- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-安全防护命令
本章节下载: 07-安全防护命令 (213.61 KB)
1.2.1 ip defend ip-sweep interface
1.2.2 ip defend port-scan interface
1.3.2 ip defend { synflood | udpflood | icmpflood | dnsflood } interface
1.5.2 anti-arp broadcast interface
1.5.3 anti-arp broadcast interval
1.5.5 anti-arp flood block-time
1.5.6 anti-arp flood threshold
ip defend attack命令用来配置异常报文攻击防护。
no ip defend attack命令用来删除异常报文攻击防护。
【命令】
ip defend attack { winnuke | tear-drop | land-base | tcp-flag | smurf | ping-of-death | ip-option | ip_spoof | jolt2 }
no ip defend attack { winnuke | tear-drop | land-base | tcp-flag | smurf | ping-of-death | ip-option | ip_spoof | jolt2 }
【视图】
系统视图
【参数】
winnuke:winnuke攻击。
tear-drop:tear-drop攻击。
land-base:land攻击。
tcp-flag:tcp flag攻击 。
smurf:smurf攻击。
ping-of-death:死亡之ping攻击。
ip-option:IP选项攻击。
ip_spoof:ip地址欺骗。
jolt2:jolt2攻击。
【使用指导】
· Ping-of-death: ping-of-death攻击是通过向目的主机发送长度超过65535的icmp报文,使目的主机发生处理异常而崩溃。配置了防ping-of-death攻击功能后,设备可以检测出ping-of-death攻击,丢弃攻击报文并根据配置输出告警日志信息。
· Land-Base:land-base攻击通过向目的主机发送目的地址和源地址相同的报文,使目的主机消耗大量的系统资源,从而造成系统崩溃或死机。配置了防land-base攻击功能后,设备可以检测出land-base攻击,丢弃攻击报文并根据日志配置输出告警日志信息。
· Tear-drop:tear-drop攻击通过向目的主机发送报文偏移重叠的分片报文,使目的主机发生处理异常而崩溃。配置了防tear-drop攻击功能后,设备可以检测出tear-drop攻击,并根据配置输出告警日志信息。因为正常报文传送也有可能出现报文重叠,因此设备不会丢弃该报文,而是采取裁减、重新组装报文的方式,发送出正常的报文。
· Tcp flag:TCP 异常攻击防护功能开启后,默认情况下当安全网关发现受到TCP 异常攻击后,会丢弃攻击包,并根据配置输出告警日志。
· winnuke:winnuke攻击通过向目的主机的139、138、137、113、53端口发送TCP紧急标识位URG为1的带外数据报文,使系统处理异常而崩溃。配置了防winnuke攻击功能后,可以检测出winnuke攻击报文,并根据配置输出告警日志信息。
· Smurf:这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(PING)数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。
· Ip-spoof:防护IP地址欺骗攻击,暂时用反向路由检测来实现,如果反向路由不存在或者反向路由查询结果是存在,但是该IP 为目的地址的数据包离开设备的接口和收到报文的接口不一致,则认为是攻击。
· jolt2:jolt2攻击通过向目的主机发送报文偏移加上报文长度超过65535的报文,使目的主机处理异常而崩溃。
【举例】
# 配置tcp-flag安全防护。
host# configure termina
host(config)# ip defend attack tcp-flag
ip defend ip-sweep interface命令用来配置IP扫描功能。
no ip defend ip-sweep interface命令用来删除IP扫描功能。
【命令】
ip defend ip-sweep interface interface-name threshold threshold [ block-time time-value ]
no ip defend ip-sweep interface interface-name
【视图】
系统视图
【参数】
interface-name:接口名称。
threshold:扫描阈值,单位(ms)。
time-value:阻断时长,单位(s)。
【使用指导】
IP地址扫描是指 一个源 IP 地址在规定的时间间隔 ( 缺省值为 10毫秒 ) 内将 10 个 ICMP报文发给不同的主机时,即进行了一次地址扫描。【举例】
# 在接口ge0上配置IP址扫描,阈值是10毫秒,且阻断200秒。
host# configure termina
host(config)# ip defend ip-sweep interface ge0 threshold 10 block-time 200
ip defend port-scan interface命令用来配置端口扫描。
no ip defend port-scan interface命令用来删除端口扫描。
【命令】
ip defend port-scan interface interface-name threshold threshold [ block-time time-value ]
no ip defend port-scan interface interface-name
【视图】
系统视图
【参数】
interface-name:接口名称。
threshold:扫描阈值,取值范围10~5000,单位(ms)。
time-value:阻断时长,取值范围1~600,单位(s)。
