17-ND攻击防御命令
本章节下载: 17-ND攻击防御命令 (200.34 KB)
目 录
1.1.1 display ipv6 nd source-mac
1.1.3 ipv6 nd source-mac threshold
1.1.4 reset ipv6 nd source-mac
1.2.1 display ipv6 nd attack-suppression per-interface inteface
1.2.2 ipv6 nd attack-suppression enable per-interface
1.3.1 ipv6 nd check log enable
1.3.2 ipv6 nd mac-check enable
display ipv6 nd source-mac命令用来显示源MAC地址固定的ND攻击检测表项。
【命令】
display ipv6 nd source-mac interface interface-type interface-number [ slot slot-number ] [ verbose ]
display ipv6 nd source-mac { mac mac-address | vlan vlan-id } slot slot-number [ verbose ]
display ipv6 nd source-mac slot slot-number [ count | verbose ]
display ipv6 nd source-mac interface interface-type interface-number [ chassis chassis-number slot slot-number ] [ verbose ]
display ipv6 nd source-mac { mac mac-address | vlan vlan-id } chassis chassis-number slot slot-number [ verbose ]
display ipv6 nd source-mac chassis chassis-number slot slot-number [ count | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
interface interface-type interface-number:显示指定接口上的源MAC地址固定的ND攻击检测表项,interface-type interface-number表示指定接口的类型和编号。
mac mac-address:显示指定源MAC对应的源MAC地址固定的ND攻击检测表项。mac-address格式为H-H-H。
vlan vlan-id:显示指定VLAN内检测到的源MAC地址固定的ND攻击检测表项。vlan-id的取值范围为1~4094。
slot slot-number:指定单板。slot-number为单板所在的槽位号。指定interface interface-type interface-number时,表示虚拟接口包含的指定单板上的物理口。如果不指定本参数,则表示指定主用主控板。
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。指定interface interface-type interface-number时,表示虚拟接口包含的指定单板上的物理口。如果不指定本参数,则表示指定Master设备主用主控板。
slot slot-number:指定单板。slot-number为单板所在的槽位号。
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。
verbose:显示检测到的源MAC地址固定的ND攻击检测表项的详细信息。如果未指定本参数,则显示检测到的源MAC地址固定的ND攻击检测表项的简要信息。
count:指定本参数后,只显示检测到的源MAC地址固定的ND攻击检测表项的数目。如果未指定本参数,则显示的是检测到的源MAC地址固定的ND攻击检测表项。
【使用指导】
显示虚拟接口检测到的源MAC地址固定的ND攻击检测表项时,才支持输入slot参数;显示物理口检测到的源MAC地址固定的ND攻击检测表项时,不支持输入slot参数。
显示虚拟接口检测到的源MAC地址固定的ND攻击检测表项时,才支持输入chassis和slot参数;显示物理口检测到的源MAC地址固定的ND攻击检测表项时,不支持输入chassis和slot参数。
虚拟接口支持二层聚合接口、三层聚合接口、三层聚合子接口、VXLAN中的VSI虚接口、EVB中的VSI接口和EVB中的聚合VSI接口。
如果未指定任何参数,则显示所有检测到的源MAC地址固定的ND攻击检测表项。
【举例】
# 显示接口GigabitEthernet1/2/5/1上检测到的源MAC地址固定的ND攻击检测表项。
<Sysname> display ipv6 nd source-mac interface gigabitethernet 1/2/5/1
Source MAC VLAN ID Interface Aging time (sec) Packets dropped
23f3-1122-3344 -- GE1/2/5/1 10 84467
# 显示检测到的源MAC地址固定的ND攻击检测表项个数。
<Sysname> display ipv6 nd source-mac count
Total source MAC-based ND attack detection entries: 1
# 显示接口GigabitEthernet1/2/5/1检测到的源MAC地址固定的ND攻击检测表项的详细信息。
<Sysname> display ipv6 nd source-mac interface gigabitethernet 1/2/5/1 verbose
Source MAC: 0001-0001-0001
VLAN ID: --
Hardware status: Succeeded
Aging time: 10 seconds
Interface: GigabitEthernet1/2/5/1
Attack time: 2018/06/04 15:53:34
Packets dropped: 84467
表1-1 display ipv6 nd source-mac命令显示信息描述表
字段 |
描述 |
Source MAC |
检测到攻击的源MAC地址 |
VLAN ID |
检测到攻击的VLAN ID |
