06-WIPS命令
本章节下载: 06-WIPS命令 (470.38 KB)
1.1.9 apply ap-classification rule
1.1.10 apply classification policy
1.1.11 apply countermeasure policy
1.1.15 association-table-overflow
1.1.19 client-association fast-learn enable
1.1.25 countermeasure attack all
1.1.26 countermeasure attack deauth-broadcast
1.1.27 countermeasure attack disassoc-broadcast
1.1.28 countermeasure attack honeypot-ap
1.1.29 countermeasure attack hotspot-attack
1.1.30 countermeasure attack ht-40-mhz-intolerance
1.1.31 countermeasure attack malformed-packet
1.1.32 countermeasure attack man-in-the-middle
1.1.33 countermeasure attack omerta
1.1.34 countermeasure attack power-save
1.1.35 countermeasure attack soft-ap
1.1.36 countermeasure attack unencrypted-trust-client
1.1.37 countermeasure attack weak-iv
1.1.38 countermeasure attack windows-bridge
1.1.39 countermeasure external-ap
1.1.40 countermeasure mac-address
1.1.41 countermeasure misassociation-client
1.1.42 countermeasure misconfigured-ap
1.1.44 countermeasure potential-authorized-ap
1.1.45 countermeasure potential-external-ap
1.1.46 countermeasure potential-rogue-ap
1.1.47 countermeasure rogue-ap
1.1.48 countermeasure unauthorized-client
1.1.49 countermeasure uncategorized-ap
1.1.50 countermeasure uncategorized-client
1.1.52 deauthentication-broadcast
1.1.55 disassociation-broadcast
1.1.58 display wips statistics
1.1.59 display wips virtual-security-domain countermeasure record
1.1.60 display wips virtual-security-domain device
1.1.61 display wlan nat-detect
1.1.63 flood association-request
1.1.76 flood reassociation-request
1.1.86 invalid-oui-classify illegal
1.1.88 malformed duplicated-ie
1.1.90 malformed illegal-ibss-ess
1.1.91 malformed invalid-address-combination
1.1.92 malformed invalid-assoc-req
1.1.94 malformed invalid-deauth-code
1.1.95 malformed invalid-disassoc-code
1.1.96 malformed invalid-ht-ie
1.1.97 malformed invalid-ie-length
1.1.98 malformed invalid-pkt-length
1.1.99 malformed large-duration
1.1.100 malformed null-probe-resp
1.1.101 malformed overflow-eapol-key
1.1.102 malformed overflow-ssid
1.1.103 malformed redundant-ie
1.1.105 manual-classify mac-address
1.1.106 match all(AP classification rule view)
1.1.107 match all(signature rule view)
1.1.115 reset wips embedded-oui
1.1.117 reset wips virtual-security-domain
1.1.118 reset wips virtual-security-domain countermeasure record
1.1.127 ssid (AP classification rule view)
1.1.128 ssid(signature rule view)
1.1.133 unencrypted-authorized-ap
1.1.134 unencrypted-trust-client
1.1.136 virtual-security-domain
1.1.141 wips virtual-security-domain
access-scan enable命令用来开启Sensor在接入时间段内执行WIPS扫描功能。
undo access-scan enable命令用来关闭Sensor在接入时间段内执行WIPS扫描功能。
Sensor在接入时间段内执行WIPS扫描功能处于关闭状态。
【视图】
WIPS视图
【缺省用户角色】
network-admin
【使用指导】
Sensor在接入时间段内开启WIPS扫描后,WIPS的检测和防御效果将会增强,但同时无线客户端的接入能力将减弱。
# 开启Sensor在接入时间段内的WIPS扫描功能。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] access-scan enable
ap-channel-change命令用来开启AP信道变化检测功能。
undo ap-channel-change命令用来关闭AP信道变化检测功能。
【命令】
ap-channel-change [ quiet quiet-value ]
undo ap-channel-change
【缺省情况】
AP信道变化检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到AP信道变化,设备也不会发送告警日志。
【举例】
# 开启AP信道变化的检测功能。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] ap-channel-change quiet 5
ap-classification rule命令用来创建AP分类规则,并进入AP分类规则视图。如果指定ID的AP分类规则已经存在,则直接进入AP分类规则视图。
undo ap-classification rule命令用来删除指定的AP分类规则。
【命令】
ap-classification rule rule-id
undo ap-classification rule rule-id
【缺省情况】
不存在AP分类规则。
【视图】
WIPS视图
【缺省用户角色】
network-admin
【参数】
rule-id:AP分类规则的ID,取值范围为1~65535。
【举例】
# 创建并进入ID为1的AP分类规则视图。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] ap-classification rule 1
ap-flood命令用来开启AP泛洪攻击检测功能。
undo ap-flood命令用来关闭AP泛洪攻击检测功能。
【命令】
ap-flood [ apnum apnum-value | exceed exceed-value | quiet quiet-value ] *
undo ap-flood
【缺省情况】
AP泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
apnum apnum-value:无线网络中AP设备的基准值,取值范围为10~200,缺省值为80。
exceed exceed-value:允许超过基准值的最大个数,取值范围为10~200,缺省值为80。当检测到AP设备数量超过基准值与允许超过基准值的最大个数之和,即判定设备受到AP 泛洪攻击,设备会发送告警日志。
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到AP泛洪攻击,设备也不会发送告警日志。
【举例】
# 开启AP泛洪攻击检测功能,AP设备的基准值为50,允许超过基准值的最大个数为50,静默时间为100秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] ap-flood apnum 50 exceed 50 quiet 100
ap-impersonation命令用来开启AP扮演者攻击检测功能。
undo ap-impersonation命令用来关闭AP扮演者攻击检测功能。
【命令】
ap-impersonation [ quiet quiet-value ]
undo ap-impersonation
【缺省情况】
AP扮演者攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的AP扮演者攻击达到告警阈值,也不会发送告警日志。
【举例】
# 在名称为home的分类策略中开启AP扮演者攻击检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] ap-impersonation quiet 360
ap-rate-limit命令用来配置AP表项学习的速率。
undo ap-rate-limit命令用来恢复缺省情况。
【命令】
ap-rate-limit [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo ap-rate-limit
【缺省情况】
学习AP表项的统计周期为60秒,发送告警信息后的静默时间为1200秒,AP表项的阈值为64。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:学习AP表项的统计周期,取值范围为1~3600,单位为秒。
quiet quiet-value:发送告警信息后的静默时间,取值范围为1200~3600,单位为秒。在静默期间,设备停止学习新的AP表项,也不会发送告警信息。
threshold threshold-value:AP表项的阈值,取值范围为1~4096。当设备在一个统计周期内学习AP表项达到触发阈值,设备会发送告警信息。
【举例】
# 配置AP表项学习的速率,学习AP表项的统计周期为60秒,发送告警信息后的静默时间为1600秒,AP表项的阈值为100。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] ap-rate-limit interval 60 quiet 1600 threshold 100
【相关命令】
· ap-timer
ap-spoofing命令用来开启AP地址仿冒检测功能。
undo ap-spoofing命令用来关闭AP地址仿冒检测功能。
【命令】
ap-spoofing [ quiet quiet-value ]
undo ap-spoofing
【缺省情况】
AP地址仿冒检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备再次检测到AP地址仿冒也不会发送告警信息。
【使用指导】
开启本功能后,如果设备检测到AP地址仿冒,则会发送告警信息。
【举例】
# 开启AP地址仿冒检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] ap-spoofing quiet 360
ap-timer命令用来配置AP表项的时间参数。
undo ap-timer命令用来恢复缺省情况。
【命令】
ap-timer inactive inactive-value aging aging-value
undo ap-timer
【缺省情况】
AP表项的非活跃时间为300秒,老化时间为600秒。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
inactive inactive-value:非活跃时间,取值范围为60~1200,单位为秒。
aging aging-value:老化时间,取值范围为120~86400,单位为秒。
【使用指导】
非活跃时间为从创建AP表项到其状态变为Inactive的时间;老化时间为从创建AP表项到删除AP表项的时间。
配置的老化时间必须大于非活跃时间。
【举例】
# 配置AP表项的时间参数,非活跃时间为120秒,老化时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] ap-timer inactive 120 aging 360
【相关命令】
· ap-rate-limit
apply ap-classification rule命令用来在分类策略中应用AP分类规则。
undo apply ap-classification rule命令用来取消应用的AP分类规则。
【命令】
apply ap-classification rule rule-id { authorized-ap | { { external-ap | misconfigured-ap | rogue-ap } [ severity-level level ] } }
undo apply ap-classification rule rule-id
【缺省情况】
分类策略中没有应用AP分类规则。
【视图】
分类视图
【缺省用户角色】
network-admin
【参数】
rule-id:AP分类规则的ID,取值范围为1~65535。
authorized-ap:通过合法认证的AP。
external-ap:外部的AP。
misconfigured-ap:错误配置的AP。
rogue-ap:非法的AP。
level:应用AP分类规则后设置的AP危险级别,取值范围为1~100,缺省值为50。
【举例】
# 将ID为1的AP分类规则应用到名称为home的分类策略内,并将AP分类为非法的AP,危险级别定义为80。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] classification policy home
[Sysname-wips-cls-home] apply ap-classification rule 1 rogue-ap severity-level 80
【相关命令】
· ap-classification rule
apply classification policy命令用来在VSD(Virtual Security Domain,虚拟安全域)上应用分类策略。
undo apply classification policy命令用来取消应用的分类策略。
【命令】
apply classification policy policy-name
undo apply classification policy policy-name
【缺省情况】
没有在VSD上应用分类策略。
【视图】
VSD视图
【缺省用户角色】
network-admin
【参数】
policy-name:分类策略名称,为1~63个字符的字符串,区分大小写。
【举例】
# 在VSD上应用分类策略policy1。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] virtual-security-domain home
[Sysname-wips-vsd-home] apply classification policy policy1
apply countermeasure policy命令用来在VSD上应用反制策略。
undo apply countermeasure policy命令用来取消应用的反制策略。
【命令】
apply countermeasure policy policy-name
undo apply countermeasure policy policy-name
【缺省情况】
没有在VSD上应用反制策略。
【视图】
VSD视图
【缺省用户角色】
network-admin
【参数】
policy-name:反制策略名称,为1~63个字符的字符串,区分大小写。
【举例】
# 在VSD上应用反制策略policy2。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] virtual-security-domain home
[Sysname-wips-vsd-home] apply countermeasure policy policy2
apply detect policy命令用来在VSD上应用攻击检测策略。
undo apply detect policy命令用来取消应用的攻击检测策略。
【命令】
apply detect policy policy-name
undo apply detect policy policy-name
【缺省情况】
没有在VSD上应用攻击检测策略。
【视图】
VSD视图
【缺省用户角色】
network-admin
【参数】
policy-name:攻击检测策略名称,为1~63个字符的字符串,区分大小写。
【举例】
# 在VSD上应用攻击检测策略policy2。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] virtual-security-domain home
[Sysname-wips-vsd-home] apply detect policy policy2
apply signature policy命令用来在VSD内应用Signature策略。
undo apply signature policy命令用来取消应用的Signature策略。
【命令】
apply signature policy policy-name
undo apply signature policy policy-name
【缺省情况】
VSD内没有应用Signature策略。
【视图】
VSD视图
【缺省用户角色】
network-admin
【参数】
policy-name:Signature策略的名称,为1~63个字符的字符串,区分大小写。
【举例】
# 将名为policy1的Signature策略应用到名为home的VSD内。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] virtual-security-domain home
[Sysname-wips-vsd-home] apply signature policy policy1
apply signature rule命令用来在Signature策略中应用Signature规则。
undo apply signature rule命令用来取消应用的Signature规则。
【命令】
apply signature rule rule-id
undo apply signature rule rule-id
【缺省情况】
Signature策略中没有应用Signature规则。
【视图】
Signature策略视图
【缺省用户角色】
network-admin
【参数】
rule-id:规则的规则编号值,取值范围为1~65535。
【举例】
# 配置Signature策略office中应用ID为1的Signature规则。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] signature policy office
[Sysname-wips-sig-office] apply signature rule 1
association-table-overflow命令用来开启关联/重关联DoS攻击检测功能。
undo association-table-overflow命令用来关闭关联/重关联DoS攻击检测功能。
【命令】
association-table-overflow [ quiet quiet-value ]
undo association-table-overflow
【缺省情况】
关联/重关联DoS攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到关联/重关联DoS攻击,设备也不会发送告警日志。
【举例】
# 配置开启关联/重关联DoS攻击检测功能,静默时间为100。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] association-table-overflow quiet 100
authentication命令用来在AP分类规则中对AP使用无线服务的安全认证方式进行匹配。
undo authentication命令用来恢复缺省情况。
【命令】
authentication { equal | include } { 802.1x | none | other | psk }
undo authentication
【缺省情况】
没有在AP分类规则中对AP使用无线服务的安全认证方式进行匹配。
【视图】
AP分类规则视图
【缺省用户角色】
network-admin
【参数】
equal:匹配项与条件相同。
include:匹配项包含条件。
802.1x:认证方式为802.1X认证。
none:无认证。
other:认证方式为除802.1X和PSK之外的其他认证。
psk:认证方式为PSK认证。
【举例】
# 在ID为1的AP分类策略中对采用PSK认证方式接入无线网络的AP设备进行匹配。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] ap-classification rule 1
[Sysname-wips-cls-rule-1] authentication equal psk
block mac-address命令用来将指定的MAC地址添加到静态禁用设备列表中。
