- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
12-TCP和ICMP攻击防御命令
本章节下载: 12-TCP和ICMP攻击防御命令 (149.67 KB)
1.1.1 display ip icmp fast-reply statistics
1.1.2 display ipv6 icmpv6 fast-reply statistics
1.1.3 display tcp anti-syn-flood flow-entry
1.1.4 display ipv6 tcp anti-syn-flood flow-entry
1.1.5 ip icmp fast-reply enable
1.1.6 ipv6 icmpv6 fast-reply enable
1.1.7 reset ip icmp fast-reply statistics
1.1.8 reset ipv6 icmpv6 fast-reply statistics
1.1.10 tcp anti-syn-flood duration
1.1.11 tcp anti-syn-flood enable
1.1.12 tcp anti-syn-flood threshold
1.1.13 tcp check-state interval
display ip icmp fast-reply statistics命令用来显示ICMP快速应答的报文统计信息。
【命令】
(独立运行模式)
display ip icmp fast-reply statistics [ slot slot-number ]
(IRF模式)
display ip icmp fast-reply statistics [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的ICMP快速应答的报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板上的ICMP快速应答的报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的ICMP快速应答的报文统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的ICMP快速应答的报文统计信息。(IRF模式)
【举例】
# 显示slot 2上的ICMP快速应答的报文统计信息。(独立运行模式)
<Sysname> display ip icmp fast-reply statistics slot 2
Number of fast replied ICMP messages: 419455
表1-1 display ip icmp fast-reply statistics 命令显示信息描述表
|
字段 |
描述 |
|
Number of fast replied ICMP messages |
ICMP快速应答的报文数统计 |
【相关命令】
· reset ip icmp fast-reply statistics
display ipv6 icmpv6 fast-reply statistics命令用来显示ICMPV6快速应答的报文统计信息。
【命令】
(独立运行模式)
display ipv6 icmpv6 fast-reply statistics [ slot slot-number ]
(IRF模式)
display ipv6 icmpv6 fast-reply statistics [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的ICMPV6快速应答的报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板上的ICMPV6快速应答的报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的ICMPV6快速应答的报文统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的ICMPV6快速应答的报文统计信息。(IRF模式)
【举例】
# 显示slot 2上的ICMPV6快速应答的报文统计信息。(独立运行模式)
<Sysname> display ipv6 icmpv6 fast-reply statistics slot 2
Number of fast replied ICMPv6 messages: 419455
表1-2 display ipv6 icmpv6 fast-reply statistics命令显示信息描述表
|
字段 |
描述 |
|
Number of fast replied ICMPv6 messages |
ICMPv6快速应答的报文数统计 |
【相关命令】
· reset ipv6 icmpv6 fast-reply statistics
display tcp anti-syn-flood flow-entry命令用来显示TCP SYN Flood攻击防范流模式的IPv4表项。
【命令】
(独立运行模式)
display tcp anti-syn-flood flow-entry [ count | [ [ all | vpn-instance vpn-instance-name ] | destination-port port-number | source ipv4-address ] * ] slot slot-number
(IRF模式)
display tcp anti-syn-flood flow-entry [ count | [ [ all | vpn-instance vpn-instance-name ] | destination-port port-number | source ipv4-address ] * ] chassis chassis-number slot slot-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
count:显示TCP SYN Flood攻击防范流模式的所有IPv4表项的数目。
all:显示所有TCP SYN Flood攻击防范流模式的IPv4表项,包括公网和私网。
vpn-instance vpn-instance-name:显示指定VPN实例的TCP SYN Flood攻击防范流模式的IPv4表项。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示所有公网流模式的IPv4表项。
