12-TCP攻击防御命令
本章节下载: 12-TCP攻击防御命令 (114.62 KB)
【命令】
attack-defense tcp fragment enable
undo attack-defense tcp fragment enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
attack-defense tcp fragment enable命令用于配置TCP分片报文攻击防范功能。
undo attack-defense tcp fragment enable命令用于关闭TCP分片报文攻击防范功能。
【举例】
# 配置TCP分片攻击防范功能。
<Sysname> System-view
[Sysname] attack-defense tcp fragment enable
【命令】
display tcp status [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display tcp status命令用来显示所有TCP连接的状态,使用户随时监控TCP连接。
【举例】
# 显示所有TCP连接状态。
<Sysname> display tcp status
*: TCP MD5 Connection
TCPCB Local Add:port Foreign Add:port State
03e37dc4 0.0.0.0:4001 0.0.0.0:0 Listening
04217174 100.0.0.204:23 100.0.0.253:65508 Established
表1-1 display tcp status命令显示信息描述表
字段 |
描述 |
*: TCP MD5 Connection |
如果某个连接前有星号标识,则表示该TCP连接是采用MD5加密算法认证的连接 |
TCPCB |
TCP控制块 |
Local Add:port |
本端IP地址及端口号 |
Foreign Add:port |
对端IP地址及端口号 |
State |
TCP连接的状态 |
【命令】
tcp anti-naptha enable
undo tcp anti-naptha enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
tcp anti-naptha enable命令用来使能防止Naptha攻击功能。undo tcp anti-naptha enable命令用来关闭防止Naptha攻击功能。
缺省情况下,防止Naptha攻击功能处于关闭状态。
需要注意的是,关闭防止Naptha攻击功能后,tcp state命令和tcp timer check-state命令的配置都会被删除。
【举例】
# 使能防止Naptha攻击功能。
<Sysname> system-view
[Sysname] tcp anti-naptha enable
【命令】
tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack | syn-received } connection-number number
undo tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack | syn-received } connection-number
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
closing:TCP连接的CLOSING状态。
established:TCP连接的ESTABLISHED状态。
fin-wait-1:TCP连接的FIN_WAIT_1状态。
fin-wait-2:TCP连接的FIN_WAIT_2状态。
last-ack:TCP连接的LAST_ACK状态。
syn-received:TCP连接的SYN_RECEIVED状态。
connection-number number:处于某个状态的最大TCP连接数。number的取值范围为0~500。
【描述】
tcp state命令用来配置某一状态下的最大TCP连接数,连接数目超过最大连接数后,将加速该状态下TCP连接的老化。undo tcp state命令用来恢复缺省情况。
缺省情况下,六种状态下的最大TCP连接数均为5。
需要注意的是,
· 配置本命令前,需要先使能防止Naptha攻击功能,否则会提示错误;
· 可以分别配置六种状态下的最大连接数;
· 如果某一状态下的最大连接数为0,则表示不会加速该状态下TCP连接的老化。
相关配置可参考命令tcp anti-naptha enable。
【举例】
# 配置ESTABLISHED状态下的最大TCP连接数为100。
<Sysname> system-view
[Sysname] tcp anti-naptha enable
[Sysname] tcp state established connection-number 100
【命令】
tcp syn-cookie enable
undo tcp syn-cookie enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
tcp syn-cookie enable命令用来使能SYN Cookie功能,防止设备受到SYN Flood攻击。undo tcp syn-cookie enble命令用来关闭SYN Cookie功能。
缺省情况下,SYN Cookie功能处于使能状态。
【举例】
# 使能SYN Cookie功能。
<Sysname> system-view
[Sysname] tcp syn-cookie enable
【命令】
tcp timer check-state time-value
undo tcp timer check-state
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
time-value:TCP连接状态的轮询检测时间间隔,取值范围为1~60,单位为秒。
【描述】
tcp timer check-state命令用来配置TCP连接状态的轮询检测时间间隔。undo tcp timer check-state命令用来恢复缺省情况。
缺省情况下,TCP连接状态的轮询检测时间间隔为30秒。
设备周期性地检测处于六种状态的TCP连接数,如果检测到某个状态的TCP连接数目超过设定的最大连接数时,则加速该状态下TCP连接的老化。
需要注意的是,配置本命令前,需要先使能防止Naptha攻击功能,否则会提示错误。
相关配置可参考命令tcp anti-naptha enable。
【举例】
# 配置TCP连接状态的轮询检测时间间隔为40秒。
<Sysname> system-view
[Sysname] tcp anti-naptha enable
[Sysname] tcp timer check-state 40
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!