16-攻击检测与防范命令
本章节下载: 16-攻击检测与防范命令 (119.39 KB)
attack-defense login reauthentication-delay命令用来配置Login用户登录失败后重新进行认证的等待时长。
undo attack-defense login reauthentication-delay命令用来恢复缺省情况。
attack-defense login reauthentication-delay seconds
undo attack-defense login reauthentication-delay
【缺省情况】
Login用户登录失败后重新进行认证不需要等待。
系统视图
network-admin
【参数】
seconds:设备管理用户登录失败后重新进行认证的等待时长,取值范围为4~60,单位为秒。
【使用指导】
Login用户登录失败后,若设备上配置了重新进行认证的等待时长,则系统将会延迟一定的时长之后再允许用户进行认证,可以避免设备受到字典式攻击。
Login用户延迟认证功能与Login用户攻击防范功能无关,只要配置了延迟认证等待时间,即可生效。
# 配置Login用户登录失败后重新进行认证的等待时长为5秒钟。
[Sysname] attack-defense login reauthentication-delay 5
attack-defense tcp fragment enable命令用来开启TCP分片攻击防范功能。
undo attack-defense tcp fragment enable命令用来关闭TCP分片攻击防范功能。
【命令】
attack-defense tcp fragment enable
undo attack-defense tcp fragment enable
【缺省情况】
TCP分片攻击防范功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
设备的包过滤功能一般是通过判断TCP首个分片中的五元组(源IP地址、源端口号、目的IP地址、目的端口号、传输层协议号)信息来决定后续TCP分片是否允许通过。RFC 1858对TCP分片报文进行了规定,认为TCP分片报文中,首片报文中TCP报文长度小于20字节,或后续分片报文中分片偏移量等于8字节的报文为TCP分片攻击报文。这类报文可以成功绕过上述包过滤功能,对设备造成攻击。为防止这类攻击,可以在设备上开启TCP分片攻击防范功能,对TCP分片攻击报文进行丢弃。
如果设备上开启了TCP分片攻击防范功能,并应用了单包攻击防范策略,则TCP分片攻击防范功能会先于单包攻击防范策略检测并处理入方向的TCP报文。
【举例】
# 开启TCP分片攻击防范功能。
<Sysname> system-view
[Sysname] attack-defense tcp fragment enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!