destination-port port-number:显示指定攻击目的端口号的TCP SYN Flood攻击防范流模式的IPv4表项。port-number表示端口号,取值范围1~65535。如果未指定本参数,则显示所有流模式的IPv4表项。
source ipv4-address:显示指定攻击源ip地址的TCP SYN Flood攻击防范流模式的IPv4表项。ipv4-address表示ip地址。如果未指定本参数,则显示所有流模式的ipv4表项。
slot slot-number:显示指定单板的TCP SYN Flood攻击防范流模式的IPv4表项。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的TCP SYN Flood攻击防范流模式的IPv4表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【使用指导】
TCP SYN Flood攻击防御根据源IPv4地址、目的端口号和VPN来标识一条数据流进行报文统计。
【举例】
# 显示Slot1上公网的TCP SYN Flood攻击防范流模式的IPv4表项。
<Sysname> display tcp anti-syn-flood flow-entry slot 1
SrcAddr DstPort VPN
1.1.1.1 179 --
# 显示Slot1上公网的TCP SYN Flood攻击防范流模式的IPv4表项的个数。
<Sysname> display tcp anti-syn-flood flow-entry count slot 1
Total flow entries: 1
表1-3 display tcp anti-syn-flood flow-entry命令显示信息描述表
|
字段 |
描述 |
|
SrcAddr |
攻击源IP地址 |
|
DstPort |
攻击目的端口号 |
|
VPN |
VPN实例名称,如果是公网则显示-- |
|
Total flow entries |
流模式的IPv4表项个数 |
【相关命令】
· tcp anti-syn-flood enable
· tcp anti-syn-flood threshold
· tcp anti-syn-flood duration
display ipv6 tcp anti-syn-flood flow-entry命令用来显示TCP SYN Flood攻击防范流模式的IPv6表项。
【命令】
(独立运行模式)
display ipv6 tcp anti-syn-flood flow-entry [ count | [ [ all | vpn-instance vpn-instance-name ] | destination-port port-number | | source ipv6-address ] * ] slot slot-number
(IRF模式)
display ipv6 tcp anti-syn-flood flow-entry [ count | [ [ all | vpn-instance vpn-instance-name ] | destination-port port-number | source ipv6-address ] * ] chassis chassis-number slot slot-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
count:显示TCP SYN Flood攻击防范流模式的所有IPv6表项的数目。
all:显示所有TCP SYN Flood攻击防范流模式的IPv6表项,包括公网和私网。
vpn-instance vpn-instance-name:显示指定VPN实例的TCP SYN Flood攻击防范流模式的IPv6表项。vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示所有公网流模式的IPv6表项。
destination-port port-number:显示指定攻击目的端口号的TCP SYN Flood攻击防范流模式的IPv6表项。port-number表示端口号,取值范围1~65535。如果未指定本参数,则显示所有流模式的IPv6表项。
source ipv6-address:显示指定攻击源ip地址的TCP SYN Flood攻击防范流模式的IPv6表项。ipv6-address 表示ip地址。如果未指定本参数,则显示所有流模式的IPv6表项。
slot slot-number:显示指定单板的TCP SYN Flood攻击防范流模式的IPv6表项。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的TCP SYN Flood攻击防范流模式的IPv6表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【使用指导】
TCP SYN Flood攻击防御根据源IPv6地址、目的端口号和VPN来标识一条数据流进行报文统计。
【举例】
# 显示Slot1上公网的TCP SYN Flood攻击防范流模式的IPv6表项。
<Sysname> display ipv6 tcp anti-syn-flood flow-entry slot 1
SrcAddr DstPort VPN
1::1 179 --
# 显示Slot1上公网的TCP SYN Flood攻击防范流模式的IPv6表项的个数。
<Sysname> display ipv6 tcp anti-syn-flood flow-entry count slot 1
Total flow entries: 1
表1-4 display tcp anti-syn-flood flow-entry命令显示信息描述表
|
字段 |
描述 |
|
SrcAddr |
攻击源IPv6地址 |
|
DstPort |
攻击目的端口号 |
|
VPN |
VPN实例名称,如果是公网则显示-- |
|
Total flow entries |
流模式的IPv6表项个数 |
【相关命令】
· tcp anti-syn-flood enable
· tcp anti-syn-flood threshold
· tcp anti-syn-flood duration
ip icmp fast-reply enable命令用来开启ICMP快速应答功能。
undo ip icmp fast-reply enable命令用来关闭ICMP快速应答功能。
【命令】
ip icmp fast-reply enable
undo ip icmp fast-reply enable
