• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

08-WLAN安全命令参考

目录

02-WIPS命令

本章节下载 02-WIPS命令  (829.26 KB)

02-WIPS命令

目  录

1 WIPS

1.1 WIPS配置命令

1.1.1 access-scan

1.1.2 ap-channel-change

1.1.3 ap-classification rule

1.1.4 ap-flood

1.1.5 ap-impersonation

1.1.6 ap-rate-limit

1.1.7 ap-spoofing

1.1.8 ap-timer

1.1.9 apply ap-classification rule

1.1.10 apply classification policy

1.1.11 apply countermeasure policy

1.1.12 apply detect policy

1.1.13 apply signature policy

1.1.14 apply signature rule

1.1.15 association-table-overflow

1.1.16 authentication

1.1.17 block mac-address

1.1.18 classification policy

1.1.19 client-association fast-learn enable

1.1.20 client-online

1.1.21 client-rate-limit

1.1.22 client-spoofing

1.1.23 client-timer

1.1.24 countermeasure adhoc

1.1.25 countermeasure attack all

1.1.26 countermeasure attack deauth-broadcast

1.1.27 countermeasure attack disassoc-broadcast

1.1.28 countermeasure attack honeypot-ap

1.1.29 countermeasure attack hotspot-attack

1.1.30 countermeasure attack ht-40-mhz-intolerance

1.1.31 countermeasure attack malformed-packet

1.1.32 countermeasure attack man-in-the-middle

1.1.33 countermeasure attack omerta

1.1.34 countermeasure attack power-save

1.1.35 countermeasure attack soft-ap

1.1.36 countermeasure attack unencrypted-trust-client

1.1.37 countermeasure attack weak-iv

1.1.38 countermeasure attack windows-bridge

1.1.39 countermeasure enhance

1.1.40 countermeasure external-ap

1.1.41 countermeasure mac-address

1.1.42 countermeasure misassociation-client

1.1.43 countermeasure misconfigured-ap

1.1.44 countermeasure packet-sending-interval

1.1.45 countermeasure policy

1.1.46 countermeasure potential-authorized-ap

1.1.47 countermeasure potential-external-ap

1.1.48 countermeasure potential-rogue-ap

1.1.49 countermeasure rogue-ap

1.1.50 countermeasure unauthorized-client

1.1.51 countermeasure uncategorized-ap

1.1.52 countermeasure uncategorized-client

1.1.53 deauth-spoofing

1.1.54 deauthentication-broadcast

1.1.55 detect dissociate-client enable

1.1.56 detect policy

1.1.57 detect signature

1.1.58 disassociation-broadcast

1.1.59 discovered-ap

1.1.60 display wips sensor

1.1.61 display wips statistics

1.1.62 display wips virtual-security-domain countermeasure record

1.1.63 display wips virtual-security-domain device

1.1.64 display wlan nat-detect

1.1.65 embedded-oui-classify enable

1.1.66 export oui

1.1.67 flood association-request

1.1.68 flood authentication

1.1.69 flood beacon

1.1.70 flood block-ack

1.1.71 flood cts

1.1.72 flood deauthentication

1.1.73 flood disassociation

1.1.74 flood eap-failure

1.1.75 flood eap-success

1.1.76 flood eapol-logoff

1.1.77 flood eapol-start

1.1.78 flood null-data

1.1.79 flood probe-request

1.1.80 flood reassociation-request

1.1.81 flood rts

1.1.82 frame-type

1.1.83 honeypot-ap

1.1.84 hotspot-attack

1.1.85 hotspot ssid

1.1.86 ht-40mhz-intolerance

1.1.87 ht-greenfield

1.1.88 ignorelist

1.1.89 import hotspot

1.1.90 import oui

1.1.91 invalid-oui-classify illegal

1.1.92 mac-address

1.1.93 malformed duplicated-ie

1.1.94 malformed fata-jack

1.1.95 malformed illegal-ibss-ess

1.1.96 malformed invalid-address-combination

1.1.97 malformed invalid-assoc-req

1.1.98 malformed invalid-auth

1.1.99 malformed invalid-deauth-code

1.1.100 malformed invalid-disassoc-code

1.1.101 malformed invalid-ht-ie

1.1.102 malformed invalid-ie-length

1.1.103 malformed invalid-pkt-length

1.1.104 malformed large-duration

1.1.105 malformed null-probe-resp

1.1.106 malformed overflow-eapol-key

1.1.107 malformed overflow-ssid

1.1.108 malformed redundant-ie

1.1.109 man-in-the-middle

1.1.110 manual-classify mac-address

1.1.111 match all(AP classification rule view)