【使用指导】
端口扫描是指当一个源 IP 地址在规定的时间间隔内 (缺省值为 10毫秒 ) 将含有 TCP SYN 片段的 IP 报文或UDP报文发送给位于相同目标 IP 地址的 10 个不同端口时,即进行了一次端口扫描。
【举例】
# 在接口ge0上配置端口扫描,阈值是10毫秒,且阻断200秒。
host# configure termina
host(config)# ip defend port-scan interface ge0 threshold 10 block-time 200
ip defend 命令用来配置基于目的地址的Flood攻击。
no ip defend 命令用来删除基于目的地址的Flood攻击。
【命令】
ip defend { synflood | udpflood | icmpflood | dnsflood } startip start-ip endip end-ip threshold threshold
no ip defend { synflood | udpflood | icmpflood | dnsflood } startip start-ip endip end-ip
【视图】
系统视图
【参数】
synflood:synflood攻击。
udpflood:udpflood攻击。
icmpflood:icmpflood攻击。
dnsflood:dnsflood攻击。
start-ip:开始IP地址。
end-ip:结束IP地址。
threshold:阈值,取值范围1~100000,单位(连接数/秒)。
【举例】
# 对开始IP地址192.168.10.1和结束IP地址192.68.10.230网段配置防synflood攻击,阈值是100个连接每秒。
host# configure termina
host(config)# ip defend synflood startip 192.168.10.1 endip 192.168.10.230 threshold 100
ip defend { synflood | udpflood | icmpflood | dnsflood } interface命令用来配置基于接口的Flood攻击。
no ip defend { synflood | udpflood | icmpflood | dnsflood } interface命令用来删除基于接口的Flood攻击。
【命令】
ip defend { synflood | udpflood | icmpflood | dnsflood } interface interface-name { source | destination } threshold
no ip defend { synflood | udpflood | icmpflood | dnsflood } interface interface-name { source | destination }
【视图】
系统视图
【参数】
synflood:synflood攻击。
udpflood:udpflood攻击。
icmpflood:icmpflood攻击。
dnsflood:dnsflood攻击。
interface-name:接口名称。
source:基于源地址的flood攻击。
destination:基于目的地址的flood攻击。
threshold:阈值,取值范围1~100000,单位(连接数/秒)。
【举例】
# 在ge0口配置源地址的synflood攻击,阈值是100个连接每秒。
host# configure termina
host(config)# ip defend synflood interface ge0 source 100
ipmac命令用来配置IPMAC邦定功能。
no ipmac命令用来删除IPMAC邦定功能。
【命令】
ipmac name ip-address mac-address { unique-ip | multi-ip }
no ipmac ip-address
【视图】
系统视图
【参数】
enable:开启防护日志功能。
disable:关闭防护日志功能。
name:对象名称。
ip-address:IP地址。
mac-address:MAC地址。
unique-ip:绑定类型,指一个mac和一个ip地址唯一对应。
multi-ip:绑定类型,指一个mac地址和多个ip地址对应。
【举例】
# 配置IP地址192.168.1.1与MAC地址00:00:00:11:11:11的唯一绑定名称为abc。
host# configure termina
host(config)# ipmac abc 192.168.1.1 00:00:00:11:11:11 unique-ip
anti-arp broadcast命令用来开启或关闭ARP主动保护发包功能。
【命令】
anti-arp broadcast { enable | disable }
【缺省情况】
缺省情况下,关闭ARP主动保护发包功能。
【视图】
系统视图
【参数】
enable:开启ARP主动保护发包功能。
disable:关闭ARP主动保护发包功能。
【举例】
# 开启ARP主动保护发包功能。
host# configure termina
host(config)# anti-arp spoof enable
host(config)# anti-arp broadcast enable
anti-arp broadcast interface 命令用来添加ARP主动列表。
no anti-arp broadcast interface命令用来删除ARP主动列表。
【命令】
anti-arp broadcast interface interface-name [ list ip-address mac-address ]
no anti-arp broadcast interface interface-nane [ list ip-address mac-address ]
【视图】
系统视图
【参数】
interface-name:接口名称。
ip-address:IP地址。
mac-address:MAC地址。
【使用指导】
开启接口保护后,会根据主动保护开关和主动保护发包间隔发送接口对应的IP和MAC地址的免费ARP。
【举例】
