• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

02-安全命令参考

目录

22-ND攻击防御命令

本章节下载 22-ND攻击防御命令  (196.95 KB)

22-ND攻击防御命令


1 ND攻击防御

1.1  源MAC地址固定的ND攻击检测配置命令

1.1.1  display ipv6 nd source-mac

display ipv6 nd source-mac命令用来显示源MAC地址固定的ND攻击检测表项。

【命令】

display ipv6 nd source-mac interface interface-type interface-number [ slot slot-number ] [ verbose ]

display ipv6 nd source-mac { mac mac-address | vlan vlan-id } slot slot-number [ verbose ]

display ipv6 nd source-mac slot slot-number [ count | verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口上的源MAC地址固定的ND攻击检测表项,interface-type interface-number表示指定接口的类型和编号。

mac mac-address:显示指定MAC对应的源MAC地址固定的ND攻击检测表项。mac-address格式为H-H-H。

vlan vlan-id显示指定VLAN内检测到的源MAC地址固定的ND攻击检测表项。vlan-id的取值范围为1~4094。

slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。指定interface interface-type interface-number时,表示虚拟接口包含的指定成员设备上的物理口。如果不指定本参数,则表示指定Master设备。

slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。

verbose:显示检测到的源MAC地址固定的ND攻击检测表项的详细信息。如果未指定本参数,则显示检测到的源MAC地址固定的ND攻击检测表项的简要信息。

count:指定本参数后,只显示检测到的源MAC地址固定的ND攻击检测表项的数目。如果未指定本参数,则显示的是检测到的源MAC地址固定的ND攻击检测表项。

【使用指导】

显示虚拟接口检测到的源MAC地址固定的ND攻击检测表项时,才支持输入slot参数;显示物理口检测到的源MAC地址固定的ND攻击检测表项时,不支持输入slot参数。

虚拟接口支持二层聚合接口、三层聚合接口、三层聚合子接口、VXLAN中的VSI虚接口、EVB中的VSI接口和EVB中的聚合VSI接口。

如果未指定任何参数,则显示所有检测到的源MAC地址固定的ND攻击检测表项。

【举例】

# 显示接口GigabitEthernet1/0/1上检测到的源MAC地址固定的ND攻击检测表项。

<Sysname> display ipv6 nd source-mac interface gigabitethernet 1/0/1

Source MAC     VLAN ID Interface                Aging time (sec) Packets dropped

23f3-1122-3344 4094    GE1/0/1                  10                  84467

# 显示检测到的源MAC地址固定的ND攻击检测表项个数。

<Sysname> display ipv6 nd source-mac count

Total source MAC-based ND attack detection entries: 1

# 显示接口GigabitEthernet1/0/1检测到的源MAC地址固定的ND攻击检测表项的详细信息。

<Sysname> display ipv6 nd source-mac interface gigabitethernet 1/0/1 verbose

Source MAC: 0001-0001-0001

VLAN ID: 4094

Hardware status: Succeeded

Aging time: 10 seconds

Interface: GigabitEthernet1/0/1

Attack time: 2018/06/04 15:53:34

Packets dropped: 84467

表1-1 display ipv6 nd source-mac命令显示信息描述表

字段

描述

Source MAC

检测到攻击的源MAC地址

VLAN ID

检测到攻击的VLAN ID

Interface

攻击来源的接口

Aging time

源MAC地址固定的ND攻击检测功能的剩余老化时间,单位为秒

Packets dropped

丢包总个数,如果是二层以太网接口,则不支持统计丢包总个数

Total source MAC-based ND attack detection entries

源MAC地址固定的ND攻击检测表项个数

Hardware status

表项下硬件状态,取值包括:

·     Succeeded:成功

·     Failed:失败

·     Not supported:不支持

·     Not enough resources:资源不足

Attack time

检测到攻击的起始时间(显示方式如2018/06/04 15:53:34)

 