1.1.112 match all(signature rule view)

1.1.113 omerta

1.1.114 oui

1.1.115 pattern

1.1.116 permit-channel

1.1.117 power-save

1.1.118 prohibited-channel

1.1.119 random-mac-scan

1.1.120 report-interval

1.1.121 reset wips embedded-oui

1.1.122 reset wips statistics

1.1.123 reset wips virtual-security-domain

1.1.124 reset wips virtual-security-domain countermeasure record

1.1.125 reset wlan nat-detect

1.1.126 rssi-change-threshold

1.1.127 rssi-threshold

1.1.128 rssi

1.1.129 security

1.1.130 select sensor all

1.1.131 seq-number

1.1.132 signature policy

1.1.133 signature rule

1.1.134 soft-ap

1.1.135 ssid (AP classification rule view)

1.1.136 ssid(signature rule view)

1.1.137 ssid-length

1.1.138 trust mac-address

1.1.139 trust oui

1.1.140 trust ssid

1.1.141 unencrypted-authorized-ap

1.1.142 unencrypted-trust-client

1.1.143 up-duration

1.1.144 virtual-security-domain

1.1.145 weak-iv

1.1.146 windows-bridge

1.1.147 wips (Radio view)

1.1.148 wips (System view)

1.1.149 wips virtual-security-domain

1.1.150 wireless-bridge

1.1.151 wlan nat-detect

1.1.152 wlan nat-detect countermeasure

 


1 WIPS

1.1  WIPS配置命令

1.1.1  access-scan

access-scan enable命令用来开启Sensor在接入时间段内执行WIPS扫描功能。

undo access-scan enable命令用来关闭Sensor在接入时间段内执行WIPS扫描功能。

【命令】

access-scan enable

undo access-scan enable

【缺省情况】

Sensor在接入时间段内执行WIPS扫描功能处于关闭状态。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【使用指导】

Sensor在接入时间段内开启WIPS扫描后,WIPS的检测和防御效果将会增强,但同时无线客户端的接入能力将减弱。

【举例】

# 开启Sensor在接入时间段内的WIPS扫描功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] access-scan enable

1.1.2  ap-channel-change

ap-channel-change命令用来开启AP信道变化检测功能。

undo ap-channel-change命令用来关闭AP信道变化检测功能。

【命令】

ap-channel-change [ quiet quiet-value ]

undo ap-channel-change

【缺省情况】

AP信道变化检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到AP信道变化,设备也不会发送告警日志。

【举例】

# 开启AP信道变化的检测功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-channel-change quiet 5

1.1.3  ap-classification rule

ap-classification rule命令用来创建AP分类规则,并进入AP分类规则视图。如果指定ID的AP分类规则已经存在,则直接进入AP分类规则视图。

undo ap-classification rule命令用来删除指定的AP分类规则。

【命令】

ap-classification rule rule-id

undo ap-classification rule rule-id

【缺省情况】

不存在AP分类规则。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

rule-id:AP分类规则的ID,取值范围为1~65535。

【举例】

# 创建并进入ID为1的AP分类规则视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

1.1.4  ap-flood

ap-flood命令用来开启AP泛洪攻击检测功能。

undo ap-flood命令用来关闭AP泛洪攻击检测功能。

【命令】

ap-flood [ apnum apnum-value | exceed exceed-value | quiet quiet-value ] *

undo ap-flood

【缺省情况】

AP泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

apnum apnum-value:无线网络中AP设备的基准值,取值范围为10~200,缺省值为80。

exceed exceed-value:允许超过基准值的最大个数,取值范围为10~200,缺省值为80。当检测到AP设备数量超过基准值与允许超过基准值的最大个数之和,即判定设备受到AP 泛洪攻击,设备会发送告警日志。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到AP泛洪攻击,设备也不会发送告警日志。

【举例】

# 开启AP泛洪攻击检测功能,AP设备的基准值为50,允许超过基准值的最大个数为50,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-flood apnum 50 exceed 50 quiet 100