undo block mac-address命令用来删除静态禁用设备列表中的MAC地址。
【命令】
block mac-address mac-address
undo block mac-address { mac-address | all }
【缺省情况】
静态禁用设备列表中不存在MAC地址。
【视图】
分类策略视图
【缺省用户角色】
network-admin
【参数】
mac-address:AP或客户端的MAC地址,格式为H-H-H。
all:所有MAC地址。
【举例】
# 将MAC地址78AC-C0AF-944F添加到静态禁用设备列表中。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] classification policy home
[Sysname-wips-cls-home] block mac-address 78AC-C0AF-944F
classification policy命令用来创建分类策略,并进入分类策略视图。如果指定的分类策略已经存在,则直接进入分类策略视图。
undo classification policy命令用来删除分类策略。
【命令】
classification policy policy-name
undo classification policy policy-name
【缺省情况】
不存在分类策略。
【视图】
WIPS视图
【缺省用户角色】
network-admin
【参数】
policy-name:分类策略名称,为1~63个字符的字符串,区分大小写。
【举例】
# 创建名称为home的分类策略,并进入分类策略视图。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] classification policy home
[Sysname-wips-cls-home]
client-association fast-learn enable命令用来开启Sensor快速学习客户端关联表项的功能。
undo client-association fast-learn enable命令用来关闭Sensor快速学习客户端关联表项的功能。
【命令】
client-association fast-learn enable
undo client-association fast-learn enable
【缺省情况】
Sensor快速学习客户端关联表项的功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【使用指导】
客户端关联表项是指客户端关联AP后在AC上建立的用于保存客户端信息的表项。
客户端关联AP时,需要向AP发送关联请求帧,然后AP向客户端发送关联响应帧,未开启本功能的情况下,Sensor必须等AP向客户端发送关联响应帧,客户端与AP关联成功后,才能学习网络中客户端的关联表项。开启本功能后,Sensor只需要在客户端发送关联请求帧或AP向客户端发送关联响应帧时,便可学习客户端关联表项,这样可以尽快学习到客户端关联表项,而不必等到一个完整的关联交互过程结束后。
如果Sensor在客户端发送关联请求帧时学习到了客户端关联表项,则在AP向客户端发送关联响应帧时会更新该表项,即每次检测到客户端发送给AP的关联请求帧或AP发送给客户端的关联响应帧时,都会更新客户端关联表项。
本功能虽然可以提高Sensor学习客户端关联表项的效率,但同时会降低学习客户端关联表项的准确性,因此通常建议在需要快速检测网络中的攻击并进行反制的情况下开启本功能。
【举例】
# 开启Sensor快速学习客户端关联表项的功能。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy 1
[Sysname-wips-dtc-1] client-association fast-learn enable
client-online命令用来在AP分类规则中对AP上已关联的无线客户端数量进行匹配。
undo client-online命令用来恢复缺省情况。
【命令】
client-online value1 [ to value2 ]
undo client-online
【缺省情况】
没有在AP分类规则中对AP上已关联的无线客户端数量进行匹配。
【视图】
AP分类规则视图
【缺省用户角色】
network-admin
【参数】
value1:指定与AP关联的无线客户端数量。value1的取值范围为0~128。
to value2:与value1共同作用,指定与AP关联的无线客户端数量范围,value2的取值范围为0~128且必须大于或等于value1。
【举例】
# 在ID为1的AP分类规则中匹配关联的无线客户端的数量在20~40之间的AP。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] ap-classification rule 1
[Sysname-wips-cls-rule-1] client-online 20 to 40
client-rate-limit命令用来配置客户端表项学习的速率。
undo client -rate-limit命令用来恢复缺省情况。
【命令】
client-rate-limit [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo client-rate-limit
【缺省情况】
学习客户端表项的统计周期为60秒,发送告警信息后的静默时间为1200秒,客户端表项的阈值为512。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:学习客户端表项的统计周期,取值范围为1~3600,单位为秒。
quiet quiet-value:发送告警信息后的静默时间,取值范围为1200~3600,单位为秒。在静默期间,设备停止学习新的客户端表项,也不会发送告警信息。
threshold threshold-value:客户端表项的阈值,取值范围为1~4096。当设备在一个统计周期内学习客户端表项达到触发阈值,设备会发送告警信息。
【举例】
# 配置客户端表项学习的速率,学习客户端表项的统计周期为80秒,发送告警信息后的静默时间为1600秒,客户端表项的阈值为100。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] client-rate-limit interval 80 threshold 100 quiet 1600
【相关命令】
· client-timer
client-spoofing命令用来开启客户端地址仿冒检测功能。
undo client-spoofing命令用来关闭客户端地址仿冒检测功能。
【命令】
client-spoofing [ quiet quiet-value ]
undo client-spoofing
【缺省情况】
客户端地址仿冒检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备再次检测到客户端地址仿冒也不会发送告警信息。
【使用指导】
设备检测到客户端地址仿冒后会发送告警信息。
【举例】
# 开启客户端地址仿冒检测功能,配置发送告警信息后的静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] client-spoofing quiet 360
client-timer命令用来配置客户端表项的时间参数。
undo client-timer命令用来恢复缺省情况。
【命令】
client-timer inactive inactive-value aging aging-value
undo client-timer
【缺省情况】
客户端表项的非活跃时间为300秒,老化时间为600秒。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
inactive inactive-value:从创建客户端表项到非活跃状态的时间,即非活跃时间,取值范围为60~1200,单位为秒。
aging aging-value:从创建客户端表项到删除客户端表项的时间,即老化时间,取值范围为120~86400,单位为秒。
【使用指导】
配置的老化时间必须大于非活跃时间。
【举例】
# 配置客户端表项的时间参数,非活跃时间为120秒,老化时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] client-timer inactive 120 aging 360
【相关命令】
· client-rate-limit
countermeasure adhoc命令用来配置对ad hoc设备进行反制。
undo countermeasure adhoc命令用来恢复缺省情况。
【命令】
countermeasure adhoc
undo countermeasure adhoc
【缺省情况】
未配置对ad hoc设备进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对ad hoc设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure adhoc
countermeasure attack all命令用来配置对所有发起攻击的设备进行反制。
undo countermeasure attack all命令用来恢复缺省情况。
【命令】
countermeasure attack all
undo countermeasure attack all
【缺省情况】
未配置对所有发起攻击的设备进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对所有发起攻击的设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure attack all
countermeasure attack deauth-broadcast命令用来配置对发起广播解除认证帧攻击的设备进行反制。
undo countermeasure deauth-broadcast命令用来恢复缺省情况。
【命令】
countermeasure attack deauth-broadcast
undo countermeasure attack deauth-broadcast
【缺省情况】
未配置对发起广播解除认证帧攻击的设备进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对发起广播解除认证帧攻击的设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure attack deauth-broadcast
countermeasure attack disassoc-broadcast命令用来配置对发起广播解除关联帧攻击的设备进行反制。
undo countermeasure attack disassoc-broadcast命令用来恢复缺省情况。
【命令】
countermeasure attack disassoc-broadcast
undo countermeasure attack disassoc-broadcast
【缺省情况】
未配置对发起广播解除关联帧攻击的设备进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对发起广播解除关联帧攻击的设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure attack disassoc-broadcast
countermeasure attack honeypot-ap命令用来配置对发起蜜罐AP攻击的设备进行反制。
undo countermeasure attack honeypot-ap命令用来恢复缺省情况。
【命令】
countermeasure attack honeypot-ap
undo countermeasure attack honeypot-ap
【缺省情况】
未配置对发起蜜罐AP攻击的设备进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对发起蜜罐AP攻击的设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure attack honeypot-ap
countermeasure attack hotspot-attack命令用来配置对发起热点攻击的设备进行反制。
undo countermeasure attack hotspot-attack命令用来恢复缺省情况。
【命令】
countermeasure attack hotspot-attack
undo countermeasure attack hotspot-attack
【缺省情况】
未配置对发起热点攻击的设备进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对发起热点攻击的设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure attack hotspot-attack
countermeasure attack ht-40-mhz-intolerance命令用来配置对禁用802.11n 40MHz模式的设备进行反制。
undo countermeasure attack ht-40-mhz-intolerance命令用来恢复缺省情况。
【命令】
countermeasure attack ht-40-mhz-intolerance
undo countermeasure attack ht-40-mhz-intolerance
【缺省情况】
未配置对禁用802.11n 40MHz模式的设备进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对禁用802.11n 40MHz模式的设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure attack ht-40-mhz-intolerance
countermeasure attack malformed-packet命令用来配置对发起畸形报文攻击的设备进行反制。
undo countermeasure attack malformed-packet命令用来恢复缺省情况。
【命令】
countermeasure attack malformed-packet
undo countermeasure attack malformed-packet
【缺省情况】
未配置对发起畸形报文攻击的设备进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对发起畸形报文攻击的设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure attack malformed-packet
countermeasure attack man-in-the-middle命令用来配置对发起中间人攻击的设备进行反制。
undo countermeasure attack man-in-the-middle命令用来恢复缺省情况。
【命令】
countermeasure attack man-in-the-middle
undo countermeasure attack man-in-the-middle
【缺省情况】
未配置对发起中间人攻击的设备进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对发起中间人攻击的设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure attack man-in-the-middle
countermeasure attack omerta命令用来配置对发起Omerta攻击的设备进行反制。
undo countermeasure attack omerta命令用来恢复缺省情况。
【命令】
countermeasure attack omerta
undo countermeasure attack omerta
【缺省情况】
未配置对发起Omerta攻击的设备进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对发起Omerta攻击的设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure attack omerta
countermeasure attack power-save命令用来配置对发起节电攻击的设备进行反制。
undo countermeasure attack power-save命令用来恢复缺省情况。
【命令】
countermeasure attack power-save
undo countermeasure attack power-save
【缺省情况】
未配置对发起节电攻击的设备进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对发起节电攻击的设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure attack power-save
countermeasure attack soft-ap命令用来配置对发起软AP攻击的设备进行反制。
undo countermeasure attack soft-ap命令用来恢复缺省情况。
【命令】
countermeasure attack soft-ap
undo countermeasure attack soft-ap
【缺省情况】
未配置对发起软AP攻击的设备进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对发起软AP攻击的设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure attack soft-ap
countermeasure attack unencrypted-trust-client命令用来配置对未加密的信任客户端进行反制。
undo countermeasure attack unencrypted-trust-client命令用来恢复缺省情况。
【命令】
countermeasure attack unencrypted-trust-client
undo countermeasure attack unencrypted-trust-client
【缺省情况】
未配置对未加密的信任客户端进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对未加密的信任客户端进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure attack unencrypted-trust-client
countermeasure attack weak-iv命令用来配置对Weak IV设备进行反制。
undo countermeasure weak-iv命令用来恢复缺省情况。
【命令】
countermeasure attack weak-iv
undo countermeasure attack weak-iv
【缺省情况】
未配置对Weak IV设备进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对Weak IV设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure attack weak-iv
countermeasure attack windows-bridge命令用来配置对Windows网桥设备进行反制。
undo countermeasure attack windows-bridge命令用来恢复缺省情况。
【命令】
countermeasure attack windows-bridge
undo countermeasure attack windows-bridge
【缺省情况】
未配置对Windows网桥设备进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对Windows网桥设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure attack windows-bridge
countermeasure external-ap命令用来配置对外部AP进行反制。
undo countermeasure external-ap命令用来恢复缺省情况。
【命令】
countermeasure external-ap
undo countermeasure external-ap
【缺省情况】
未配置对外部AP进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 对外部AP进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure external-ap
countermeasure mac-address命令用来配置根据指定的MAC地址对设备进行手工反制。
undo countermeasure mac-address命令用来取消根据指定的MAC地址对设备进行手工反制。
【命令】
countermeasure mac-address mac-address
undo countermeasure mac-address { mac-address | all }
【缺省情况】
未配置根据指定的MAC地址对设备进行手工反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【参数】
mac-address:AP或客户端的MAC地址,格式为H-H-H。
all:表示所有AP或客户端的MAC地址。
【使用指导】
可以通过配置多条该命令对多个设备进行手工反制。
【举例】
# 配置对MAC地址为2a11-1fa1-141f的设备进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure mac-address 2a11-1fa1-141f
countermeasure misassociation-client命令用来配置对关联错误的客户端进行反制。
undo countermeasure misassociation-client命令用来恢复缺省情况。
【命令】
countermeasure misassociation-client
undo countermeasure misassociation-client
【缺省情况】
