击防范检测。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood detect non-specific
【相关命令】
· syn-ack flood action
· syn-ack-flood detect
· syn-ack-flood threshold
syn-ack-flood threshold命令用来配置SYN-ACK flood攻击防范的全局触发阈值。
undo syn-ack-flood threshold命令用来恢复缺省情况。
【命令】
syn-ack-flood threshold threshold-value
undo syn-ack-flood threshold
【缺省情况】
SYN-ACK flood攻击防范的全局触发阈值为1000。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
threshold-value:指定向某IP地址每秒发送的SYN-ACK报文数目,取值范围为1~1000000。
【使用指导】
使能SYN-ACK flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送SYN-ACK报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了SYN-ACK flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
对于未专门配置SYN-ACK flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的SYN-ACK报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。
【举例】
# 在攻击防范策略atk-policy-1中配置SYN-ACK flood攻击防范的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的SYN-ACK报文数持续达到或超过100时,启动SYN-ACK flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood threshold 100
【相关命令】
· syn-ack-flood action
· syn-ack-flood detect
· syn-ack-flood detect non-specific
syn-flood action命令用来配置对SYN flood攻击防范的全局处理行为。
undo syn-flood action命令用来恢复缺省情况。
【命令】
syn-flood action { drop | logging } *
undo syn-flood action
【缺省情况】
不对检测到的SYN flood攻击采取任何措施。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有SYN报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
【举例】
# 在攻击防范策略atk-policy-1中配置对SYN flood攻击防范的全局处理行为是丢弃后续报文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-flood action drop
【相关命令】
· syn-flood detect non-specific
· syn-flood detect
· syn-flood threshold
syn-flood detect命令用来开启对指定IP地址的SYN flood攻击防范检测,并配置SYN flood攻击防范检测的触发阈值和对SYN flood攻击的处理行为。
undo syn-flood detect命令用来关闭对指定IP地址的SYN flood攻击防范检测。
【命令】
syn-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo syn-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ]
【缺省情况】
未对任何指定IP地址配置SYN flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为全1地址或全0地址。
vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。
threshold threshold-value:指定SYN flood攻击防范的触发阈值。其中,threshold-value为向指定IP地址每秒发送的SYN报文数目,取值范围为1~1000000。
action:设置对SYN flood攻击的处理行为。若未指定本参数,则表示采用SYN flood攻击防范的全局处理行为。
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有SYN报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
none:表示不采取任何动作。
【使用指导】
使能SYN flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送SYN报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了SYN flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
每个攻击防范策略下可以同时对多个IP地址配置SYN flood攻击防范检测。
【举例】
# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的SYN flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的SYN报文数持续达到或超过2000时,启动SYN flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-flood detect ip 192.168.1.2 threshold 2000
【相关命令】
· syn-flood action
· syn-flood detect non-specific
· syn-flood threshold
syn-flood detect non-specific命令用来对所有非受保护IP地址开启SYN flood攻击防范检测。
undo syn-flood detect non-specific命令用来关闭对所有非受保护IP地址的SYN flood攻击防范检测。
【命令】
syn-flood detect non-specific
undo syn-flood detect non-specific
【缺省情况】
未对任何非受保护IP地址开启SYN flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【使用指导】
对所有非受保护IP地址开启SYN flood攻击防范检测后,设备将采用全局的阈值设置(由syn-flood threshold命令设置)和处理行为(由syn-flood action命令配置)对这些IP地址进行保护。
【举例】
# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启SYN flood攻击防范检测。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-flood detect non-specific
【相关命令】
· syn-flood action
· syn-flood detect
· syn-flood threshold
syn-flood threshold命令用来配置SYN flood攻击防范的全局触发阈值。
undo syn-flood threshold命令用来恢复缺省情况。
【命令】
syn-flood threshold threshold-value
undo syn-flood threshold
【缺省情况】
SYN flood攻击防范的全局触发阈值为1000。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
threshold-value:指定向某IP地址每秒发送的SYN报文数目,取值范围为1~1000000。
【使用指导】