1.1.5  ap-impersonation

ap-impersonation命令用来开启AP扮演者攻击检测功能。

undo ap-impersonation命令用来关闭AP扮演者攻击检测功能。

【命令】

ap-impersonation [ quiet quiet-value ]

undo ap-impersonation

【缺省情况】

AP扮演者攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的AP扮演者攻击达到告警阈值,也不会发送告警日志。

【举例】

# 在名称为home的分类策略中开启AP扮演者攻击检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-impersonation quiet 360

1.1.6  ap-rate-limit

ap-rate-limit命令用来配置AP表项学习的速率。

undo ap-rate-limit命令用来恢复缺省情况。

【命令】

ap-rate-limit [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo ap-rate-limit

【缺省情况】

学习AP表项的统计周期为60秒,发送告警信息后的静默时间为1200秒,AP表项的阈值为512。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:学习AP表项的统计周期,取值范围为1~3600,单位为秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为1200~3600,单位为秒。在静默期间,设备停止学习新的AP表项,也不会发送告警信息。

threshold threshold-value:AP表项的阈值,取值范围为1~4096。当设备在一个统计周期内学习AP表项达到触发阈值,设备会发送告警信息。

【举例】

# 配置AP表项学习的速率,学习AP表项的统计周期为60秒,发送告警信息后的静默时间为1600秒,AP表项的阈值为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-rate-limit interval 60 quiet 1600 threshold 100

【相关命令】

·     ap-timer

1.1.7  ap-spoofing

ap-spoofing命令用来开启AP地址仿冒检测功能。

undo ap-spoofing命令用来关闭AP地址仿冒检测功能。

【命令】

ap-spoofing [ quiet quiet-value ]

undo ap-spoofing

【缺省情况】

AP地址仿冒检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备再次检测到AP地址仿冒也不会发送告警信息。

【使用指导】

开启本功能后,如果设备检测到AP地址仿冒,则会发送告警信息。

【举例】

# 开启AP地址仿冒检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-spoofing quiet 360

1.1.8  ap-timer

ap-timer命令用来配置AP表项的时间参数。

undo ap-timer命令用来恢复缺省情况。

【命令】

ap-timer inactive inactive-value aging aging-value

undo ap-timer

【缺省情况】

AP表项的非活跃时间为300秒,老化时间为600秒。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

inactive inactive-value:非活跃时间,取值范围为1~1200,单位为秒。

aging aging-value:老化时间,取值范围为1~86400,单位为秒。

【使用指导】

非活跃时间为从创建AP表项到其状态变为Inactive的时间;老化时间为从创建AP表项到删除AP表项的时间。

配置的老化时间必须大于或等于非活跃时间,建议使用缺省值。

AP表项的时间参数变化会存在误差,误差大小取决于Sensor上报检测到的设备信息的时间间隔。

【举例】

# 配置AP表项的时间参数,非活跃时间为120秒,老化时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-timer inactive 120 aging 360

【相关命令】

·     ap-rate-limit

·     report-interval

1.1.9  apply ap-classification rule

apply ap-classification rule命令用来在分类策略中应用AP分类规则。

undo apply ap-classification rule命令用来取消应用的AP分类规则。

【命令】

apply ap-classification rule rule-id { authorized-ap | { { external-ap | misconfigured-ap | rogue-ap } [ severity-level level ] } }

undo apply ap-classification rule rule-id

【缺省情况】

分类策略中没有应用AP分类规则。

【视图】

分类视图

【缺省用户角色】

network-admin

【参数】

rule-id:AP分类规则的ID,取值范围为1~65535。

authorized-ap:通过合法认证的AP。

external-ap:外部的AP。

misconfigured-ap:错误配置的AP。

rogue-ap:非法的AP。

level:应用AP分类规则后设置的AP危险级别,取值范围为1~100,缺省值为50。

【举例】

# 将ID为1的AP分类规则应用到名称为home的分类策略内,并将AP分类为非法的AP,危险级别定义为80。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] apply ap-classification rule 1 rogue-ap severity-level 80