未配置对关联错误的客户端进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 对关联错误的客户端进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure misassociation-client
countermeasure misconfigured-ap命令用来配置对配置错误的AP进行反制。
undo countermeasure misconfigured-ap命令用来恢复缺省情况。
【命令】
countermeasure misconfigured-ap
undo countermeasure misconfigured-ap
【缺省情况】
未配置对配置错误的AP进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 对配置错误的AP进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure misconfigured-ap
countermeasure policy命令用来创建反制策略,并进入反制策略视图。如果指定的反制策略已经存在,则直接进入反制策略视图。
undo countermeasure policy命令用来删除反制策略。
【命令】
countermeasure policy policy-name
undo countermeasure policy policy-name
【缺省情况】
不存在反制策略。
【视图】
WIPS视图
【缺省用户角色】
network-admin
【参数】
policy-name:反制策略的名称,为1~63个字符的字符串,区分大小写。
【举例】
# 创建名称为home的反制策略,并进入反制策略视图。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home]
countermeasure potential-authorized-ap命令用来配置对潜在授权AP进行反制。
undo countermeasure potential-authorized-ap命令用来恢复缺省情况。
【命令】
countermeasure potential-authorized-ap
undo countermeasure potential-authorized-ap
【缺省情况】
未配置对潜在授权AP进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 对潜在授权AP进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure potential-authorized-ap
countermeasure potential-external-ap命令用来配置对潜在外部AP进行反制。
undo countermeasure potential-external-ap命令用来恢复缺省情况。
【命令】
countermeasure potential-external-ap
undo countermeasure potential-external-ap
【缺省情况】
未配置对潜在外部AP进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 对潜在外部AP进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure potential-external-ap
countermeasure potential-rogue-ap命令用来配置对潜在Rogue AP进行反制。
undo countermeasure potential-rogue-ap命令用来恢复缺省情况。
【命令】
countermeasure potential-rogue-ap
undo countermeasure potential-rogue-ap
【缺省情况】
未配置对潜在Rogue AP进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 对潜在Rogue AP进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure potential-rogue-ap
countermeasure rogue-ap命令用来配置对Rogue AP进行反制。
undo countermeasure rogue-ap命令用来恢复缺省情况。
【命令】
countermeasure rogue-ap
undo countermeasure rogue-ap
【缺省情况】
未配置对Rogue AP进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 对Rogue AP进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure rogue-ap
countermeasure unauthorized-client命令用来配置对未授权的客户端进行反制。
undo countermeasure unauthorized-client命令用来恢复缺省情况。
【命令】
countermeasure unauthorized-client
undo countermeasure unauthorized-client
【缺省情况】
未配置对未授权的客户端进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 对未授权的客户端进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure unauthorized-client
countermeasure uncategorized-ap命令用来配置对未确定分类的AP进行反制。
undo countermeasure uncategorized-ap命令用来恢复缺省情况。
【命令】
countermeasure uncategorized-ap
undo countermeasure uncategorized-ap
【缺省情况】
未配置对未确定分类的AP进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 对未确定分类的AP进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure uncategorized-ap
countermeasure uncategorized-client命令用来配置对未确定分类的客户端进行反制。
undo countermeasure uncategorized-client命令用来恢复缺省情况。
【命令】
countermeasure uncategorized-client
undo countermeasure uncategorized-client
【缺省情况】
未配置对未确定分类的客户端进行反制。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【举例】
# 对未确定分类的客户端进行反制。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-cms-home] countermeasure uncategorized-client
deauth-spoofing命令用来开启仿冒Deauthentication帧检测功能。
undo deauth-spoofing命令用来关闭仿冒Deauthentication帧检测功能。
【命令】
deauth-spoofing [ quiet quiet ]
undo deauth-spoofing
【缺省情况】
仿冒Deauthentication帧检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到仿冒Deauthentication帧,设备也不会发送告警日志。
【举例】
# 开启仿冒Deauthentication帧检测功能。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] deauth-spoofing quiet 100
deauthentication-broadcast命令用来开启广播解除认证帧检测功能。
undo deauthentication-broadcast命令用来关闭广播解除认证帧检测功能。
【命令】
deauthentication-broadcast [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo deauthentication-broadcast
【缺省情况】
广播解除认证帧检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测广播解除认证帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的广播解除认证帧的数量达到触发告警阈值,设备也不会发送告警日志。
threshold threshold-value:检测广播解除认证帧达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的广播解除认证帧的数量达到触发告警阈值,即判定设备检测到广播解除认证帧,设备会发送告警日志。
【举例】
# 配置检测广播解除认证帧功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] deauthentication-broadcast interval 100 threshold 100 quiet 360
detect policy命令用来创建攻击检测策略,并进入攻击检测策略视图,如果指定的攻击检测策略已经存在,则直接进入攻击检测策略视图。
undo detect policy命令用来删除攻击检测策略。
【命令】
detect policy policy-name
undo detect policy policy-name
【缺省情况】
不存在攻击检测策略。
【视图】
WIPS视图
【缺省用户角色】
network-admin
【参数】
policy-name:攻击检测策略的名称,为1~63个字符的字符串,区分大小写。
【举例】
# 创建名称为home的攻击检测策略,并进入攻击检测策略视图。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home]
detect signature命令用来开启对符合Signature规则的报文检测功能。
undo detect signature命令用来关闭对符合Signature规则的报文检测功能。
【命令】
detect signature [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo detect
【缺省情况】
对符合Signature规则的报文检测功能处于开启状态。
【视图】
Signature策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:对符合Signature规则的报文检测的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600。
threshold threshold-value:对符合Signature规则的报文检测达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备检测到符合Signature规则的报文的数量达到触发告警阈值,设备会发送告警日志。
【举例】
# 开启对符合Signature规则的报文检测功能,统计周期为60秒,统计次数的阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] signature policy home
[Sysname-wips-sig-home] detect signature interval 60 threshold 100 quiet 360
disassociation-broadcast命令用来开启广播解除关联帧检测功能。
undo disassociation-broadcast命令用来关闭广播解除关联帧检测功能。
【命令】
disassociation-broadcast [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo disassociation-broadcast
【缺省情况】
广播解除关联帧检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测广播解除关联帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的广播解除关联帧的数量达到触发告警阈值,设备也不会发送告警日志。
threshold threshold-value:检测广播解除关联帧达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的广播解除关联帧的数量达到触发告警阈值,即判定设备检测到广播解除关联帧,设备会发送告警日志。
【举例】
# 配置检测广播解除关联帧功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] disassociation-broadcast interval 100 threshold 100 quiet 360
discovered-ap命令用来在AP分类规则中对发现AP的Sensor数量进行匹配。
undo discovered-ap命令用来恢复缺省情况。
【命令】
discovered-ap value1 [ to value2 ]
undo discovered-ap
【缺省情况】
没有在AP分类规则中对发现AP的Sensor数量进行匹配。
【视图】
AP分类规则视图
【缺省用户角色】
network-admin
【参数】
value1:指定匹配发现AP数量。value1的取值范围为1~128。
to value2:与value1共同作用,指定匹配发现AP数量范围,value2的取值范围为1~128且必须大于或等于value1。
【举例】
# 在ID为1的AP分类策略中配置对发现AP的Sensor数量大于10的AP进行匹配。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] ap-classification rule 1
[Sysname-wips-cls-rule-1] discovered-ap 10 to 128
display wips sensor命令用来显示所有Sensor的信息。
【命令】
display wips sensor
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示所有Sensor的信息。
<Sysname> display wips sensor
Total number of sensors: 1
Sensor ID Sensor name VSD name Radio ID Status
3 ap1 aaa 1 Active
表1-1 display wips sensor命令显示信息描述表
字段 |
描述 |
Sensor ID |
Sensor设备的ID |
Sensor name |
Sensor设备的名称 |
VSD name |
AP所在的虚拟安全域 |
Radio ID |
开启WIPS的Radio ID |
Status |
Sensor的状态: · Active:已运行WIPS功能的Sensor · Inactive:未运行WIPS功能的Sensor |
display wips statistics命令用来显示攻击检测统计信息。
【命令】
display wips statistics [ receive | virtual-security-domain vsd-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
receive:所有虚拟安全域中的攻击检测统计信息。
virtual-security-domain vsd-name:指定虚拟安全域中的攻击检测统计。
【举例】
# 显示所有的虚拟安全域中的攻击检测统计信息。
<Sysname> display wips statistics receive
Information from sensor 1
Information about attack statistics:
Detected association-request flood messages: 0
Detected authentication flood messages: 0
Detected beacon flood messages: 0
Detected block-ack flood messages: 0
Detected cts flood messages: 0
Detected deauthentication flood messages: 0
Detected disassociation flood messages: 0
Detected eapol-start flood messages: 0
Detected null-data flood messages: 0
Detected probe-request flood messages: 0
Detected reassociation-request flood messages: 0
Detected rts flood messages: 0
Detected eapol-logoff flood messages: 0
Detected eap-failure flood messages: 0
Detected eap-success flood messages: 0
Detected duplicated-ie messages: 0
Detected fata-jack messages: 0
Detected illegal-ibss-ess messages: 0
Detected invalid-address-combination messages: 0
Detected invalid-assoc-req messages: 0
Detected invalid-auth messages: 0
Detected invalid-deauth-code messages: 0
Detected invalid-disassoc-code messages: 0
Detected invalid-ht-ie messages: 0
Detected invalid-ie-length messages: 0
Detected invalid-pkt-length messages: 0
Detected large-duration messages: 0
Detected null-probe-resp messages: 0
Detected overflow-eapol-key messages: 0
Detected overflow-ssid messages: 0
Detected redundant-ie messages: 0
Detected AP spoof AP messages: 0
Detected AP spoof client messages: 0
Detected AP spoof ad-hoc messages: 0
Detected ad-hoc spoof AP messages: 0
Detected client spoof AP messages: 0
Detected weak IV messages: 0
Detected excess AP messages: 0
Detected excess client messages: 0
Detected signature rule messages: 0
Detected 40MHZ messages: 0
Detected power save messages: 0
Detected omerta messages: 0
Detected windows bridge messages: 0
Detected soft AP messages: 0
Detected broadcast disassociation messages: 0
Detected broadcast deauthentication messages: 0
Detected AP impersonate messages: 0
Detected illegal channel 9 messages: 1
表1-2 display wips statistics命令显示信息描述表
字段 |
描述 |
Information from sensor n |
Sensor n发送的消息,n表示sensor ID |
Information about attack statistics |
关于攻击信息统计 |
Detected association-request flood messages |
检测到关联请求帧的泛洪攻击消息的上报计数 |
Detected authentication flood messages |
检测到鉴权帧的泛洪攻击消息的上报计数 |
Detected beacon flood messages |
检测到Beacon帧的泛洪攻击消息的上报计数 |
Detected block-ack flood messages |
检测到批量确认帧的泛洪攻击消息的上报计数 |
Detected cts flood messages |
检测到允许发送帧的泛洪攻击消息的上报计数 |
Detected deauthentication flood messages |
检测到解除鉴权帧的泛洪攻击消息的上报计数 |
Detected disassociation flood messages |
检测到解除关联帧的泛洪攻击消息的上报计数 |
Detected eapol-start flood messages |
检测到握手开始帧的泛洪攻击消息的上报计数 |
Detected null-data flood messages |
检测到空数据帧的泛洪攻击消息的上报计数 |
Detected probe-request flood messages |
检测到探查请求帧的泛洪攻击消息的上报计数 |
Detected reassociation-request flood messages |
检测到重关联请求帧的泛洪攻击消息的上报计数 |
Detected rts flood messages |
检测到请求发送帧的泛洪攻击消息的上报计数 |
Detected eapol-logoff flood messages |
检测到下线请求帧的泛洪攻击消息的上报计数 |
Detected eap-failure flood messages |
检测到失败类型认证帧的泛洪攻击消息的上报计数 |