【缺省情况】
ICMP快速应答功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
为了防止ICMP请求报文攻击,用户可以开启ICMP快速应答功能,对于收到的ICMP请求报文由硬件快速应答。
【举例】
# 开启ICMP快速应答功能。
<Sysname> system-view
[Sysname] ip icmp fast-reply enable
【相关命令】
· ipv6 icmpv6 fast-reply enable
ipv6 icmpv6 fast-reply enable命令用来开启ICMPv6快速应答功能。
undo ipv6 icmpv6 fast-reply enable命令用来关闭ICMPv6快速应答功能。
【命令】
ipv6 icmpv6 fast-reply enable
undo ipv6 icmpv6 fast-reply enable
【缺省情况】
ICMPv6 快速应答功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
为了防止ICMPv6请求报文攻击,用户可以开启ICMPv6快速应答功能,对于收到的ICMPv6请求报文由硬件快速应答。
【举例】
# 开启ICMPv6快速应答功能。
<Sysname> system-view
[Sysname] ipv6 icmpv6 fast-reply enable
【相关命令】
· ip icmp fast-reply enable
reset ip icmp fast-reply statistics命令用来清除ICMP快速应答的报文统计信息。
【命令】
(独立运行模式)
reset ip icmp fast-reply statistics [ slot slot-number ]
(IRF模式)
reset ip icmp fast-reply statistics [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:清除指定单板的ICMP快速应答的报文统计信息。slot-number表示单板的槽位号。如果不指定该参数,则表示清除所有单板的ICMP快速应答的报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的ICMP快速应答的报文统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。如果没有指定该参数,则表示清除所有成员设备的所有单板上的ICMP快速应答的报文统计信息。(IRF模式)
【举例】
# 清除指定单板上的ICMP快速应答的报文统计信息。(独立运行模式)
<Sysname> reset ip icmp fast-reply statistics slot 2
【相关命令】
· display ip icmp fast-reply statistics
reset ipv6 icmpv6 fast-reply statistics命令用来清除ICMPv6快速应答的报文统计信息。
【命令】
(独立运行模式)
reset ipv6 icmpv6 fast-reply statistics [ slot slot-number ]
(IRF模式)
reset ipv6 icmpv6 fast-reply statistics [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:清除指定单板的ICMPv6快速应答的报文统计信息。slot-number表示单板的槽位号。如果不指定该参数,则表示清除所有单板的ICMPv6快速应答的报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的ICMPv6快速应答的报文统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。如果没有指定该参数,则表示清除所有成员设备的所有单板上的ICMPv6快速应答的报文统计信息。(IRF模式)
【举例】
# 清除指定单板上的ICMPv6快速应答的报文统计信息。(独立运行模式)
<Sysname> reset ipv6 icmpv6 fast-reply statistics slot 2
【相关命令】
· display ipv6 icmpv6 fast-reply statistics
tcp anti-naptha enable命令用来开启防止Naptha攻击功能。
undo tcp anti-naptha enable命令用来关闭防止Naptha攻击功能。
【命令】
tcp anti-naptha enable
undo tcp anti-naptha enable
【缺省情况】
防止Naptha攻击功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启防止Naptha攻击功能后,设备周期性地对各状态的TCP连接数进行检测(检测周期由tcp check-state interval命令配置),当某状态的最大TCP连接数超过指定的最大连接数后(最大连接数由tcp state命令配置),将加速该状态下TCP连接的老化。
【举例】
# 开启防止Naptha攻击功能。
<Sysname> system-view
[Sysname] tcp anti-naptha enable
【相关命令】
· tcp state
· tcp check-state interval
tcp anti-syn-flood duration命令用来配置TCP SYN Flood攻击防范的持续时间。
undo tcp anti-syn-flood duration命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood duration minutes
undo tcp anti-syn-flood duration
【缺省情况】
TCP SYN Flood攻击防范的持续时间为5分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
duration minutes:TCP SYN Flood攻击防范的持续时间,取值范围为1~3600,单位为分钟。
【使用指导】
开启TCP SYN Flood攻击防范功能后,设备处于攻击检测状态。当监测到存在SYN Flood攻击时,则进入攻击防范状态,限速或者丢弃后续收到的SYN报文。在攻击防范的持续时间到达后,设备由攻击防范状态恢复为攻击检测状态。
【举例】