【相关命令】

·     ap-classification rule

1.1.10  apply classification policy

apply classification policy命令用来在VSD(Virtual Security Domain,虚拟安全域)上应用分类策略。

undo apply classification policy命令用来取消应用的分类策略。

【命令】

apply classification policy policy-name

undo apply classification policy policy-name

【缺省情况】

没有在VSD上应用分类策略。

【视图】

VSD视图

【缺省用户角色】

network-admin

【参数】

policy-name:分类策略名称,为1~63个字符的字符串,区分大小写。

【举例】

# 在VSD上应用分类策略policy1。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain home

[Sysname-wips-vsd-home] apply classification policy policy1

1.1.11  apply countermeasure policy

apply countermeasure policy命令用来在VSD上应用反制策略。

undo apply countermeasure policy命令用来取消应用的反制策略。

【命令】

apply countermeasure policy policy-name

undo apply countermeasure policy policy-name

【缺省情况】

没有在VSD上应用反制策略。

【视图】

VSD视图

【缺省用户角色】

network-admin

【参数】

policy-name:反制策略名称,为1~63个字符的字符串,区分大小写。

【举例】

# 在VSD上应用反制策略policy2。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain home

[Sysname-wips-vsd-home] apply countermeasure policy policy2

1.1.12  apply detect policy

apply detect policy命令用来在VSD上应用攻击检测策略。

undo apply detect policy命令用来取消应用的攻击检测策略。

【命令】

apply detect policy policy-name

undo apply detect policy policy-name

【缺省情况】

没有在VSD上应用攻击检测策略。

【视图】

VSD视图

【缺省用户角色】

network-admin

【参数】

policy-name:攻击检测策略名称,为1~63个字符的字符串,区分大小写。

【举例】

# 在VSD上应用攻击检测策略policy2。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain home

[Sysname-wips-vsd-home] apply detect policy policy2

1.1.13  apply signature policy

apply signature policy命令用来在VSD内应用Signature策略。

undo apply signature policy命令用来取消应用的Signature策略。

【命令】

apply signature policy policy-name

undo apply signature policy policy-name

【缺省情况】

VSD内没有应用Signature策略。

【视图】

VSD视图

【缺省用户角色】

network-admin

【参数】

policy-name:Signature策略的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 将名为policy1的Signature策略应用到名为home的VSD内。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain home

[Sysname-wips-vsd-home] apply signature policy policy1

1.1.14  apply signature rule

apply signature rule命令用来在Signature策略中应用Signature规则。

undo apply signature rule命令用来取消应用的Signature规则。

【命令】

apply signature rule rule-id

undo apply signature rule rule-id

【缺省情况】

Signature策略中没有应用Signature规则。

【视图】

Signature策略视图

【缺省用户角色】

network-admin

【参数】

rule-id:规则的规则编号值,取值范围为1~128。

【举例】

# 配置Signature策略office中应用ID为1的Signature规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature policy office

[Sysname-wips-sig-office] apply signature rule 1

1.1.15  association-table-overflow

association-table-overflow命令用来开启关联/重关联DoS攻击检测功能。

undo association-table-overflow命令用来关闭关联/重关联DoS攻击检测功能。

【命令】

association-table-overflow [ quiet quiet-value ]

undo association-table-overflow

【缺省情况】

关联/重关联DoS攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到关联/重关联DoS攻击,设备也不会发送告警日志。