Detected eap-success flood messages |
检测到成功类型认证帧的泛洪攻击消息的上报计数 |
Detected duplicated-ie messages |
检测到重复的IE畸形消息的上报计数 |
Detected fata-jack messages |
检测到认证算法错畸形消息的上报计数 |
Detected illegal-ibss-ess messages |
检测到无效IBSS-ESS畸形消息的上报计数 |
Detected invalid-address-combination messages |
检测到无效联合地址畸形消息的上报计数 |
Detected invalid-assoc-req messages |
检测到无效关联请求畸形消息的上报计数 |
Detected invalid-auth messages |
检测到无效鉴权畸形消息的上报计数 |
Detected invalid-deauth-code messages |
检测到无效解除鉴权码畸形消息的上报计数 |
Detected invalid-disassoc-code messages |
检测到无效解除关联码畸形消息的上报计数 |
Detected invalid-ht-ie messages |
检测到无效HT IE畸形消息的上报计数 |
Detected invalid-ie-length messages |
检测到无效IE长度畸形消息的上报计数 |
Detected invalid-pkt-length messages |
检测到无效报文长度畸形消息的上报计数 |
Detected large-duration messages |
检测到超大持续时间畸形消息的上报计数 |
Detected null-probe-resp messages |
检测到空探查响应畸形消息的上报计数 |
Detected overflow-eapol-key messages |
检测到Eapol-key溢出畸形消息的上报计数 |
Detected overflow-ssid messages |
检测到SSID溢出畸形消息的上报计数 |
Detected redundant-ie messages |
检测到冗余的IE畸形消息的上报计数 |
Detected AP spoof AP messages |
检测到AP仿冒AP消息的上报计数 |
Detected AP spoof client messages |
检测到AP仿冒Client消息的上报计数 |
Detected AP spoof ad-hoc messages |
检测到AP仿冒Ad-hoc消息的上报计数 |
Detected ad-hoc spoof AP messages |
检测到Ad-hoc 仿冒AP消息的上报计数 |
Detected client spoof AP messages |
检测到Client仿冒AP消息的上报计数 |
Detected weak IV messages |
检测到弱向量消息的上报计数 |
Detected excess AP messages |
检测到AP设备表项超过规格消息的上报计数 |
Detected excess client messages |
检测到客户端设备表项超过规格消息的上报计数 |
Detected 40MHZ messages |
检测到客户端禁用40MHz模式消息的上报计数 |
Detected power save messages |
检测到节电攻击消息的上报计数 |
Detected omerta messages |
检测到Omerta攻击消息的上报计数 |
Detected windows bridge messages |
检测到Windows网桥消息的上报计数 |
Detected soft AP messages |
检测到软AP消息的上报计数 |
Detected broadcast disassociation messages |
检测到广播解除关联帧消息的上报计数 |
Detected broadcast deauthentication messages |
检测到广播解除认证帧消息的上报计数 |
Detected AP impersonate messages |
检测到AP扮演消息的上报计数 |
Detected illegal channel n messages: |
检测到非法信道流量的计数,n表示信道号 |
【相关命令】
· reset wips statistics
display wips virtual-security-domain countermeasure record命令用来显示指定VSD内被反制过设备的信息。
【命令】
display wips virtual-security-domain vsd-name countermeasure record
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。
【举例】
# 显示VSD office内被反制过设备的信息。
<Sysname> display wips virtual-security-domain office countermeasure record
Total 3 times countermeasure, current 3 countermeasure record in virtual-security-domain office
Reason: Att - attack; Ass - associated; Black - blacklist;
Class - classification; Manu - manual;
MAC address Type Reason Countermeasure AP Radio ID Time
1000-0000-00e3 AP Manu ap1 1 2016-05-03/09:32:01
1000-0000-00e4 AP Manu ap2 1 2016-05-03/09:32:11
2000-0000-f282 Client Black ap3 1 2016-05-03/09:31:56
表1-3 display wips virtual-security-domain countermeasure record命令显示信息描述表
字段 |
描述 |
Total 3 times countermeasure, current 3 countermeasure record in virtual-security-domain office |
累计成功通知反制次数;当前成功通知反制次数,最多可以显示1024条反制记录 |
MAC Address |
检测到的无线设备的MAC地址 |
Type |
无线设备的类型: · AP · Client |
Reason |
无线设备的反制原因: · Att:对发起攻击的设备进行的反制 · Ass:由于关联的AP被反制,导致该AP下关联的客户端也被反制 · Black:当被反制的客户端关联到AC下的AP时,该客户端会被加入到黑名单中 · Class:根据设备分类类型进行的反制 · Manu:根据指定的MAC地址对设备进行手工反制 |
Countermeasure AP |
发起反制设备的Sensor名称 |
Radio ID |
发起反制设备的Sensor的Radio ID |
Time |
通知反制的时间 |
【相关命令】
· reset wips virtual-security-domain countermeasure record
display wips virtual-security-domain device命令用来显示指定VSD内检测到的无线设备的信息。
【命令】
display wips virtual-security-domain vsd-name device [ ap [ ad-hoc | authorized | external | mesh | misconfigured | potential-authorized | potential-external | potential-rogue | rogue | uncategorized ] | client [ [ dissociative-client ] | [ authorized | misassociation | unauthorized | uncategorized ] ] | mac-address mac-address ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。
device:显示所有设备的信息。
ap:显示检测到AP的信息。
ad-hoc:显示运行在Ad hoc模式的AP的信息。
authorized:显示授权AP的信息。
external:显示外部AP的信息。
mesh:显示Mesh链接的信息。
misconfigured:显示配置错误的AP的信息。
potential-authorized:显示潜在授权AP的信息。
potential-rogue:显示潜在Rogue AP的信息。
potential-external:显示潜在外部AP的信息。
rogue:显示Rogue AP的信息。
uncategorized:显示无法确定类别的AP的信息。
client:显示客户端的信息。
dissociative-client:显示游离客户端信息。
authorized:显示授权客户端的信息。
misassociation:显示误关联客户端的信息。
unauthorized:显示未授权客户端的信息。
uncategorized:显示无法确定类别的客户端的信息。
mac-address mac-address:显示指定MAC地址的无线设备的信息,mac-address格式为H-H-H。
verbose:显示检测到设备的详细信息。
【举例】
# 显示在虚拟安全域office内检测到的所有无线设备信息。
<Sysname> display wips virtual-security-domain office device
Total 3 detected devices in virtual-security-domain office
Class: Auth - authorization; Ext - external; Mis - mistake;
Unauth - unauthorized; Uncate - uncategorized;
(A) - associate; (C) - config; (P) - potential;
Ad-hoc; Mesh
MAC address Type Class Duration Sensors Channel Status
1000-0000-0000 AP Ext(P) 00h 10m 46s 1 11 Active
1000-0000-0001 AP Ext(P) 00h 10m 46s 1 6 Active
1000-0000-0002 AP Ext(P) 00h 10m 46s 1 1 Active
表1-4 display wips virtual-security-domain device命令显示信息描述表
字段 |
描述 |
MAC Address |
检测到的无线设备的MAC地址 |
Type |
无线设备的类型: · AP:AP设备 · Client:无线客户端 · Mesh:无线网桥 |
Class |
无线设备的分类类别,具体参见表1-5中的相关内容 |
Duration |
无线设备的当前状态的持续时间 |
Sensors |
检测到该无线设备的Sensor的数量 |
Channel |
最后一次检测到该无线设备的信道 |
Status |
AP或客户端表项的状态: · Active:AP或客户端表项处于活跃状态 · Inactive:AP或客户端表项处于非活跃状态 |
# 显示在虚拟安全域a内检测到的所有无线设备的详细信息。
<Sysname> display wips virtual-security-domain a device verbose
Total 2 detected devices in virtual-security-domain a
AP: 1000-0000-0000
Mesh Neighbor: None
Classification: Mis(C)
Severity level: 0
Classify way: Auto
Status: Active
Status duration: 00h 27m 57s
Vendor: Not found
SSID: service
Radio type: 802.11g
Countermeasuring: No
Security: None
Encryption method: None
Authentication method: None
Broadcast SSID: Yes
QoS supported: No
Ad-hoc: No
Beacon interval: 100 TU
Up duration: 00h 27m 57s
Channel band-width supported: 20MHZ
Hotspot AP: No
Soft AP: No
Honeypot AP: No
Total number of reported sensors: 1
Sensor 1:
Sensor ID: 3
Sensor name: 1
Radio ID: 1
RSSI: 15
Channel: 149
First reported time: 2014-06-03/09:05:51
Last reported time: 2014-06-03/09:05:51
Total number of associated clients: 1
01: 2000-0000-0000
Client: 2000-0000-0000
Last reported associated AP: 1000-0000-0000
Classification: Uncate
Severity level: 0
Classify way: Auto
Dissociative status: No
Status: Active
Status duration: 00h 00m 02s
Vendor: Not found
Radio type: 802.11a
40mhz intolerance: No
Countermeasuring: No
Man in the middle: No
Total number of reported sensors: 1
Sensor 1:
Sensor ID: 2
Sensor name: 1
Radio ID: 1
RSSI: 50
Channel: 149
First reported time: 2014-06-03/14:52:56
Last reported time: 2014-06-03/14:52:56
Reported associated AP: 1000-0000-0000
表1-5 display wips virtual-security-domain device verbose命令显示信息描述表
字段 |
描述 |
Total number detected devices in virtual-security-domain name |
在指定虚拟安全域内检测到无线设备的总数 |
AP |
检测到AP的MAC地址 |
Mesh Neighbor |
Mesh AP邻居的MAC地址 |
Client |
检测到Client的MAC地址 |
Last reported associated AP |
客户端最近一次上报关联AP的MAC地址 |
Classification |
AP或无线客户端的分类: · 对于AP设备有以下几种: ¡ ad_hoc:运行在Ad hoc模式的AP ¡ authorized:授权AP ¡ rogue:非法AP ¡ misconfigured:配置错误的AP ¡ external:外部AP ¡ potential-authorized:潜在授权的AP ¡ potential-rogue:潜在非法的AP ¡ potential-external:潜在外部的AP ¡ uncategorized:无法确认的AP · 对于无线客户端有以下几种: ¡ authorized:授权的客户端 ¡ unauthorized:未授权的客户端 ¡ misassociated:错误关联的客户端 ¡ uncategorized:未分类的客户端 |
Severity level |
检测到设备的安全级别 |
Classify way |
AP或无线客户端的分类方法: · Manual:手工分类 · Invalid OUI:导入无效OUI列表 · Block List:禁用列表 · Associated:与AC关联 · Trust List:信任列表 · User Define:用户自定义分类 · Auto:自动分类 |
Dissociative status |
是否是游离客户端 |
Status |
AP或客户端表项的状态: · Active:AP或客户端表项处于激活状态 · Inactive:AP或客户端表项处于非激活状态 |
Status duration |
设备当前状态的持续时间 |
Vendor |
如果该设备的OUI能够匹配import oui命令导入配置文件中的OUI,则显示设备厂商,没有配置或者没有匹配到显示为Not found |
SSID |
AP提供的SSID |
Radio Type |
无线设备使用的射频模式 |
40MHz intolerance |
客户端是否支持40MHz |
Countermeasuring |
设备是否被反制: · No:没有被反制或是已经被通知反制过 · Yes:正在被反制 |
Man in the middle |
是否是中间人 |
Security |
无线服务使用的安全方式: · None:未配置安全方式 · WEP:WEP(Wired Equivalent Privacy,有线等效加密)方式 · WPA:WPA(Wi-Fi Protected Access,WIFI保护访问)方式 · WPA2:WPA第二版方式 |
Encryption method |
· 无线数据的加密方式: · TKIP:TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)加密 · CCMP:CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[密码块链接-消息验证码]协议)加密 · WEP:WEP(Wired Equivalent Privacy,有线等效加密)加密 · None:无加密方式 |
Authentication method |
AP提供的接入无线网络的认证方式: · None:无认证方式 · PSK:采用PSK认证方式 · 802.1X:采用802.1X认证方式 · Others:采用除PSK和802.1X之外的认证方式 |
Broadcast SSID |
AP是否是广播SSID,如果AP不广播SSID,显示信息的SSID显示为空 |
QoS supported |
是否支持QoS |
Ad-hoc |
是否是Ad hoc |
Beacon interval |
信标间隔,单位为TU,1TU等于1024微秒 |
Up duration |
AP设备从启动到当前的持续时间 |
Channel band-width supported |
支持的信道带宽: · 20/40/80MHZ:AP支持20MHz、40MHz和80MHz的信道带宽 · 20/40MHZ:AP支持20MHz和40MHz的信道带宽 · 20MHZ:AP支持20MHz的信道带宽 |
Hotspot AP |
是否是热点AP |
Soft AP |
是否是软AP |
Honeypot AP |
是否是蜜罐AP |
Sensor n |
发现该设备的Sensor,n为系统自动的编号 |
Sensor ID |
Sensor的ID,即Sensor的APID |
Sensor name |
检测到该无线设备的Sensor的名称 |
Radio ID |
发现该设备的Sensor上的Radio ID |
RSSI |
Sensor的信号强度 |
Channel |
该Sensor最近一次探测到该设备的信道 |
First reported time |
该Sensor第一次检测到该AP或无线客户端的时间 |
Last reported time |
该Sensor最近一次检测到该AP或无线客户端的时间 |
Total number of associated clients |
关联该设备的Client的数量 |
n: H-H-H |
AP上关联的无线客户端的MAC地址,n为系统自动的编号 |
Reported associated AP |
该Sensor上报关联AP的MAC地址 |
【相关命令】
· reset wips virtual-security-domain device
display wlan nat-detect命令用来显示私接代理检测信息。
【命令】
display wlan nat-detect [ mac-address mac-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
mac-address mac-address:显示指定MAC地址的私接代理检测信息。如果不指定本参数,将显示所有的私接代理检测信息。
【举例】
# 显示所有的私接代理检测信息。
<Sysname> display wlan nat-detect
Total 1 detected clients with NAT configured
MAC address Last report First report Duration
0a98-2044-0000 2017-08-24/11:05:23 2017-08-24/10:05:23 01h 15m 00s
表1-6 display wlan nat-detect命令显示信息描述表
字段 |
描述 |
Total number detected clients with NAT configured |
检测到的私接代理设备总数 |
MAC address |
私接代理设备的MAC地址 |
Last report |
最后一次检测到该私接代理设备的时间 |
First report |
第一次检测到该私接代理设备的时间 |
Duration |
私接代理设备总计开启代理的时间 |
【相关命令】
· reset wlan nat-detect
export oui命令用来导出所有的OUI信息。
【命令】
export oui file-name
【视图】
WIPS视图
【缺省用户角色】
network-admin
【参数】
file-name:导出OUI信息到指定文件的名称,1~32个字符的字符串,不区分大小写,且不能包含如下字符:\ / : * ? “ < > |。
【使用指导】
export oui命令用来导出所有的OUI信息到指定的文件,包括WIPS系统OUI库中的OUI信息和导入的配置文件中的OUI信息。
导出文件格式如下:
000FE2 (base 16) New H3C Technologies Co., Ltd..