使能SYN flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送SYN报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了SYN flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
对于未专门配置SYN flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的SYN报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。
【举例】
# 在攻击防范策略atk-policy-1中配置SYN flood攻击防范的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的SYN报文数持续达到或超过100时,启动SYN flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] syn-flood threshold 100
【相关命令】
· syn-flood action
· syn-flood detect
· syn-flood detect non-specific
udp-flood action命令用来配置对UDP flood攻击防范的全局处理行为。
undo udp-flood action命令用来恢复缺省情况。
【命令】
udp-flood action { drop | logging } *
undo udp-flood action
【缺省情况】
不对检测到的UDP flood攻击进行任何处理。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有UDP报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
【举例】
# 在攻击防范策略atk-policy-1中配置对UDP flood攻击防范的全局处理行为是丢弃后续报文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood action drop
【相关命令】
· udp-flood detect
· udp-flood detect non-specific
· udp-flood threshold
udp-flood detect命令用来开启对指定IP地址的UDP flood攻击防范检测,并配置UDP flood攻击防范检测的触发阈值和对UDP flood攻击的处理行为。
undo udp-flood detect命令用来关闭对指定IP地址的UDP flood攻击防范检测。
【命令】
udp-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo udp-flood detect ip ipv4-address [ vpn-instance vpn-instance-name ]
【缺省情况】
未对任何指定IP地址配置UDP flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为全1地址或全0地址。
vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。
threshold threshold-value:指定UDP flood攻击防范的触发阈值。其中,threshold-value为向指定IP地址每秒发送的UDP报文数目,取值范围为1~1000000。
action:设置对UDP flood攻击的处理行为。若未指定本参数,则表示采用UDP flood攻击防范的全局处理行为。
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有UDP报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
none:表示不采取任何动作。
【使用指导】
使能UDP flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送UDP报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了UDP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
每个攻击防范策略下可以同时对多个IP地址配置UDP flood攻击防范参数。
【举例】
# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的UDP flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的UDP报文数持续达到或超过2000时,启动UDP flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood detect ip 192.168.1.2 threshold 2000
【相关命令】
· udp-flood action
· udp-flood detect non-specific
· udp-flood threshold
udp-flood detect non-specific命令用来对所有非受保护IP地址开启UDP flood攻击防范检测。
undo udp-flood detect non-specific命令用来关闭对所有非受保护IP地址的UDP flood攻击防范检测。
【命令】
udp-flood detect non-specific
undo udp-flood detect non-specific
【缺省情况】
未对任何非受保护IP地址开启UDP flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【使用指导】
对所有非受保护IP地址开启UDP flood攻击防范检测后,设备将采用全局的阈值设置(由udp-flood threshold命令设置)和处理行为(由udp-flood action命令配置)对这些IP地址进行保护。
【举例】
# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启UDP flood攻击防范检测。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood detect non-specific
【相关命令】
· udp-flood action
· udp-flood detect
· udp-flood threshold
udp-flood threshold命令用来配置UDP flood攻击防范的全局触发阈值。
undo udp-flood threshold命令用来恢复缺省情况。
【命令】
udp-flood threshold threshold-value
undo udp-flood threshold
【缺省情况】
UDP flood攻击防范的全局触发阈值为1000。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
threshold-value:指定向某IP地址每秒发送的UDP报文数目,取值范围为1~1000000。
【使用指导】
使能UDP flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送UDP报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了UDP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
对于未专门配置UDP flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的UDP报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。
【举例】
# 在攻击防范策略atk-policy-1中配置UDP flood攻击防范的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的UDP报文数持续达到或超过100时,启动UDP flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood threshold 100
【相关命令】
· udp-flood action
· udp-flood detect
· udp-flood detect non-specific
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