Interface |
攻击来源的接口 |
Aging time |
源MAC地址固定的ND攻击检测功能的剩余老化时间,单位为秒 |
Packets dropped |
丢包总个数,如果是二层以太网接口,则不支持统计丢包总个数 |
Total source MAC-based ND attack detection entries |
源MAC地址固定的ND攻击检测表项个数 |
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not supported:不支持 · Not enough resources:资源不足 |
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
【相关命令】
· reset ipv6 nd source-mac
ipv6 nd source-mac命令用来开启源MAC地址固定的ND攻击检测功能,并选择检查模式。
undo ipv6 nd source-mac命令用来关闭源MAC地址固定的ND攻击检测功能。
【命令】
ipv6 nd source-mac { filter | monitor }
undo ipv6 nd source-mac
【缺省情况】
源MAC地址固定的ND攻击检测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
filter:配置检查方式为过滤模式。
monitor:配置检查方式为监控模式。
【使用指导】
建议在网关设备上开启本功能。
本特性根据ND报文的源MAC地址对上送CPU的ND报文进行统计,在一个检测周期内,如果收到同一源MAC地址(源MAC地址固定)的ND报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在开启了ND日志信息功能的情况下(配置ipv6 nd check log enable命令),系统会根据设置的检查模式对存在于攻击检测表项中的MAC地址有如下处理:
· 如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ND报文过滤掉;
· 如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ND报文过滤掉。
对于已添加到源MAC地址固定的ND攻击检测表项中的MAC地址,在等待老化时间后,如果老化时间内丢弃的ND报文个数大于或等于一个特定值,则设备会重置该表项的老化时间;如果小于该特定值,则设备删除该源MAC地址固定的ND攻击表项,MAC地址会重新恢复成普通MAC地址。
切换源MAC地址固定的ND攻击检查模式时,如果从监控模式切换到过滤模式,过滤模式马上生效;如果从过滤模式切换到监控模式,已生成的攻击检测表项,到表项老化前还会继续按照过滤模式处理。
【举例】
# 开启源MAC地址固定的ND攻击检测功能,配置检查方式为监控模式。
<Sysname> system-view
[Sysname] ipv6 nd source-mac monitor
ipv6 nd source-mac threshold命令用来配置源MAC地址固定的ND报文攻击检测阈值。
undo ipv6 nd source-mac threshold命令用来恢复缺省情况。
【命令】
ipv6 nd source-mac threshold threshold-value
undo ipv6 nd source-mac threshold
【缺省情况】
源MAC地址固定的ND报文攻击检测表项的阈值为30个报文。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
threshold-value:一个检测周期内源MAC地址固定的ND报文攻击检测的阈值,取值范围为1~5000,单位为报文个数。
【使用指导】
在一个检测周期内,如果某个接口收到的源MAC地址固定的ND报文个数超过阈值,则认为该接口受到源MAC地址固定的ND报文攻击。
【举例】
# 配置源MAC地址固定的ND报文攻击检测阈值为100个报文。
<Sysname> system-view
[Sysname] ipv6 nd source-mac threshold 100
reset ipv6 nd source-mac命令用来清除源MAC地址固定的ND攻击表项。
【命令】
reset ipv6 nd source-mac [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ slot slot-number ]
reset ipv6 nd source-mac [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
interface interface-type interface-number:清除指定接口上的源MAC地址固定的ND攻击检测表项。interface-type interface-number表示接口类型和接口编号。
mac mac-address:清除指定MAC地址对应的源MAC地址固定的ND攻击检测表项。mac-address格式为H-H-H。
vlan vlan-id:清除指定VLAN内的源MAC地址固定的ND攻击检测表项。vlan-id的取值范围为1~4094。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定Master设备主用主控板。
【使用指导】
如果未指定任何参数,则表示清除设备上所有源MAC地址固定的ND攻击检测表项。
【举例】
# 清除设备上所有的源MAC地址固定的ND攻击检测表项。
<Sysname> reset ipv6 nd source-mac
【相关命令】
· display ipv6 nd source-mac
display ipv6 nd attack-suppression per-interface interface命令用来显示指定接口的ND接口攻击抑制表项。
【命令】
display ipv6 nd attack-suppression per-interface interface interface-type interface-number [ slot slot-number ] [ verbose ]
display ipv6 nd attack-suppression per-interface interface interface-type interface-number [ chassis chassis-number slot slot-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