【举例】
# 导出所有的OUI信息到文件OUIInfo中。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] export oui OUIInfo
【相关命令】
· import oui
· reset wips embedded-oui
flood association-request命令用来开启关联请求帧泛洪攻击检测功能。
undo flood association-request命令用来关闭关联请求帧泛洪攻击检测功能。
【命令】
flood association-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood association-request
【缺省情况】
关联请求帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测关联请求帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的关联请求帧即使达到触发告警阈值,设备也不会发送告警信息。
threshold threshold-value:检测关联请求帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的关联请求帧达到触发阈值,即判定设备受到关联请求帧泛洪攻击,设备会发送告警信息。
【举例】
# 开启关联请求帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood association-request interval 100 threshold 100 quiet 360
flood authentication命令用来开启认证请求帧泛洪攻击检测功能。
undo flood authentication命令用来关闭认证请求帧泛洪攻击检测功能。
【命令】
flood authentication [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood authentication
【缺省情况】
认证请求帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测认证请求帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的认证请求帧即使达到触发告警阈值,设备也不会发送告警信息。
threshold threshold-value:检测认证请求帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的认证请求帧达到触发阈值,即判定设备受到认证请求帧泛洪攻击,设备会发送告警信息。
【举例】
# 开启认证请求帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood authentication interval 100 threshold 100 quiet 360
flood beacon命令用来开启Beacon帧泛洪攻击检测功能。
undo flood beacon命令用来关闭Beacon帧泛洪攻击检测功能。
【命令】
flood beacon [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood beacon
【缺省情况】
Beacon帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测Beacon帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的Beacon帧即使达到触发告警阈值,设备也不会发送告警信息。
threshold threshold-value:检测Beacon帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的Beacon帧达到触发阈值,即判定设备受到Beacon帧泛洪攻击,设备会发送告警信息。
【举例】
# 开启Beacon帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood beacon interval 100 threshold 100 quiet 360
flood block-ack命令用来开启Block ACK帧泛洪攻击检测功能。
undo flood block-ack命令用来关闭Block ACK帧泛洪攻击检测功能。
【命令】
flood block-ack [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood block-ack
【缺省情况】
Block ACK帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测Block ACK帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的Block ACK帧即使达到触发告警阈值,设备也不会发送告警信息。
threshold threshold-value:检测Block ACK帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的Block ACK帧达到触发阈值,即判定设备受到Block ACK帧泛洪攻击,设备会发送告警信息。
【举例】
# 开启Block ACK帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood block-ack interval 100 threshold 100 quiet 360
flood cts命令用来开启CTS帧泛洪攻击检测功能。
undo flood cts命令用来关闭CTS帧泛洪攻击检测功能。
【命令】
flood cts [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood cts
【缺省情况】
CTS帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测CTS帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的CTS帧即使达到触发告警阈值,设备也不会发送告警信息。
threshold threshold-value:检测CTS帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的CTS帧达到触发阈值,即判定设备受到CTS帧泛洪攻击,设备会发送告警信息。
【举例】
# 开启CTS帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood cts interval 100 threshold 100 quiet 360
flood deauthentication命令用来开启解除认证帧泛洪攻击检测功能。
undo flood deauthentication命令用来关闭解除认证帧泛洪攻击检测功能。
【命令】
flood deauthentication [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood deauthentication
【缺省情况】
解除认证帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测解除认证帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的解除认证帧即使达到触发告警阈值,设备也不会发送告警信息。
threshold threshold-value:检测解除认证帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的解除认证帧达到触发阈值,即判定设备受到解除认证帧泛洪攻击,设备会发送告警信息。
【举例】
#开启解除认证帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood deauthentication interval 100 threshold 100 quiet 360
flood disassociation命令用来开启解除关联帧泛洪攻击检测功能。
undo flood disassociation命令用来关闭解除关联帧泛洪攻击检测功能。
【命令】
flood disassociation [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood disassociation
【缺省情况】
解除关联帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测解除关联帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的解除关联帧即使达到触发告警阈值,设备也不会发送告警信息。
threshold threshold-value:检测解除关联帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的解除关联帧达到触发阈值,即判定设备受到解除关联帧泛洪攻击,设备会发送告警信息。
【举例】
# 开启解除关联帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood disassociation interval 100 threshold 100 quiet 360
flood eap-failure命令用来开启EAP-Failure帧泛洪攻击检测功能。
undo flood eap-failure命令用来关闭EAP-Failure帧泛洪攻击检测功能。
【命令】
flood eap-failure [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood eap-failure
【缺省情况】
EAP-Failure帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测EAP-Failure帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的EAP-Failure帧的数量达到触发告警阈值,也不会发送告警日志。
threshold threshold-value:检测EAP-Failure帧的数量达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAP-Failure帧的数量达到触发告警阈值,即判定设备受到EAP-Failure帧泛洪攻击,设备会发送告警日志。
【举例】
# 开启EAP-Failure帧的泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood eap-failure interval 100 threshold 100 quiet 360
flood eap-success命令用来开启EAP-Success帧泛洪攻击检测功能。
undo flood eap-success命令用来关闭EAP-Success帧泛洪攻击检测功能。
【命令】
flood eap-success [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood eap-success
【缺省情况】
EAP-Success帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测EAP-Success帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的EAP-Success帧的数量达到触发告警阈值,也不会发送告警日志。
threshold threshold-value:检测EAP-Success帧的数量达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAP-Success帧达到触发告警阈值,即判定设备受到EAP-Success帧泛洪攻击,设备会发送告警日志。
【举例】
# 开启EAP-Success帧的泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood eap-success interval 100 threshold 100 quiet 360
flood eapol-logoff命令用来开启EAPOL-Logoff帧泛洪攻击检测功能。
undo flood eapol-logoff命令用来关闭EAPOL-Logoff帧泛洪攻击检测功能。
【命令】
flood eapol-logoff [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood eapol-logoff
【缺省情况】
EAPOL-Logoff帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测EAPOL-Logoff帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的EAPOL-Logoff帧的数量达到触发告警阈值,也不会发送告警日志。
threshold threshold-value:检测EAPOL-Logoff帧达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAPOL-Logoff帧的数量达到触发告警阈值,即判定设备受到EAPOL-Logoff帧泛洪攻击,设备会发送告警日志。
【举例】
# 开启EAPOL-Logoff帧的泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood eapol-logoff interval 100 threshold 100 quiet 360
flood eapol-start命令用来开启EAPOL-Start帧泛洪攻击检测功能。
undo flood eapol-start命令用来关闭EAPOL-Start帧泛洪攻击检测功能。
【命令】
flood eapol-start [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood eapol-start
【缺省情况】
EAPOL-Start帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测EAPOL-Start帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的EAPOL-Start帧即使达到触发告警阈值,设备也不会发送告警信息。
threshold threshold-value:检测EAPOL-Start帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAPOL-Start帧达到触发阈值,即判定设备受到EAPOL-Start帧泛洪攻击,设备会发送告警信息。
【举例】
# 开启EAPOL-Start帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood eapol-start interval 100 threshold 100 quiet 360
flood null-data命令用来开启Null data帧泛洪攻击检测功能。
undo flood null-data命令用来关闭Null data帧泛洪攻击检测功能。
【命令】
flood null-data [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood null-data
【缺省情况】
Null data帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测Null data帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的Null data帧即使达到触发告警阈值,设备也不会发送告警信息。
threshold threshold-value:检测Null data帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的Null data帧达到触发阈值,即判定设备受到Null data帧泛洪攻击,设备会发送告警信息。
【举例】
# 开启Null data帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood null-data interval 100 threshold 100 quiet 360
flood probe-request命令用来开启探查请求帧泛洪攻击检测功能。
undo flood probe-request命令用来关闭探查请求帧泛洪攻击检测功能。
【命令】
flood probe-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood probe-request
【缺省情况】
探查请求帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测探查请求帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的探查请求帧即使达到触发告警阈值,设备也不会发送告警信息。
threshold threshold-value:检测探查请求帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的探查请求帧达到触发阈值,即判定设备受到探查请求帧泛洪攻击,设备会发送告警信息。
【举例】
# 开启探查请求帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood probe-request interval 100 threshold 100 quiet 360
flood reassociation-request命令用来开启重关联帧泛洪攻击检测功能。
undo flood reassociation-request命令用来关闭重关联帧泛洪攻击检测功能。
【命令】
flood reassociation-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood reassociation-request
【缺省情况】
重关联帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测重关联帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的重关联帧即使达到触发告警阈值,设备也不会发送告警信息。
threshold threshold-value:检测重关联帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的重关联帧达到触发阈值,即判定设备受到重关联帧泛洪攻击,设备会发送告警信息。
【举例】
# 开启重关联帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood reassociation-request interval 100 threshold 100 quiet 360
flood rts命令用来开启RTS帧泛洪攻击检测功能。
undo flood rts命令用来关闭RTS帧泛洪攻击检测功能。
【命令】
flood rts [ interval interval-value | quiet quiet-value | threshold threshold-value ] *
undo flood rts
【缺省情况】
RTS帧泛洪攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测RTS帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的RTS帧即使达到触发告警阈值,设备也不会发送告警信息。
threshold threshold-value:检测RTS帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的RTS帧达到触发阈值,即判定设备受到RTS帧泛洪攻击,设备会发送告警信息。
【举例】
# 开启RTS帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] flood rts interval 100 threshold 100 quiet 360
frame-type命令用来配置Signature规则中匹配帧类型的子规则。
undo frame-type命令用来恢复缺省情况。
【命令】
frame-type { control | data | management [ frame-subtype { association-request | association-response | authentication | beacon | deauthentication | disassociation | probe-request } ] }
undo frame-type
【缺省情况】
未配置Signature规则中匹配帧类型的子规则。
【视图】
Signature规则视图
【缺省用户角色】
network-admin
【参数】
control:控制帧。
data:数据帧。
management:管理帧。
frame-subtype:帧的子类型。
association-request:Association Request帧。
association-response:Association Response帧。
authentication:Authentication帧。
beacon:Beacon帧。
deauthentication:De-authentication帧。
disassociation:Disassociation帧。
probe-request:Probe Request帧。
【举例】
# 配置ID为1的Signature规则中帧类型为数据帧的匹配子规则。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] signature rule 1
[wips-sig-rule-1] frame-type data
【相关命令】
· mac-address
· seq-number
· ssid-length
· ssid(signature rule view)
· pattern
· match all(signature rule view)
honeypot-ap命令用来开启蜜罐AP检测功能。