【举例】

# 配置开启关联/重关联DoS攻击检测功能,静默时间为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] association-table-overflow quiet 100

1.1.16  authentication

authentication命令用来在AP分类规则中对AP使用无线服务的安全认证方式进行匹配。

undo authentication命令用来恢复缺省情况。

【命令】

authentication { equal | include } { 802.1x | none | other | psk }

undo authentication

【缺省情况】

没有在AP分类规则中对AP使用无线服务的安全认证方式进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

equal:匹配项与条件相同。

include:匹配项包含条件。

802.1x:认证方式为802.1X认证。

none:无认证。

other:认证方式为除802.1X和PSK之外的其他认证。

psk:认证方式为PSK认证。

【举例】

# 在ID为1的AP分类策略中对采用PSK认证方式接入无线网络的AP设备进行匹配。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] authentication equal psk

1.1.17  block mac-address

block mac-address命令用来将指定的MAC地址添加到静态禁用设备列表中。

undo block mac-address命令用来删除静态禁用设备列表中的MAC地址。

【命令】

block mac-address mac-address

undo block mac-address { mac-address | all }

【缺省情况】

静态禁用设备列表中不存在MAC地址。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

mac-address:AP或客户端的MAC地址,格式为H-H-H。

all:所有MAC地址。

【举例】

# 将MAC地址78AC-C0AF-944F添加到静态禁用设备列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] block mac-address 78AC-C0AF-944F

1.1.18  classification policy

classification policy命令用来创建分类策略,并进入分类策略视图。如果指定的分类策略已经存在,则直接进入分类策略视图。

undo classification policy命令用来删除分类策略。

【命令】

classification policy policy-name

undo classification policy policy-name

【缺省情况】

不存在分类策略。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

policy-name:分类策略名称,为1~63个字符的字符串,区分大小写。

【举例】

# 创建名称为home的分类策略,并进入分类策略视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home]

1.1.19  client-association fast-learn enable

client-association fast-learn enable命令用来开启Sensor快速学习客户端关联表项的功能。

undo client-association fast-learn enable命令用来关闭Sensor快速学习客户端关联表项的功能。

【命令】

client-association fast-learn enable

undo client-association fast-learn enable

【缺省情况】

Sensor快速学习客户端关联表项的功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【使用指导】

客户端关联表项是指客户端关联AP后在AC上建立的用于保存客户端信息的表项。

客户端关联AP时,需要向AP发送关联请求帧,然后AP向客户端发送关联响应帧,未开启本功能的情况下,Sensor必须等AP向客户端发送关联响应帧,客户端与AP关联成功后,才能学习网络中客户端的关联表项。开启本功能后,Sensor只需要在客户端发送关联请求帧或AP向客户端发送关联响应帧时,便可学习客户端关联表项,这样可以尽快学习到客户端关联表项,而不必等到一个完整的关联交互过程结束后。

如果Sensor在客户端发送关联请求帧时学习到了客户端关联表项,则在AP向客户端发送关联响应帧时会更新该表项,即每次检测到客户端发送给AP的关联请求帧或AP发送给客户端的关联响应帧时,都会更新客户端关联表项。

本功能虽然可以提高Sensor学习客户端关联表项的效率,但同时会降低学习客户端关联表项的准确性,因此通常建议在需要快速检测网络中的攻击并进行反制的情况下开启本功能。

【举例】

# 开启Sensor快速学习客户端关联表项的功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy 1

[Sysname-wips-dtc-1] client-association fast-learn enable

1.1.20  client-online

client-online命令用来在AP分类规则中对AP上已关联的无线客户端数量进行匹配。

undo client-online命令用来恢复缺省情况。

【命令】

client-online value1 [ to value2 ]

undo client-online

【缺省情况】

没有在AP分类规则中对AP上已关联的无线客户端数量进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

value1:指定与AP关联的无线客户端数量。value1的取值范围为0~128。

to value2:与value1共同作用,指定与AP关联的无线客户端数量范围,value2的取值范围为0~128且必须大于或等于value1

【举例】

# 在ID为1的AP分类规则中匹配关联的无线客户端的数量在20~40之间的AP。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] client-online 20 to 40

1.1.21  client-rate-limit

client-rate-limit命令用来配置客户端表项学习的速率。

undo client -rate-limit命令用来恢复缺省情况。

【命令】

client-rate-limit [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo client-rate-limit

【缺省情况】

学习客户端表项的统计周期为60秒,发送告警信息后的静默时间为1200秒,客户端表项的阈值为1024。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:学习客户端表项的统计周期,取值范围为1~3600,单位为秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为1200~3600,单位为秒。在静默期间,设备停止学习新的客户端表项,也不会发送告警信息。

threshold threshold-value:客户端表项的阈值,取值范围为1~4096。当设备在一个统计周期内学习客户端表项达到触发阈值,设备会发送告警信息。

【举例】

# 配置客户端表项学习的速率,学习客户端表项的统计周期为80秒,发送告警信息后的静默时间为1600秒,客户端表项的阈值为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] client-rate-limit interval 80 threshold 100 quiet 1600

【相关命令】

·     client-timer

1.1.22  client-spoofing

client-spoofing命令用来开启客户端地址仿冒检测功能。

undo client-spoofing命令用来关闭客户端地址仿冒检测功能。

【命令】

client-spoofing [ quiet quiet-value ]

undo client-spoofing

【缺省情况】

客户端地址仿冒检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备再次检测到客户端地址仿冒也不会发送告警信息。