【相关命令】

·     reset ipv6 nd source-mac

1.1.2  ipv6 nd source-mac

ipv6 nd source-mac命令用来开启源MAC地址固定的ND攻击检测功能,并选择检查模式。

undo ipv6 nd source-mac命令用来关闭源MAC地址固定的ND攻击检测功能。

【命令】

ipv6 nd source-mac { filter | monitor }

undo ipv6 nd source-mac

【缺省情况】

源MAC地址固定的ND攻击检测功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

filter:配置检查方式为过滤模式。

monitor:配置检查方式为监控模式。

【使用指导】

建议在网关设备上开启本功能。

本特性根据ND报文的源MAC地址对上送CPU的ND报文进行统计,在一个检测周期内,如果收到同一源MAC地址(源MAC地址固定)的ND报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在开启了ND日志信息功能的情况下(配置ipv6 nd check log enable命令),系统会根据设置的检查模式对存在于攻击检测表项中的MAC地址有如下处理:

·     如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ND报文过滤掉;

·     如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ND报文过滤掉。

对于已添加到源MAC地址固定的ND攻击检测表项中的MAC地址,在等待老化时间后,如果老化时间内丢弃的ND报文个数大于或等于一个特定值,则设备会重置该表项的老化时间;如果小于该特定值,则设备删除该源MAC地址固定的ND攻击表项,MAC地址会重新恢复成普通MAC地址。

切换源MAC地址固定的ND攻击检查模式时,如果从监控模式切换到过滤模式,过滤模式马上生效;如果从过滤模式切换到监控模式,已生成的攻击检测表项,到表项老化前还会继续按照过滤模式处理。

【举例】

# 开启源MAC地址固定的ND攻击检测功能,配置检查方式为监控模式。

<Sysname> system-view

[Sysname] ipv6 nd source-mac monitor

1.1.3  ipv6 nd source-mac threshold

ipv6 nd source-mac threshold命令用来配置源MAC地址固定的ND报文攻击检测阈值。

undo ipv6 nd source-mac threshold命令用来恢复缺省情况。

【命令】

ipv6 nd source-mac threshold threshold-value

undo ipv6 nd source-mac threshold

【缺省情况】

源MAC地址固定的ND报文攻击检测表项的阈值为30个报文。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

threshold-value:一个检测周期内源MAC地址固定的ND报文攻击检测的阈值,取值范围为1~5000,单位为报文个数。

【使用指导】

在一个检测周期内,如果某个接口收到的源MAC地址固定的ND报文个数超过阈值,则认为该接口受到源MAC地址固定的ND报文攻击。

【举例】

# 配置源MAC地址固定的ND报文攻击检测阈值为100个报文。

<Sysname> system-view

[Sysname] ipv6 nd source-mac threshold 100

1.1.4  reset ipv6 nd source-mac

reset ipv6 nd source-mac命令用来清除源MAC地址固定的ND攻击表项。

【命令】

reset ipv6 nd source-mac [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ slot slot-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number清除指定接口上的源MAC地址固定的ND攻击检测表项。interface-type interface-number表示接口类型和接口编号。

mac mac-address清除指定MAC地址对应的源MAC地址固定的ND攻击检测表项mac-address格式为H-H-H。

vlan vlan-id:清除指定VLAN内的源MAC地址固定的ND攻击检测表项vlan-id的取值范围为1~4094。

slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定Master设备。

【使用指导】

如果未指定任何参数,则表示清除设备上所有MAC地址固定的ND攻击检测表项。

【举例】

# 清除设备上所有的MAC地址固定的ND攻击检测表项

<Sysname> reset ipv6 nd source-mac

【相关命令】

·     display ipv6 nd source-mac

1.2  ND接口攻击抑制命令

1.2.1  display ipv6 nd attack-suppression per-interface inteface

display ipv6 nd attack-suppression per-interface interface命令用来显示指定接口的ND接口攻击抑制表项。

【命令】

display ipv6 nd attack-suppression per-interface interface interface-type interface-number [ slot slot-number ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface-type interface-number:指定接口的接口类型和接口编号。

slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定接口所属的成员设备。

verbose:显示指定接口的ND接口攻击抑制表项的详细信息。如果未指定本参数,则显示的是ND接口攻击抑制表项的简要信息。

【举例】

# 显示接口GigabitEthernet1/0/1上的ND接口攻击抑制表项。

<Sysname> display ipv6 nd attack-suppression per-interface interface gigabitethernet 1/0/1