undo honeypot-ap命令用来关闭蜜罐AP检测功能。
【命令】
honeypot-ap [ similarity similarity-value | quiet quiet-value ] *
undo honeypot-ap
【缺省情况】
蜜罐AP检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
similarity similarity-value:SSID的相似度,取值范围为70~100,缺省值为80。
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到蜜罐AP,设备也不会发送告警日志。
【举例】
# 开启蜜罐AP检测功能,SSID相似度为90%,静默时间为10秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] honeypot-ap similarity 90 quiet 10
hotspot-attack命令用来开启热点攻击检测功能。
undo hotspot-attack命令用来关闭热点攻击检测功能。
【命令】
hotspot-attack [ quiet quiet-value ]
undo hotspot-attack
【缺省情况】
热点攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备检测到热点攻击,设备也不会发送告警日志。
【举例】
# 开启热点攻击检测功能,静默时间为100秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] hotspot-attack quiet 100
【相关命令】
· import hotspot
ht-40mhz-intolerance命令用来开启客户端是否开启了禁用802.11n 40MHz模式检测功能。
undo ht-40mhz-intolerance命令用来关闭客户端是否开启了禁用802.11n 40MHz模式检测功能。
【命令】
ht-40mhz-intolerance [ quiet quiet-value ]
undo ht-40mhz-intolerance
【缺省情况】
客户端是否开启了禁用802.11n 40MHz模式检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到客户端开启了禁用802.11n 40MHz模式,也不会发送告警日志。
【举例】
# 开启客户端是开启了否禁用802.11n 40MHz模式检测功能,静默时间为100秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] ht-40mhz-intolerance quiet 100
ht-greenfield命令用来开启绿野模式检测功能。
undo ht-greenfield命令用来关闭绿野模式检测功能。
【命令】
ht-greenfield [ quiet quiet-value ]
undo ht-greenfield
【缺省情况】
绿野模式检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到AP工作在绿野模式,设备也不会发送告警日志。
【举例】
# 开启绿野模式检测功能,静默时间为100秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] ht-greenfield quiet 100
ignorelist命令用来配置忽略WIPS告警信息的设备列表。
undo ignorelist命令用来删除忽略WIPS告警信息的设备列表。
【命令】
ignorelist mac-address mac-address
undo ignorelist mac-address { mac-address | all }
【缺省情况】
未配置忽略WIPS告警信息的设备列表。
【视图】
WIPS视图
【缺省用户角色】
network-admin
【参数】
mac-address:将要忽略WIPS告警信息的设备列表中添加或删除的无线设备的MAC地址,格式为H-H-H。
all:删除忽略WIPS告警信息的设备列表的所有表项。
【使用指导】
对于忽略WIPS告警信息的设备列表中的无线设备,WIPS会监测其是否存在,但是不会对它的任何行为产生告警。
【举例】
# 配置MAC地址为2a11-1fa1-1311的设备加入到忽略告警信息的设备列表中。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] ignorelist mac-address 2a11-1fa1-1311
import hotspot命令用来导入热点信息的配置文件。
undo import hotspot命令用来删除已导入的热点信息配置文件。
【命令】
import hotspot file-name
undo import hotspot
【缺省情况】
未导入热点信息的配置文件。
【视图】
WIPS视图
【缺省用户角色】
network-admin
【参数】
file-name:导入配置文件名称,1~255个字符的字符串,不区分大小写,且文件名不能包含如下字符:\ / : * ? “ < > |。
【使用指导】
最多只能导入一个热点信息的配置文件。
【举例】
# 导入热点信息的配置文件。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] import hotspot hotspot_cfg
【相关命令】
· hotspot-attack
import oui命令用来导入配置文件中的OUI信息。
undo import oui命令用来恢复缺省情况。
【命令】
import oui file-name
undo import oui
【缺省情况】
未导入配置文件的OUI信息。
【视图】
WIPS视图
【缺省用户角色】
network-admin
【参数】
oui:导入配置文件名称,1~255个字符的字符串,不区分大小写,且文件名不能包含如下字符:\ / : * ? “ < > |。
【使用指导】
· 该配置文件可以从IEEE网站下载。
· 最多只能导入一个配置文件。
【举例】
# 导入配置文件中的OUI信息。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] import oui oui_import_cfg
【相关命令】
· export oui
· reset wips embedded-oui
invalid-oui-classify illegal命令用来配置对非法OUI的设备进行分类。
undo invalid-oui-classify命令用来恢复缺省情况。
【命令】
invalid-oui-classify illegal
undo invalid-oui-classify
【缺省情况】
不对非法OUI的设备进行分类。
【视图】
分类策略视图
【缺省用户角色】
network-admin
【举例】
# 配置对非法OUI的设备进行分类。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] classification policy home
[Sysname-wips-cls-home] invalid-oui-classify illegal
【相关命令】
· import oui
mac-address命令用来配置Signature规则中匹配报文中携带的MAC地址的子规则。
undo mac-address命令用来恢复缺省情况。
【命令】
mac-address { bssid | destination | source } mac-address
undo mac-address
【缺省情况】
未配置Signature规则中匹配报文中携带的MAC地址的子规则。
【视图】
Signature规则视图
【缺省用户角色】
network-admin
【参数】
bssid:对BSSID进行匹配。
destination:对目的MAC地址进行匹配。
source:对源MAC地址进行匹配。
mac-address:指定MAC地址,格式为H-H-H。
【举例】
# 在编号为1的Signature规则中配置匹配报文源MAC地址为000f-e201-0101的子规则。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] signature rule 1
[Sysname-wips-sig-rule-1] mac-address source 000f-e201-0101
【相关命令】
· frame-type
· seq-number
· ssid-length
· ssid(signature rule view)
· pattern
· match all(signature rule view)
malformed duplicated-ie命令用来开启IE重复的畸形报文检测功能。
undo malformed duplicated-ie命令用来关闭IE重复的畸形报文检测功能。
【命令】
malformed duplicated-ie [ quiet quiet-value ]
undo malformed duplicated-ie
【缺省情况】
IE重复的畸形报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到IE重复的畸形报文,也不会发送告警信息。
【使用指导】
该检测是针对所有管理帧的检测。当解析某报文时,该报文所包含的某IE重复出现时,则判断该报文为重复IE畸形报文。因为厂商自定义IE是允许重复的,所以检测IE重复时,不检测厂商自定义IE。
【举例】
# 开启IE重复的畸形报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed duplicated-ie quiet 360
malformed fata-jack命令用来开启Fata-Jack畸形报文检测功能。
undo malformed fata-jack命令用来关闭Fata-Jack畸形报文检测功能。
【命令】
malformed fata-jack [ quiet quiet-value ]
undo malformed fata-jack
【缺省情况】
Fata-Jack畸形报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到Fata-Jack畸形报文,也不会发送告警信息。
【使用指导】
该检测是针对认证帧的检测。Fata-Jack畸形类型规定,当身份认证算法编号即Authentication algorithm number的值等于2时,则判定该帧为Fata-Jack畸形报文。
【举例】
# 开启Fata-Jack畸形报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed fata-jack quiet 360
malformed illegal-ibss-ess命令用开启IBSS和ESS置位异常的畸形报文检测功能。
undo malformed illegal-ibss-ess命令用来关闭IBSS和ESS置位异常的畸形报文检测功能。
【命令】
malformed illegal-ibss-ess [ quiet quiet-value ]
undo malformed illegal-ibss-ess
【缺省情况】
IBSS和ESS置位异常的畸形报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到IBSS和ESS置位异常的畸形报文,也不会发送告警信息。
【使用指导】
该检测是针对Beacon帧和探查响应帧进行的检测。当报文中的IBSS和ESS都置位为1时,由于此种情况在协议中没有定义,所以这类报文被判定为IBSS和ESS置位异常的畸形报文。
【举例】
# 开启IBSS和ESS置位异常的畸形报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed illegal-ibss-ess quiet 360
malformed invalid-address-combination命令用来开启源地址为广播或者组播的认证和关联畸形报文检测功能。
undo malformed invalid-address-combination命令用来关闭源地址为广播或者组播的认证和关联畸形报文检测功能。
【命令】
malformed invalid-address-combination [ quiet quiet-value ]
undo malformed invalid-address-combination
【缺省情况】
源地址为广播或者组播的认证和关联畸形报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到报文长度非法的畸形报文,也不会发送告警信息。
【使用指导】
该检测是针对所有管理帧的检测。当检测到该帧的TO DS等于1时,表明该帧为客户端发给AP的,如果同时又检测到该帧的源MAC地址为广播或组播,则该帧被判定为Invalid-source-address畸形报文。
【举例】
# 开启源地址为广播或者组播的认证和关联畸形报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed invalid-address-combination quiet 360
malformed invalid-assoc-req命令用来开启畸形关联请求报文检测功能。
undo malformed invalid-assoc-req命令用来关闭畸形关联请求报文检测功能。
【命令】
malformed invalid-assoc-req [ quiet quiet-value ]
undo malformed invalid-assoc-req
【缺省情况】
畸形关联请求报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到畸形关联请求报文,也不会发送告警信息。
【使用指导】
该检测是针对认证请求帧的检测。当收到认证请求帧中的SSID长度等于零时,判定该报文为畸形关联请求报文。
【举例】
# 开启畸形关联请求报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed invalid-assoc-req quiet 360
malformed invalid-auth命令用来开启畸形认证请求报文检测功能。
undo malformed invalid-auth命令用来关闭畸形认证请求报文检测功能。
【命令】
malformed invalid-auth [ quiet quiet-value ]
undo malformed invalid-auth
【缺省情况】
畸形认证请求报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到畸形认证请求报文,也不会发送告警信息。
【使用指导】
该检测是针对认证帧的检测。当检测到以下情况时请求认证过程失败,会被判断判定为认证畸形报文。
· 当对认证帧的身份认证算法编号(Authentication algorithm number)的值不符合协议规定,并且其值大于3时;
· 当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number 的值等于1,且状态代码status code不为零时;
· 当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number的值大于4时。
【举例】
# 关闭畸形认证请求报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed invalid-auth quiet 360
malformed invalid-deauth-code命令用来开启含有无效原因值的解除认证畸形报文检测功能。
undo malformed invalid-deauth-code命令用来关闭含有无效原因值的解除认证畸形报文检测功能。
【命令】
malformed invalid-deauth-code [ quiet quiet-value ]
undo malformed invalid-deauth-code
【缺省情况】
含有无效原因值的解除认证畸形报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到含有无效原因值的解除认证畸形报文,也不会发送告警信息。
【使用指导】
该检测是针对解除认证畸形帧的检测。当解除认证畸形帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除认证畸形报文。
【举例】
# 开启含有无效原因值的解除认证畸形报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed invalid-deauth-code quiet 360
malformed invalid-disassoc-code命令用来开启含有无效原因值的解除关联畸形报文检测功能。
undo malformed invalid-disassoc-code命令用来关闭含有无效原因值的解除关联畸形报文检测功能。
【命令】
malformed invalid-disassoc-code [ quiet quiet-value ]
undo malformed invalid-disassoc-code
【缺省情况】
含有无效原因值的解除关联畸形报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到含有无效原因值的解除关联畸形报文,也不会发送告警信息。
【使用指导】
该检测是针对解除关联帧的检测。当解除关联帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除关联畸形报文。
【举例】
# 开启含有无效原因值的解除关联畸形报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed invalid-disassoc-code quiet 360
malformed invalid-ht-ie命令用来开启畸形HT IE报文检测功能。
undo malformed invalid-ht-ie命令用来关闭畸形HT IE报文检测功能。
【命令】
malformed invalid-ht-ie [ quiet quiet-value ]
undo malformed invalid-ht-ie
【缺省情况】
畸形HT IE报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到畸形HT IE报文,也不会发送告警信息。
【使用指导】
该检测是针对Beacon、探查响应帧、关联响应帧、重关联响应帧的检测。当检测到以下情况时,判定为HT IE的畸形报文,发出告警,在静默时间内不再告警。
· 解析出HT Capabilities IE的SM Power Save值为2时;
· 解析出HT Operation IE 的Secondary Channel Offset值等于2时。
【举例】
# 开启畸形HT IE报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed invalid-ht-ie quiet 360
malformed invalid-ie-length命令用来开启IE长度非法的畸形报文检测功能。
undo malformed invalid-ie-length命令用来关闭IE长度非法的畸形报文检测功能。
【命令】
malformed invalid-ie-length [ quiet quiet-value ]
undo malformed invalid-ie-length
【缺省情况】
IE长度非法的畸形报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到IE长度非法的畸形报文,也不会发送告警信息。
【使用指导】
该检测是针对所有管理帧的检测。信息元素(Information Element,简称IE)是管理帧的组成元件,其长度不定。信息元素通常包含一个元素识别码位(Element ID)、一个长度位(Length)以及一个长度不定的位。每种类型的管理帧包含特定的几种IE,IE的长度的取值范围应遵守最新802.11协议的规定。报文解析过程中,当检测到该报文包含的某个IE的长度为非法时,该报文被判定为IE长度非法的畸形报文。
【举例】
# 开启IE长度非法的畸形报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed invalid-ie-length quiet 360
malformed invalid-pkt-length命令用来开启报文长度非法的畸形报文检测功能。
undo malformed invalid-pkt-length命令用来关闭报文长度非法的畸形报文检测功能。
【命令】
malformed invalid-pkt-length [ quiet quiet-value ]
undo malformed invalid-pkt-length
【缺省情况】
报文长度非法的畸形报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到报文长度非法的畸形报文,也不会发送告警信息。
【使用指导】
该检测是针对所有管理帧的检测。当解析完报文主体后,IE的剩余长度不等于零时,则该报文被判定为报文长度非法畸形报文。
【举例】
# 开启报文长度非法的畸形报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed invalid-pkt-length quiet 360
malformed large-duration命令用来开启Duration字段超大的畸形报文检测功能。
undo malformed large-duration命令用来关闭Duration字段超大的畸形报文检测功能。
【命令】
malformed large-duration [ quiet quiet-value | threshold value ]
undo malformed large-duration
【缺省情况】
Duration字段超大的畸形报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到Duration字段超大的畸形报文,也不会发送告警信息。
threshold value:检测报文中Duration字段超大的触发阈值,取值范围为1~32767,缺省值为5000。当设备在一个统计周期内检测报文的Duration字段达到触发阈值,即判定设备受到Duration字段超大的畸形报文,设备会发送告警信息。