【使用指导】

设备检测到客户端地址仿冒后会发送告警信息。

【举例】

# 开启客户端地址仿冒检测功能,配置发送告警信息后的静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] client-spoofing quiet 360

1.1.23  client-timer

client-timer命令用来配置客户端表项的时间参数。

undo client-timer命令用来恢复缺省情况。

【命令】

client-timer inactive inactive-value aging aging-value

undo client-timer

【缺省情况】

客户端表项的非活跃时间为300秒,老化时间为600秒。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

inactive inactive-value:从创建客户端表项到非活跃状态的时间,即非活跃时间,取值范围为1~1200,单位为秒。

aging aging-value:从创建客户端表项到删除客户端表项的时间,即老化时间,取值范围为1~86400,单位为秒。

【使用指导】

配置的老化时间必须大于或等于非活跃时间,建议使用缺省值。

客户端表项的时间参数变化会存在误差,误差大小取决于Sensor上报检测到的设备信息的时间间隔。

【举例】

# 配置客户端表项的时间参数,非活跃时间为120秒,老化时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] client-timer inactive 120 aging 360

【相关命令】

·     client-rate-limit

·     report-interval

1.1.24  countermeasure adhoc

countermeasure adhoc命令用来配置对ad hoc设备进行反制。

undo countermeasure adhoc命令用来恢复缺省情况。

【命令】

countermeasure adhoc

undo countermeasure adhoc

【缺省情况】

未配置对ad hoc设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对ad hoc设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure adhoc

1.1.25  countermeasure attack all

countermeasure attack all命令用来配置对所有发起攻击的设备进行反制。

undo countermeasure attack all命令用来恢复缺省情况。

【命令】

countermeasure attack all

undo countermeasure attack all

【缺省情况】

未配置对所有发起攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对所有发起攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack all

1.1.26  countermeasure attack deauth-broadcast

countermeasure attack deauth-broadcast命令用来配置对发起广播解除认证帧攻击的设备进行反制。

undo countermeasure deauth-broadcast命令用来恢复缺省情况。

【命令】

countermeasure attack deauth-broadcast

undo countermeasure attack deauth-broadcast

【缺省情况】

未配置对发起广播解除认证帧攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起广播解除认证帧攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack deauth-broadcast

1.1.27  countermeasure attack disassoc-broadcast

countermeasure attack disassoc-broadcast命令用来配置对发起广播解除关联帧攻击的设备进行反制。

undo countermeasure attack disassoc-broadcast命令用来恢复缺省情况。

【命令】

countermeasure attack disassoc-broadcast

undo countermeasure attack disassoc-broadcast

【缺省情况】

未配置对发起广播解除关联帧攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起广播解除关联帧攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack disassoc-broadcast

1.1.28  countermeasure attack honeypot-ap

countermeasure attack honeypot-ap命令用来配置对发起蜜罐AP攻击的设备进行反制。

undo countermeasure attack honeypot-ap命令用来恢复缺省情况。

【命令】

countermeasure attack honeypot-ap

undo countermeasure attack honeypot-ap

【缺省情况】

未配置对发起蜜罐AP攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起蜜罐AP攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack honeypot-ap

1.1.29  countermeasure attack hotspot-attack

countermeasure attack hotspot-attack命令用来配置对发起热点攻击的设备进行反制。

undo countermeasure attack hotspot-attack命令用来恢复缺省情况。

【命令】

countermeasure attack hotspot-attack

undo countermeasure attack hotspot-attack

【缺省情况】

未配置对发起热点攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起热点攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack hotspot-attack

1.1.30  countermeasure attack ht-40-mhz-intolerance

countermeasure attack ht-40-mhz-intolerance命令用来配置对禁用802.11n 40MHz模式的设备进行反制。

undo countermeasure attack ht-40-mhz-intolerance命令用来恢复缺省情况。

【命令】

countermeasure attack ht-40-mhz-intolerance

undo countermeasure attack ht-40-mhz-intolerance

【缺省情况】

未配置对禁用802.11n 40MHz模式的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对禁用802.11n 40MHz模式的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack ht-40-mhz-intolerance

1.1.31  countermeasure attack malformed-packet

countermeasure attack malformed-packet命令用来配置对发起畸形报文攻击的设备进行反制。

undo countermeasure attack malformed-packet命令用来恢复缺省情况。

【命令】

countermeasure attack malformed-packet

undo countermeasure attack malformed-packet

【缺省情况】

未配置对发起畸形报文攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起畸形报文攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack malformed-packet