interface-type interface-number:指定接口的接口类型和接口编号。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定接口所属的单板。
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定接口所属的单板。
verbose:显示指定接口的ND接口攻击抑制表项的详细信息。如果未指定本参数,则显示的是ND接口攻击抑制表项的简要信息。
【举例】
# 显示接口GigabitEthernet1/2/5/1上的ND接口攻击抑制表项。
<Sysname> display ipv6 nd attack-suppression per-interface interface gigabitethernet 1/2/5/1
Interface Suppression time (second) Packets dropped
GE1/2/5/1 200 84467
# 显示接口GigabitEthernet1/2/5/1上的ND接口攻击抑制表项的详细信息。
<Sysname> display ipv6 nd attack-suppression per-interface interface gigabitethernet 1/2/5/1 verbose
Interface: GigabitEthernet1/2/5/1
Suppression time: 200 seconds
Hardware status: Succeeded
Attack time: 2018/06/04 15:53:34
Packets dropped: 84467
表1-2 display ipv6 nd attack-suppression per-interface命令显示信息描述表
字段 |
描述 |
Interface |
受到ND攻击的接口 |
Suppression time (second) |
抑制接口接收ND报文的时间,单位为秒 |
Packets dropped |
丢包总个数 |
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not supported:不支持 · Not enough resources:资源不足 |
Suppression time |
剩余抑制时间,单位为秒 |
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
【相关命令】
· reset ipv6 nd attack-suppression per-interface
ipv6 nd attack-suppression enable per-interface命令用来开启ND接口攻击抑制功能。
undo ipv6 nd attack-suppression enable per-interface命令用来关闭ND接口攻击抑制功能。
【命令】
ipv6 nd attack-suppression enable per-interface
undo ipv6 nd attack-suppression enable per-interface
【缺省情况】
ND接口攻击抑制功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
ND接口攻击抑制功能基于接口限制ND请求速率,以防止非法用户构造大量ND请求报文对设备进行ND攻击。本功能只统计设备的三层接口上收到的ND请求报文,在检测周期内,如果单个接口收到的ND请求报文个数超过配置的ND接口攻击抑制阈值,则认为该接口受到ND攻击。确定受到ND攻击后,设备会生成ND接口攻击抑制表项,在ND接口攻击抑制表项的抑制时间清零之前设备会限制被攻击的接口每秒钟接收ND报文的速率,防止ND攻击报文持续冲击CPU。以128个字节的ND报文为例,则被攻击的接口每秒钟只能接收100个ND报文。ND接口攻击抑制表项的抑制时间清零后,如果抑制时间内收到的ND报文个数大于或等于一个特定值,则设备将ND接口攻击抑制表项抑制时间会恢复并重新开始计时;如果小于该特定值,则设备删除该ND接口攻击抑制表项。
建议在网关设备上开启本功能。
【举例】
# 开启ND接口攻击抑制功能。
<Sysname> system-view
[Sysname] ipv6 nd attack-suppression enable per-interface
【相关命令】
· display ipv6 nd attack-suppression per-interface
· ipv6 nd attack-suppression threshold
ipv6 nd check log enable命令用来开启ND日志信息功能。
undo ipv6 nd check log enable命令用来关闭ND日志信息功能。
【命令】
ipv6 nd check log enable
undo ipv6 nd check log enable
【缺省情况】
ND日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。
【举例】
# 开启ND日志信息功能。
<Sysname> system-view
[Sysname] ipv6 nd check log enable
ipv6 nd mac-check enable命令用来开启ND协议报文源MAC地址一致性检查功能。
undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。
【命令】
ipv6 nd mac-check enable
undo ipv6 nd mac-check enable
【缺省情况】
ND协议报文源MAC地址一致性检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
网关设备开启该功能后,会对接收到的ND协议报文进行检查,如果ND报文中的源MAC地址和以太网数据帧首部的源MAC地址不一致,则丢弃该报文。
【举例】
# 开启ND协议报文源MAC地址一致性检查功能。
<Sysname> system-view
[Sysname] ipv6 nd mac-check enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!