【使用指导】
该检测是针对单播管理帧、单播数据帧以及RTS、CTS、ACK帧的检测。如果报文解析结果中该报文的Duration值大于指定的门限值,则为Duration超大的畸形报文。
【举例】
# 开启Duration字段超大的畸形报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed large-duration quiet 360
malformed null-probe-resp命令用来开启无效探查响应报文检测功能。
undo malformed null-probe-resp命令用来关闭无效探查响应报文检测功能。
【命令】
malformed null-probe-resp [ quiet quiet-value ]
undo malformed null-probe-resp
【缺省情况】
无效探查响应报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到无效探查响应报文,也不会发送告警信息。
【使用指导】
该检测是针对探查响应报文。当检测到该帧为非Mesh帧,但同时该帧的SSID Length等于零,这种情况不符合协议(协议规定SSID等于零的情况是Mesh帧),则判定为无效探查响应报文。
【举例】
# 开启无效探查响应报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed null-probe-resp quiet 360
malformed overflow-eapol-key命令用来开启key长度超长的EAPOL报文检测功能。
undo malformed overflow-eapol-key命令用来关闭key长度超长的EAPOL报文检测功能。
【命令】
malformed overflow-eapol-key [ quiet quiet-value ]
undo malformed overflow-eapol-key
【缺省情况】
key长度超长的EAPOL报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到key长度超长的EAPOL报文,也不会发送告警信息。
【使用指导】
该检测是针对EAPOL-Key帧的检测。当检测到该帧的TO DS等于1且其Key Length大于零时,则判定该帧为key长度超长的EAPOL报文。Key length长度异常的恶意的EAPOL-Key帧可能会导致DOS攻击。
【举例】
# 开启key长度超长的EAPOL报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed overflow-eapol-key quiet 360
malformed overflow-ssid命令用来开启SSID长度超长的畸形报文检测功能。
undo malformed overflow-ssid命令用来关闭SSID长度超长的畸形报文检测功能。
【命令】
malformed overflow-ssid [ quiet quiet-value ]
undo malformed overflow-ssid
【缺省情况】
SSID长度超长的畸形报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到SSID长度超长的畸形报文,也不会发送告警信息。
【使用指导】
该检测是针对Beacon、探查请求、探查响应、关联请求帧的检测。当解析报文的SSID length大于32字节时,不符合协议规定的0~32字节的范围,则判定该帧为SSID超长的畸形报文。
【举例】
# 开启SSID长度超长的畸形报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed overflow-ssid quiet 360
malformed redundant-ie命令用来开启多余IE畸形报文检测功能。
undo malformed redundant-ie命令用来关闭多余IE畸形报文检测功能。
【命令】
malformed redundant-ie [ quiet quiet-value ]
undo malformed redundant-ie
【缺省情况】
多余IE畸形报文检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到多余IE畸形报文,也不会发送告警信息。
【使用指导】
该检测是针对所有管理帧的检测。报文解析过程中,当遇到既不属于报文应包含的IE,也不属于reserved IE时,判断该IE为多余IE,则该报文被判定为多余IE畸形报文。
【举例】
# 开启多余IE畸形报文检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] malformed redundant-ie quiet 360
man-in-the-middle命令用来开启中间人攻击检测功能。
undo man-in-the-middle命令用来关闭中间人攻击检测功能。
【命令】
man-in-the-middle [ quiet quiet-value ]
undo man-in-the-middle
【缺省情况】
中间人攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到中间人攻击,设备也不会发送告警日志。
【使用指导】
在配置中间人攻击检测之前需要开启蜜罐AP检测。
【举例】
# 开启中间人攻击检测功能。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] honeypot-ap
[Sysname-wips-dtc-home] man-in-the-middle
manual-classify mac-address命令用来将指定的AP进行手工分类。
undo manual-classify mac-address命令用来恢复缺省情况。
【命令】
manual-classify mac-address mac-address { authorized-ap | external-ap | misconfigured-ap | rogue-ap }
undo manual-classify mac-address { mac-address | all }
【缺省情况】
没有对AP进行手工分类。
【视图】
分类策略视图
【缺省用户角色】
network-admin
【参数】
mac-address:AP的MAC地址,格式为H-H-H。
authorized-ap:将指定AP设置为授权AP。
external-ap:将指定AP设置为外部AP。
misconfigured-ap:将指定AP设置为配置错误的AP。
rogue-ap:将指定AP设置为Rogue AP。
all:取消对所有AP的手工分类。
【举例】
# 将MAC地址为000f-00e2-0001的AP配置为授权AP。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] classification policy home
[Sysname-wips-cls-home] manual-classify mac-address 000f-00e2-0001 authorized-ap
match all命令用来配置AP分类规则的匹配关系为逻辑与。
undo match all命令用来恢复缺省情况。
AP分类规则的匹配关系为逻辑或,即AP只要符合任何一条匹配条件就匹配上此规则。
【视图】
AP分类规则视图
【缺省用户角色】
network-admin
# 配置名称为1的AP分类规则的匹配关系为逻辑与。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] ap-classification rule 1
[Sysname-wips-cls-rule-1] match all
match all命令用来配置Signature规则的匹配子规则的匹配关系为逻辑与。
undo match all命令用来恢复缺省情况。
【命令】
undo match all
【缺省情况】
Signature规则的匹配子规则的匹配关系为逻辑或,即只要符合任何一条匹配条件就匹配上此规则。
【视图】
Signature规则视图
【缺省用户角色】
network-admin
【举例】
# 配置Signature规则1的匹配子规则的匹配关系为逻辑与。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] signature rule 1
[wips-sig-rule-1] match all
【相关命令】
· frame-type
· mac-address
· seq-number
· ssid-length
· ssid(signature rule view)
· pattern
omerta命令用来开启Omerta攻击检测功能。
undo omerta命令用来关闭对Omerta攻击的检测功能。
【命令】
omerta [ quiet quiet-value ]
undo omerta
【缺省情况】
Omerta攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到Omerta攻击,也不会发送告警日志。
【举例】
# 开启Omerta攻击检测功能,静默时间为100秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] omerta quiet 100
oui 命令用来在AP分类规则中对AP设备的OUI信息进行匹配。
undo oui命令用来恢复缺省情况。
【命令】
oui oui-info
undo oui
【缺省情况】
没有在AP分类规则中对AP设备的OUI信息进行匹配。
【视图】
AP分类规则视图
【缺省用户角色】
network-admin
【参数】
oui-info:对AP设备进行匹配的OUI信息,格式XXXXXX,16进制字符串,不区分大小写。
【举例】
# 在ID为1的AP分类规则中配置OUI为000fe4的AP匹配规则。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] ap-classification rule 1
[Sysname-wips-cls-rule-1] oui 000fe4
pattern命令用来配置Signature规则中匹配报文中指定位置的字段的子规则。
undo pattern命令用来恢复缺省情况。
【命令】
pattern pattern-number offset offset-value mask mask value1 [ to value2 ] [ from-payload ]
undo pattern { pattern-number | all }
【缺省情况】
未配置Signature规则中匹配报文中指定位置的字段的子规则。
【视图】
Signature规则视图
【缺省用户角色】
network-admin
【参数】
pattern-number:Signature规则中匹配报文中指定位置的字段的子规则序列号,取值范围0~65535。
offset offset-value:指定匹配字段相对于参考位置的偏移量,offset-value为偏移量,取值范围为0~2346,单位为bit。参考位置可以为帧头部(缺省情况)或帧载荷头部(配置from-payload参数后)。
mask mask:指定用于匹配指定字段的掩码值,mask为十六进制的掩码值,长度为两字节,取值范围为0~ffff。
value1 [ to value2 ]:指定匹配条件值的范围。value1和value2为匹配条件的值,取值范围为0~65535。value2的值要大于或等于value1的值。
from-payload:指定偏移量的参考位置为帧载荷的头部。不指定该参数时,偏移量的参考位置为帧头部。
【举例】
# 在编号为1的Signature规则中,创建以下匹配规则:匹配从报文头开始第2、3两个字节的取值为0x0015~0x0020之间的报文。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] signature rule 1
[Sysname-wips-sig-rule-1] pattern 1 offset 8 mask ffff 15 to 20
【相关命令】
· frame-type
· mac-address
· seq-number
· ssid-length
· ssid(signature rule view)
· match all(signature rule view)
permit-channel命令用来配置合法信道集。
undo permit-channel命令用来删除配置的合法信道集。
【命令】
permit-channel channel-id-list
undo permit-channel { channel-id-list | all }
【缺省情况】
未配置合法信道集。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
channel-id-list :合法信道列表。表示方式为channel-id-list = { value1 [ to value2 ] } &<1-10>,取值范围为1~224,value2的值要大于或等于value1的值,<1-10>表示在一条命令中最多可以配置10个合法信道或合法信道范围。
all:表示删除所有已配置的合法信道。
【使用指导】
在配置非法信道检测之前请先配置合法信道集,否则所有信道都会被检测为非法信道。
【举例】
# 设置合法信道为1。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] permit-channel 1
【相关命令】
· prohibited-channel
power-save命令用来开启节电攻击检测功能。
undo power-save命令用来关闭节电攻击检测功能。
【命令】
power-save [ interval interval-value | minoffpacket packet-value | onoffpercent percent-value | quiet quiet-value ] *
undo power-save
【缺省情况】
节电攻击检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
interval interval-value:检测节电报文的统计周期,取值范围为1~3600,单位为秒,缺省值为10。
minoffpacket packet-value:统计周期内检测到最少节电关闭报文的阈值,取值范围为10~150,单位为个,缺省值为50。
onoffpercent percent-value:检测节电开始报文和节电关闭报文的百分比的阈值,取值范围为0~100,缺省值为80。
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到节电攻击,也不会发送告警日志。
【举例】
# 开启节电攻击检测功能,统计周期为20秒,检测最少节电关闭报文的个数为20,节电开启报文与节电关闭报文的百分比为90,静默时间为100。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] power-save interval 20 minoffpacket 20 onoffpercent 90 quiet 100
prohibited-channel命令用来开启非法信道检测功能。
undo prohibited-channel命令用来关闭非法信道检测功能。
【命令】
prohibited-channel [ quiet quiet-value ]
undo prohibited-channel
【缺省情况】
非法信道检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在非法信道检测到任何帧,也不会发送告警日志。
【使用指导】
在配置非法信道检测之前请先使用permit-channel命令配置合法信道,否则所有信道都会被检测为非法信道。
【举例】
# 开启非法信道检测功能,静默时间为100。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] prohibited-channel quiet 100
【相关命令】
· permit-channel
random-mac-scan enable命令用来开启随机伪MAC地址过滤功能。
undo random-mac-scan enable命令用来恢复缺省情况。
【命令】
random-mac-scan enable
undo random-mac-scan enable
【缺省情况】
随机伪MAC地址过滤功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【举例】
# 开启随机伪MAC地址过滤功能。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] random-mac-scan enable
reset wips embedded-oui命令用来删除WIPS系统OUI库中所有的内置OUI信息。
【命令】
reset wips embedded-oui
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 删除WIPS系统OUI库的内置OUI信息。
<Sysname> reset wips embedded-oui
【相关命令】
· export oui
· import oui
reset wips statistics命令用来清除所有Sensor上报的信息。
【命令】
reset wips statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除所有Sensor上报的信息。
<Sysname> reset wips statistics
【相关命令】
· display wips statistics receive
reset wips virtual-security-domain命令用来清除指定VSD内学习到的AP表项和客户端表项。
【命令】
reset wips virtual-security-domain vsd-name device { ap { all | mac-address mac-address } | client { all | mac-address mac-address } | all }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。
device:虚拟安全域中检测到的设备。
ap:虚拟安全域中检测到的AP。
all:虚拟安全域中检测到的所有AP。
mac-address mac-address:指定AP的MAC地址。
client:虚拟安全域中检测到的客户端。
all:虚拟安全域中检测到的所有客户端。
mac-address mac-address:指定客户端的MAC地址。
all:虚拟安全域中检测到的所有AP和客户端。
【举例】
# 清除VSD aaa内学习到的AP表项和客户端表项。
<Sysname> reset wips virtual-security-domain aaa device all
【相关命令】
· display wips virtual-security-domain device
reset wips virtual-security-domain countermeasure record命令用来清除指定VSD内所有被反制过的设备信息。
【命令】
reset wips virtual-security-domain vsd-name countermeasure record
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。
【举例】
# 清除指定VSD内所有被反制过的设备信息。
<Sysname> reset wips virtual-security-domain aaa countermeasure record
【相关命令】
· display wips virtual-security-domain countermeasure record
reset wlan nat-detect命令用来清除私接代理检测信息表项。
【命令】
reset wlan nat-detect
【视图】
用户视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 清除私接代理检测信息表项。
<Sysname> reset wlan nat-detect
【相关命令】
· display wlan nat-detect
rssi命令用来在AP分类规则中对AP信号的信号强度进行匹配。
undo rssi命令用来恢复缺省情况。
【命令】
rssi value1 [ to value2 ]
undo rssi
【缺省情况】
没有在AP分类规则中对AP信号的信号强度进行匹配。
【视图】
AP分类规则视图
【缺省用户角色】
network-admin
【参数】
value1 [ to value2 ]:指定匹配信号强度值的范围。value1和value2为匹配信号强度值,取值范围为0~100。value2的值要大于或等于value1的值。
【举例】
# 在ID为1的AP分类规则中对信号强度在20~40之间的AP进行匹配。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] ap-classification rule 1
[Sysname-wips-cls-rule-1] rssi 20 to 40
security命令用来在AP分类规则中对AP使用无线服务的数据安全方式进行匹配。
undo security命令用来恢复缺省情况。
【命令】
security { equal | include } { clear | wep | wpa | wpa2 }
undo security
【缺省情况】
没有在AP分类规则中对AP使用无线服务的数据安全方式进行匹配。
【视图】
AP分类规则视图
【缺省用户角色】
network-admin
【参数】
equal:匹配项与条件相同。
include:匹配项包含条件。
clear:明文方式。
wep:WEP方式。
wpa:WPA方式。
wpa2:WPA2方式。
【举例】
# 在ID为1的AP分类策略中对采用WEP方式接入无线网络的AP设备进行匹配。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] ap-classification rule 1
[Sysname-wips-cls-rule-1] security equal wep
select sensor all命令用来开启所有Sensor进行反制功能。