# 在ge0端口上添加IP1.1.1.1和MAC地址00:0a:0b:ac:01:11的主动保护功能。
host# configure termina
host(config)# anti-arp broadcast interface ge0 list 1.1.1.1 00:0a:0b:ac:01:11
anti-arp broadcast interval 命令用来设置主动保护发包间隔。
【命令】
anti-arp broadcast interval threshold
【视图】
系统视图
【参数】
threshold:发包间隔,取值范围1~10,单位(s)。
【举例】
# 设置ARP主动保护的发包间隔为5s。
host# configure termina
host(config)# anti-arp broadcast interval 5
anti-arp flood命令用来开启或关闭ARP flood功能。
【命令】
anti-arp flood { enable | disable }
【缺省情况】
缺省情况下,关闭ARP flood功能。
【视图】
系统视图
【参数】
enable:开启ARP flood功能。
disable:关闭ARP flood学习功能。
【举例】
# 开启ARP flood功能。
host# configure termina
host(config)# anti-arp flood enable
anti-arp flood block-time命令用来设置ARP Flood的阻断时长。
no anti-arp flood block-time命令用来取消ARP Flood的阻断时长。
【命令】
anti-arp flood block-time threshold
no anti-arp flood block-time
【缺省情况】
缺省情况下,ARP Flood阻断时长为60s。
【视图】
系统视图
【参数】
threshold:阻断时长,取值范围1~65535,单位(s)。
【举例】
# 设置ARP Flood阻断时长500s。
host# configure termina
host(config)# anti-arp flood block-time 500
anti-arp flood threshold命令用来设置ARP Flood的阈值。
no anti-arp flood threshold命令用来取消ARP Flood的阈值。
【命令】
anti-arp flood threshold threshold
no anti-arp flood threshold
【视图】
系统视图
【参数】
threshold:1秒钟内接受到的ARP数据包数量,默认值是300。
【举例】
# 设置ARP Flood阈值为500。
host# configure termina
host(config)# anti-arp flood threshold 500
anti-arp learning-arp命令用来开启或关闭ARP学习功能。
【命令】
anti-arp learning-arp { enable | disable }
【缺省情况】
缺省情况下,关闭ARP学习功能。
【视图】
系统视图
【参数】
enable:开启ARP学习功能。
disable:关闭ARP学习功能。
【使用指导】
关闭了ARP学习后,任何报文只要不匹配IP-MAC绑定表,都将被丢弃,因此强烈建议在关闭此功能前一定要先绑定需要使用的IP-MAC。
【举例】
# 开启ARP主动学习功能。
host# configure termina
host(config)# anti-arp learning-arp enable
anti-arp spoof命令用来开启或关闭 ARP攻击防御功能。
【命令】
anti-arp spoof { enable | disable }
【缺省情况】
缺省情况下,关闭 ARP攻击防御功能。
【视图】
系统视图
【参数】
enable:开启ARP攻击防御功能。
disable:关闭ARP攻击防御功能。
【使用指导】
只有选择启用ARP防欺骗攻击后才能启用主动保护和ARP学习功能。
【举例】
# 开启ARP攻击防御功能。
host# configure termina
host(config)# anti-arp spoof enable
blist add命令用来黑名单配置。
【命令】
blist add ip-address age { 300 | 600 | 900 | 1800 | 3600 | 7200 | 14400 | 28800 | 86400 | forever }
【视图】
系统视图
【参数】
ip-address:主机IP地址。
300:老化时间为300秒。
600:老化时间为600秒。
900:老化时间为900秒。
1800:老化时间为1800秒。
3600:老化时间为3600秒。
7200:老化时间为7200秒。
14400:老化时间为14400秒。
28800:老化时间为28800秒。
86400:老化时间为86400秒。
forever:永久不老化。
【使用指导】
通过配置黑名单功能可以对来自指定IP地址的报文进行过滤,黑名单表项除了可以手工添加之外,还可以通过扫描攻击自动添加。
【举例】
# 将IP址1.1.1.1加入黑名单,加入时长设置为永久。
host# configure termina
host(config)# blist add A.B.C.D age forever
display blist命令用来显示黑名单信息。
【命令】
display blist
【视图】
任意视图
【举例】
# 显示系统的黑名单信息。
host# display blist
IP address age leftTime reason
1.1.1.1 forever forever manual
表1-1 display blist命令显示信息描述表
|
字段 |
描述 |
|
IP address |
加入黑名单的IP地址 |
|
age |
老化时间 |
|
leftage |
剩余时间 |
|
reason |
加入黑名单的方式:有manual和auto两种方式,manual代表人为加入,auto代表自动加入 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