# 配置TCP SYN Flood攻击防范的持续时间为10分钟。
<Sysname> system-view
[Sysname] tcp anti-syn-flood duration 10
【相关命令】
· tcp anti-syn-flood enable
· tcp anti-syn-flood threshold
tcp anti-syn-flood enable命令用来开启TCP SYN Flood攻击防范功能。
undo tcp anti-syn-flood enable命令用来关闭TCP SYN Flood攻击防范功能。
【命令】
tcp anti-syn-flood enable
undo tcp anti-syn-flood enable
【缺省情况】
TCP SYN Flood攻击防范功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
根据TCP协议,TCP连接的建立需要经过三次握手。利用TCP连接的建立过程,一些恶意的攻击者可以进行SYN Flood攻击。攻击者向设备发送大量请求建立TCP连接的SYN报文,而不回应设备的SYN ACK报文,导致设备上建立了大量的TCP半连接。从而达到耗费设备资源,使设备无法处理正常业务的目的。
开启TCP SYN Flood攻击防范功能后,设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文后,如果SYN报文的速率达到或超过触发阈值,即认为存在攻击,设备限速或者丢弃后续收到的SYN报文。
【举例】
# 开启TCP SYN Flood攻击防范功能。
<Sysname> system-view
[Sysname] tcp anti-syn-flood enable
【相关命令】
· tcp anti-syn-flood threshold
· tcp anti-syn-flood duration
tcp anti-syn-flood threshold命令用来配置TCP SYN Flood攻击防范的触发阈值。
undo tcp anti-syn-flood threshold命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood threshold threshold-value
undo tcp anti-syn-flood threshold
【缺省情况】
TCP SYN Flood攻击防范的触发阈值为100。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold threshold-value:TCP SYN Flood 攻击防范的触发阈值,即每秒钟收到SYN报文的最大数目,取值范围为1~1000000。
【使用指导】
开启TCP SYN Flood攻击防范功能后,设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文后,如果SYN报文的速率达到或超过触发阈值,即认为存在攻击,设备限速或者丢弃后续收到的SYN报文。
【举例】
# 配置TCP SYN Flood攻击防范的触发阈值为200。
<Sysname> system-view
[Sysname] tcp anti-syn-flood threshold 200
【相关命令】
· tcp anti-syn-flood enable
· tcp anti-syn-flood duration
tcp check-state interval命令用来配置TCP连接状态的检测周期。
undo tcp check-state interval命令用来恢复缺省情况。
【命令】
tcp check-state interval interval
undo tcp check-state interval
【缺省情况】
TCP连接状态的检测周期为30秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:TCP连接状态的检测周期,取值范围为1~60,单位为秒。
【使用指导】
设备周期性地检测处于CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五种状态的TCP连接数,如果检测到某个状态的TCP连接数目超过设定的最大连接数时,将加速该状态下TCP连接的老化。
开启防止Naptha攻击功能后,设备才会周期性地对各状态的TCP连接数进行检测。
【举例】
# 配置TCP连接状态的检测周期为40秒。
<Sysname> system-view
[Sysname] tcp check-state interval 40
【相关命令】
· tcp anti-naptha enable
· tcp state
tcp state命令用来配置TCP连接的某一状态下的最大TCP连接数。
undo tcp state命令用来恢复为缺省情况。
【命令】
tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit number
undo tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit
【缺省情况】
CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五种状态最大TCP连接数均为50。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
closing:TCP连接的CLOSING状态。
established:TCP连接的ESTABLISHED状态。
fin-wait-1:TCP连接的FIN_WAIT_1状态。
fin-wait-2:TCP连接的FIN_WAIT_2状态。
last-ack:TCP连接的LAST_ACK状态。
connection-limit number:最大TCP连接数,取值范围为0~500,取值为0时,表示不会加速该状态下TCP连接的老化。
【使用指导】
开启防止Naptha攻击功能后,各状态的最大TCP连接数限制才能生效,连接数目超过最大连接数后,将加速该状态下TCP连接的老化。
【举例】
# 配置ESTABLISHED状态下的最大TCP连接数为100。
<Sysname> system-view
[Sysname] tcp state established connection-limit 100
【相关命令】
· tcp anti-naptha enable
· tcp check-state interval
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