undo select sensor all命令用来关闭所有Sensor进行反制功能。
【命令】
select sensor all
undo select sensor all
【缺省情况】
所有Sensor进行反制功能处于关闭状态。
【视图】
反制策略视图
【缺省用户角色】
network-admin
【使用指导】
开启所有sensor反制功能后,当一个攻击者同时被多个Sensor检测到时,所有Sensor都会对其进行反制。没有开启该功能时,被最近一次检测到该攻击者的Sensor进行反制。
【举例】
# 开启所有Sensor进行反制功能。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] countermeasure policy home
[Sysname-wips-ctm-home] select sensor all
seq-number命令用来配置Signature规则中匹配序列号的子规则。
undo seq-number 命令用来恢复缺省情况。
【命令】
seq-number seq-value1 [ to seq-value2 ]
undo seq-number
【缺省情况】
未配置Signature规则中匹配序列号的子规则。
【视图】
Signature规则视图
【缺省用户角色】
network-admin
【参数】
seq-value1 [ to seq-value2 ]:指定报文序列号的范围。seq-value1和seq-value2为报文序列号大小,取值范围为0~4095。seq-value2的值要大于或等于seq-value1的值。
【举例】
# 在编号为1的Signature规则中配置匹配对指定报文序列号为100的子规则。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] signature rule 1
[wips-sig-rule-1] seq-number 100
【相关命令】
· frame-type
· mac-address
· ssid-length
· ssid(signature rule view)
· pattern
· match all(signature rule view)
signature policy命令用来创建Signature策略,并进入Signature策略视图。如果指定的Signature策略已经存在,则直接进入Signature策略视图。
undo signature policy命令用来删除指定的Signature策略。
【命令】
signature policy policy-name
undo signature policy policy-name
【缺省情况】
不存在Signature策略。
【视图】
WIPS视图
【缺省用户角色】
network-admin
【参数】
policy-name:Signature策略名称,为1~63个字符的字符串,区分大小写。
【举例】
# 创建一个名称为home的Signature策略,并进入Signature策略视图。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] signature policy home
signature rule命令用来创建Signature规则,并进入Signature规则视图。如果指定的Signature规则已经存在,则直接进入Signature规则视图。
undo signature rule命令用来删除指定的Signature规则。
【命令】
signature rule rule-id
undo signature rule rule-id
【缺省情况】
不存在Signature规则。
【视图】
WIPS视图
【缺省用户角色】
network-admin
【参数】
rule-id:Signature规则的编号,取值范围为1~65535。
【举例】
# 创建编号为1的Signature规则,并进入Signature规则视图。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] signature rule 1
soft-ap命令用来开启软AP检测功能。
undo soft-ap命令用来关闭软AP检测功能。
【命令】
soft-ap [ convert-time time-value ]
undo soft-ap
【缺省情况】
软AP检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
convert-time time-value:配置判定设备为软AP的角色切换周期,即如果某个MAC地址在指定的时间间隔内在无线客户端与AP两个角色之间发生切换,则认定该设备为软AP。time-value为时间间隔,取值范围5~600,单位为秒,缺省取值为10。
【举例】
# 开启软AP检测功能,判断软AP的依据为设备在100秒内发生角色切换。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] soft-ap convert-time 100
ssid命令用来在AP分类规则中对AP使用无线服务的SSID进行匹配。
undo ssid命令用来恢复缺省情况。
【命令】
ssid [ case-sensitive ] [ not ] { equal | include } ssid-string
undo ssid
【缺省情况】
没有在AP分类规则中对AP使用无线服务的SSID进行匹配。
【视图】
AP分类规则视图
【缺省用户角色】
network-admin
【参数】
case-sensitive:与SSID匹配时需要按照字母的大小写匹配。
not:匹配项与条件不等于或者不包括。
equal:匹配项与条件相同。
include:匹配项包含条件。
ssid-string:与SSID进行匹配的字符串,为1~32个字符的字符串,区分大小写。
【举例】
# 在ID为1的AP分类策略中匹配SSID为abc的AP。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] ap-classification rule 1
[Sysname-wips-cls-rule-1] ssid equal abc
ssid命令用来配置Signature规则中匹配SSID的子规则。
undo ssid命令用来恢复缺省情况。
【命令】
ssid [ case-sensitive ] [ not ] { equal | include } string
undo ssid
【缺省情况】
未配置Signature规则中匹配SSID的子规则。
【视图】
Signature规则视图
【缺省用户角色】
network-admin
【参数】
case-sensitive:与SSID匹配时需要按照字母的大小写匹配。
not:匹配项与条件不等于或不包括。
equal:匹配项与条件相同。
include:匹配项包含条件。
string:与SSID进行匹配的字符串,为1~32个字符的字符串,区分大小写。
【举例】
# 配置ID为1的Signature规则中SSID等于office的匹配子规则。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] signature rule 1
[Sysname-wips-sig-rule-1] ssid equal office
【相关命令】
· frame-type
· mac-address
· seq-number
· ssid-length
· pattern
· match all(signature rule view)
ssid-length命令用来配置Signature规则中SSID长度的匹配子规则。
undo ssid-length命令用来恢复缺省情况。
【命令】
ssid-length length-value1 [ to length-value2 ]
undo ssid-length
【缺省情况】
未配置Signature规则中SSID长度的匹配子规则。
【视图】
Signature规则视图
【缺省用户角色】
network-admin
【参数】
length-value1 [ to length-value2 ]:指定SSID长度的范围。length-value1和length-value2为SSID长度,取值范围为1~32。length-value2的值要大于或等于length-value1的值。
【举例】
# 配置ID为1的Signature规则中SSID长度为10的匹配子规则。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] signature rule 1
[Sysname-wips-sig-1] ssid-length 10
【相关命令】
· frame-type
· mac-address
· seq-number
· ssid(signature rule view)
· pattern
· match all(signature rule view)
trust mac-address命令用来将指定的MAC地址添加到信任设备列表中。
undo trust mac-address命令用来删除信任设备列表中的MAC地址。
【命令】
trust mac-address mac-address
undo trust mac-address { mac-address | all }
【缺省情况】
信任设备列表中不存在MAC地址。
【视图】
分类策略视图
【缺省用户角色】
network-admin
【参数】
mac-address:AP或客户端的MAC地址。
all:所有MAC地址。
【举例】
# 将MAC地址78AC-C0AF-944F添加到信任设备列表中。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] classification policy home
[Sysname-wips-cls-home] trust mac-address 78AC-C0AF-944F
trust oui命令用来将指定的OUI添加到信任OUI列表中。
undo trust oui命令用来删除信任OUI列表中的OUI。
【命令】
trust oui oui
undo trust oui { oui | all }
【缺省情况】
信任OUI列表中不存在OUI。
【视图】
分类策略视图
【缺省用户角色】
network-admin
【参数】
oui:OUI名称,为6个字符的字符串,不区分大小写。
all:所有OUI。
【举例】
# 将名为000fe4、000fe5的OUI添加到信任OUI列表中。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] classification policy home
[Sysname-wips-cls-home] trust oui 000fe4
[Sysname-wips-cls-home] trust oui 000fe5
trust ssid命令用来将指定的SSID添加到信任设备列表中。
undo trust ssid命令用来删除信任设备列表中的SSID。
【命令】
trust ssid ssid-name
undo trust ssid { ssid-name | all }
【缺省情况】
信任设备列表中不存在SSID。
【视图】
分类策略视图
【缺省用户角色】
network-admin
【参数】
ssid-name:SSID的名称,为1~32个字符的字符串,区分大小写。
all:所有SSID。
【举例】
# 将名为flood1的SSID添加到信任设备列表中。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] classification policy home
[Sysname-wips-cls-home] trust ssid flood1
unencrypted-authorized-ap命令用来开启未加密授权AP检测功能。
undo unencrypted-authorized-ap命令用来关闭对未加密授权AP的检测功能。
【命令】
unencrypted-authorized-ap [ quiet quiet-value ]
undo unencrypted-authorized-ap
【缺省情况】
未加密授权AP检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。
【举例】
# 开启未加密授权的AP检测功能,静默时间为10秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] unencrypted-authorized-ap quiet 10
unencrypted-trust-client命令用来开启未加密的信任客户端检测功能。
undo unencrypted-trust-client命令用来关闭未加密的信任客户端检测功能。
【命令】
unencrypted-trust-client [ quiet quiet-value ]
undo unencrypted-trust-client
【缺省情况】
未加密的信任客户端检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。
【举例】
# 开启未加密的信任客户端检测功能,静默时间为10秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] unencrypted-trust-client quiet 10
up-duration 命令用来在AP分类规则中对AP的运行时间进行匹配。
undo up-duration命令用来恢复缺省情况。
【命令】
up-duration value1 [ to value2 ]
undo up-duration
【缺省情况】
没有在AP分类规则中对AP的运行时间进行匹配。
【视图】
AP分类规则视图
【缺省用户角色】
network-admin
【参数】
value1 [ to value2 ]:指定匹配运行时间条件值的范围。value1和value2为匹配运行时间条件值,取值范围为0~2592000,单位为秒。value2的值要大于或等于value1的值。
【举例】
# 在ID为1的AP分类规则中配置匹配运行时间在2000~40000秒之间的AP。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] ap-classification rule 1
[Sysname-wips-cls-rule-1] up-duration 2000 to 40000
virtual-security-domain命令用来创建VSD(Virtual Security Domain,虚拟安全域),并进入VSD视图,如果指定的VSD已经存在,则直接进入VSD视图。
undo virtual-security-domain命令用来删除已创建的VSD。
【命令】
virtual-security-domain vsd-name
undo virtual-security-domain vsd-name
【缺省情况】
不存在VSD。
【视图】
WIPS视图
【缺省用户角色】
network-admin
【参数】
vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。
【举例】
# 创建名称为office的VSD,并进入VSD视图。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] virtual-security-domain office
[Sysname-wips-vsd-office]
weak-iv命令用来开启Weak IV检测功能。
undo weak-iv命令用来关闭Weak IV检测功能。
【命令】
weak-iv [ quiet quiet-value ]
undo weak-iv
【缺省情况】
Weak IV检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备再次检测到Weak IV也不会发送告警信息。
【使用指导】
设备检测到Weak IV后会发送告警信息。
【举例】
# 开启Weak IV检测功能。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] weak-iv
windows-bridge命令用来开启Windows网桥检测功能。
undo windows-bridge命令用来关闭Windows网桥检测功能。
【命令】
windows-bridge [ quiet quiet-value ]
undo windows-bridge
【缺省情况】
Windows网桥检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备检测到Windows网桥,设备也不会发送告警日志。
【举例】
# 开启Windows网桥检测功能,静默时间为360秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] windows-bridge quiet 360
wips enable命令用来开启WIPS功能。
wips disable命令用来关闭WIPS功能。
undo wips命令用来恢复缺省情况。
【命令】
wips { disable | enable }
undo wips
【缺省情况】
Radio视图下,继承AP组配置。
AP组Radio视图下,WIPS功能处于关闭状态。
【视图】
Radio视图
AP组Radio视图
【缺省用户角色】
network-admin
【举例】
# 开启WIPS功能。(Radio视图)
<Sysname> system-view
[Sysname] wlan ap ap1 model WA4320H
[Sysname-wlan-ap-ap1] radio 1
[Sysname-wlan-ap-ap1-radio-1] wips enable
# 开启WIPS功能。(AP组Radio视图)
<Sysname> system-view
[Sysname] wlan ap-group apgroup1
[Sysname-wlan-ap-group-apgroup1] ap-model WA4320H
[Sysname-wlan-ap-group-apgroup1-ap-model-WA4320H] radio 1
[Sysname-wlan-ap-group-apgroup1-ap-model-WA4320H-radio-1] wips enable
wips命令用来进入WIPS视图。
undo wips命令用来删除WIPS视图下所有配置。
【命令】
wips
undo wips
【缺省情况】
未配置WIPS视图。
【视图】
系统视图
【缺省用户角色】
network-admin
【举例】
# 进入WIPS视图。
<Sysname> system-view
[Sysname] wips
[Sysname-wips]
wips virtual-security-domain命令用来将AP加入到指定的VSD中。
undo wips virtual-security-domain命令用来删除已加入VSD的AP。
【命令】
wips virtual-security-domain vsd-name
undo wips virtual-security-domain
【缺省情况】
AP视图下,继承AP组配置。
AP组视图下,没有将AP组加入到任何的VSD中。
【视图】
AP视图
AP组视图
【缺省用户角色】
network-admin
【参数】
vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。
【举例】
# 将ap1加入到名为office的VSD中。(AP视图)
<Sysname> system-view
[Sysname] wlan ap ap1 model WA4320i-AGN
[Sysname-wlan-ap-ap1] wips virtual-security-domain office
# 将AP组apgroup1加入到名为office的VSD中。(AP组视图)
<Sysname> system-view
[Sysname] wlan ap-group apgroup1
[Sysname-wlan-ap-group-apgroup1] wips virtual-security-domain office
wireless-bridge命令用来开启无线网桥检测功能。
undo wireless-bridge命令用来关闭无线网桥检测功能。
【命令】
wireless-bridge [ quiet quiet-value ]
undo wireless-bridge
【缺省情况】
无线网桥检测功能处于关闭状态。
【视图】
攻击检测策略视图
【缺省用户角色】
network-admin
【参数】
quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到无线网桥,设备也不会发送告警日志。
【举例】
# 开启无线网桥检测功能,静默时间为100秒。
<Sysname> system-view
[Sysname] wips
[Sysname-wips] detect policy home
[Sysname-wips-dtc-home] wireless-bridge quiet 100
wlan nat-detect enable命令用来开启私接代理检测功能。
wlan nat-detect disable命令用来关闭私接代理检测功能。
undo wlan nat-detect命令用来恢复缺省情况。
【命令】
wlan nat-detect { disable | enable }
undo wlan nat-detect
【缺省情况】
AP视图下,继承AP组配置。
AP组视图下,私接代理检测功能处于关闭状态。
【视图】
AP视图
AP组视图
【缺省用户角色】
network-admin
【使用指导】
设备检测到私接代理设备后会发送告警信息,使用display wlan nat-detect命令可以查看私接代理检测信息。
【举例】
# 在AP 1上开启私接代理检测功能。(AP视图)
<Sysname> system-view
[Sysname] wlan ap ap1 model WA4320H
[Sysname-wlan-ap-ap1] wlan nat-detect enable
# 在AP组aaa上开启私接代理检测功能。(AP组视图)
<Sysname> system-view
[Sysname] wlan ap-group aaa
[Sysname-wlan-ap-group-aaa] wlan nat-detect enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!