• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07 安全命令参考

目录

12-TCP攻击防御命令

本章节下载 12-TCP攻击防御命令  (114.60 KB)

12-TCP攻击防御命令


1 TCP攻击防御配置命令

1.1  TCP攻击防御配置命令

1.1.1  attack-defense tcp fragment enable

【命令】

attack-defense tcp fragment enable

undo attack-defense tcp fragment enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

attack-defense tcp fragment enable命令用于配置TCP分片报文攻击防范功能。

undo attack-defense tcp fragment enable命令用于关闭TCP分片报文攻击防范功能。

【举例】

# 配置TCP分片攻击防范功能。

<Sysname> System-view

[Sysname] attack-defense tcp fragment enable

1.1.2  display tcp status

【命令】

display tcp status [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display tcp status命令用来显示所有TCP连接的状态,使用户随时监控TCP连接。

【举例】

# 显示所有TCP连接状态。

<Sysname> display tcp status

*: TCP MD5 Connection

TCPCB         Local Add:port       Foreign Add:port     State

03e37dc4      0.0.0.0:4001         0.0.0.0:0            Listening

04217174      100.0.0.204:23       100.0.0.253:65508    Established

表1-1 display tcp status命令显示信息描述表

字段

描述

*: TCP MD5 Connection

如果某个连接前有星号标识,则表示该TCP连接是采用MD5加密算法认证的连接

TCPCB

TCP控制块

Local Add:port

本端IP地址及端口号

Foreign Add:port

对端IP地址及端口号

State

TCP连接的状态

 

1.1.3  tcp anti-naptha enable

【命令】

tcp anti-naptha enable

undo tcp anti-naptha enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

tcp anti-naptha enable命令用来使能防止Naptha攻击功能。undo tcp anti-naptha enable命令用来关闭防止Naptha攻击功能。

缺省情况下,防止Naptha攻击功能处于关闭状态。

需要注意的是,关闭防止Naptha攻击功能后,tcp state命令和tcp timer check-state命令的配置都会被删除。

【举例】

# 使能防止Naptha攻击功能。

<Sysname> system-view

[Sysname] tcp anti-naptha enable

1.1.4  tcp state

【命令】

tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack | syn-received } connection-number number

undo tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack | syn-received } connection-number

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

closing:TCP连接的CLOSING状态。

established:TCP连接的ESTABLISHED状态。

fin-wait-1:TCP连接的FIN_WAIT_1状态。

fin-wait-2:TCP连接的FIN_WAIT_2状态。

last-ack:TCP连接的LAST_ACK状态。

syn-received:TCP连接的SYN_RECEIVED状态。

connection-number number:处于某个状态的最大TCP连接数。number的取值范围为0~500。

【描述】

tcp state命令用来配置某一状态下的最大TCP连接数,连接数目超过最大连接数后,将加速该状态下TCP连接的老化。undo tcp state命令用来恢复缺省情况。

缺省情况下,六种状态下的最大TCP连接数均为5。

需要注意的是,

·     配置本命令前,需要先使能防止Naptha攻击功能,否则会提示错误;

·     可以分别配置六种状态下的最大连接数;

·     如果某一状态下的最大连接数为0,则表示不会加速该状态下TCP连接的老化。

相关配置可参考命令tcp anti-naptha enable

【举例】

# 配置ESTABLISHED状态下的最大TCP连接数为100。

<Sysname> system-view

[Sysname] tcp anti-naptha enable

[Sysname] tcp state established connection-number 100

1.1.5  tcp syn-cookie enable

【命令】

tcp syn-cookie enable

undo tcp syn-cookie enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

tcp syn-cookie enable命令用来使能SYN Cookie功能,防止设备受到SYN Flood攻击。undo tcp syn-cookie enble命令用来关闭SYN Cookie功能。

缺省情况下,SYN Cookie功能处于使能状态。

【举例】

# 使能SYN Cookie功能。

<Sysname> system-view

[Sysname] tcp syn-cookie enable

1.1.6  tcp timer check-state

【命令】

tcp timer check-state time-value

undo tcp timer check-state

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

time-value:TCP连接状态的轮询检测时间间隔,取值范围为1~60,单位为秒。

【描述】

tcp timer check-state命令用来配置TCP连接状态的轮询检测时间间隔。undo tcp timer check-state命令用来恢复缺省情况。

缺省情况下,TCP连接状态的轮询检测时间间隔为30秒。

设备周期性地检测处于六种状态的TCP连接数,如果检测到某个状态的TCP连接数目超过设定的最大连接数时,则加速该状态下TCP连接的老化。

需要注意的是,配置本命令前,需要先使能防止Naptha攻击功能,否则会提示错误。

相关配置可参考命令tcp anti-naptha enable

【举例】

# 配置TCP连接状态的轮询检测时间间隔为40秒。

<Sysname> system-view

[Sysname] tcp anti-naptha enable

[Sysname] tcp timer check-state 40

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们