Interface                Suppression time (second) Packets dropped

GE1/0/1                  200                            84467

# 显示接口GigabitEthernet1/0/1上的ND接口攻击抑制表项的详细信息。

<Sysname> display ipv6 nd attack-suppression per-interface interface gigabitethernet 1/0/1 verbose

Interface: GigabitEthernet1/0/1

Suppression time: 200 seconds

Hardware status: Succeeded

Attack time: 2018/06/04 15:53:34

Packets dropped: 84467

表1-2 display ipv6 nd attack-suppression per-interface命令显示信息描述表

字段

描述

Interface

受到ND攻击的接口

Suppression time (second)

抑制接口接收ND报文的时间,单位为秒

Packets dropped

丢包总个数

Hardware status

表项下硬件状态,取值包括:

·     Succeeded:成功

·     Failed:失败

·     Not supported:不支持

·     Not enough resources:资源不足

Suppression time

剩余抑制时间,单位为秒

Attack time

检测到攻击的起始时间(显示方式如2018/06/04 15:53:34)

 

【相关命令】

·     reset ipv6 nd attack-suppression per-interface

1.2.2  ipv6 nd attack-suppression enable per-interface

ipv6 nd attack-suppression enable per-interface命令用来开启ND接口攻击抑制功能。

undo ipv6 nd attack-suppression enable per-interface命令用来关闭ND接口攻击抑制功能。

【命令】

ipv6 nd attack-suppression enable per-interface

undo ipv6 nd attack-suppression enable per-interface

【缺省情况】

ND接口攻击抑制功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

ND接口攻击抑制功能基于接口限制ND请求速率,以防止非法用户构造大量ND请求报文对设备进行ND攻击。本功能只统计设备的三层接口上收到的ND请求报文,在检测周期内,如果单个接口收到的ND请求报文个数超过配置的ND接口攻击抑制阈值,则认为该接口受到ND攻击。确定受到ND攻击后,设备会生成ND接口攻击抑制表项,在ND接口攻击抑制表项的抑制时间清零之前设备会限制被攻击的接口每秒钟接收ND报文的速率,防止ND攻击报文持续冲击CPU。以128个字节的ND报文为例,则被攻击的接口每秒钟只能接收100个ND报文。ND接口攻击抑制表项的抑制时间清零后,如果抑制时间内收到的ND报文个数大于或等于一个特定值,则设备将ND接口攻击抑制表项抑制时间会恢复并重新开始计时;如果小于该特定值,则设备删除该ND接口攻击抑制表项。

建议在网关设备上开启本功能。

【举例】

# 开启ND接口攻击抑制功能。

<Sysname> system-view

[Sysname] ipv6 nd attack-suppression enable per-interface

【相关命令】

·     display ipv6 nd attack-suppression per-interface

·     ipv6 nd attack-suppression threshold

1.3  ND协议报文源MAC地址一致性检查命令

1.3.1  ipv6 nd check log enable

ipv6 nd check log enable命令用来开启ND日志信息功能。

undo ipv6 nd check log enable命令用来关闭ND日志信息功能。

【命令】

ipv6 nd check log enable

undo ipv6 nd check log enable

【缺省情况】

ND日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。

【举例】

# 开启ND日志信息功能。

<Sysname> system-view

[Sysname] ipv6 nd check log enable

1.3.2  ipv6 nd mac-check enable

ipv6 nd mac-check enable命令用来开启ND协议报文源MAC地址一致性检查功能。

undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。

【命令】

ipv6 nd mac-check enable

undo ipv6 nd mac-check enable

【缺省情况】

ND协议报文源MAC地址一致性检查功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

网关设备开启该功能后,会对接收到的ND协议报文进行检查,如果ND报文中的源MAC地址和以太网数据帧首部的源MAC地址不一致,则丢弃该报文。

【举例】

# 开启ND协议报文源MAC地址一致性检查功能。

<Sysname> system-view

[Sysname] ipv6 nd mac-check enable

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们