1.1.32  countermeasure attack man-in-the-middle

countermeasure attack man-in-the-middle命令用来配置对发起中间人攻击的设备进行反制。

undo countermeasure attack man-in-the-middle命令用来恢复缺省情况。

【命令】

countermeasure attack man-in-the-middle

undo countermeasure attack man-in-the-middle

【缺省情况】

未配置对发起中间人攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起中间人攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack man-in-the-middle

1.1.33  countermeasure attack omerta

countermeasure attack omerta命令用来配置对发起Omerta攻击的设备进行反制。

undo countermeasure attack omerta命令用来恢复缺省情况。

【命令】

countermeasure attack omerta

undo countermeasure attack omerta

【缺省情况】

未配置对发起Omerta攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起Omerta攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack omerta

1.1.34  countermeasure attack power-save

countermeasure attack power-save命令用来配置对发起节电攻击的设备进行反制。

undo countermeasure attack power-save命令用来恢复缺省情况。

【命令】

countermeasure attack power-save

undo countermeasure attack power-save

【缺省情况】

未配置对发起节电攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起节电攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack power-save

1.1.35  countermeasure attack soft-ap

countermeasure attack soft-ap命令用来配置对发起软AP攻击的设备进行反制。

undo countermeasure attack soft-ap命令用来恢复缺省情况。

【命令】

countermeasure attack soft-ap

undo countermeasure attack soft-ap

【缺省情况】

未配置对发起软AP攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起软AP攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack soft-ap

1.1.36  countermeasure attack unencrypted-trust-client

countermeasure attack unencrypted-trust-client命令用来配置对未加密的信任客户端进行反制。

undo countermeasure attack unencrypted-trust-client命令用来恢复缺省情况。

【命令】

countermeasure attack unencrypted-trust-client

undo countermeasure attack unencrypted-trust-client

【缺省情况】

未配置对未加密的信任客户端进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对未加密的信任客户端进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack unencrypted-trust-client

1.1.37  countermeasure attack weak-iv

countermeasure attack weak-iv命令用来配置对Weak IV设备进行反制。

undo countermeasure  weak-iv命令用来恢复缺省情况。

【命令】

countermeasure attack weak-iv

undo countermeasure attack weak-iv

【缺省情况】

未配置对Weak IV设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对Weak IV设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack weak-iv

1.1.38  countermeasure attack windows-bridge

countermeasure attack windows-bridge命令用来配置对Windows网桥设备进行反制。

undo countermeasure attack windows-bridge命令用来恢复缺省情况。

【命令】

countermeasure attack windows-bridge

undo countermeasure attack windows-bridge

【缺省情况】

未配置对Windows网桥设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对Windows网桥设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack windows-bridge

1.1.39  countermeasure enhance

countermeasure enhance命令用来配置反制加强模式。

undo countermeasure enhance命令用来恢复缺省情况。

【命令】

countermeasure enhance

undo countermeasure enhance

【缺省情况】

未配置反制加强模式。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【使用指导】

如果非法AP支持双射频,且双射频同时绑定到同一个SSID,对关联到此非法AP支持双频的客户端进行反制时,客户端会在非法AP的双频上来回切换,反制效果不佳,配置反制加强模式后可以有效对此环境下的非法AP进行反制。

【举例】

# 开启反制加强模式。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure enhance

1.1.40  countermeasure external-ap

countermeasure external-ap命令用来配置对外部AP进行反制。

undo countermeasure external-ap命令用来恢复缺省情况。

【命令】

countermeasure external-ap

undo countermeasure external-ap

【缺省情况】

未配置对外部AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对外部AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure external-ap

1.1.41  countermeasure mac-address

countermeasure mac-address命令用来配置根据指定的MAC地址对设备进行手工反制。

undo countermeasure mac-address命令用来取消根据指定的MAC地址对设备进行手工反制。

【命令】

countermeasure mac-address mac-address [ except-authorized-ap ]

undo countermeasure mac-address { mac-address | all }

【缺省情况】

未配置根据指定的MAC地址对设备进行手工反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【参数】

mac-address:AP或客户端的MAC地址,格式为H-H-H。

except-authorized-ap:当客户端连接的AP被分类为授权AP时,该客户端若指定为手工反制,则反制功能不生效。

all:表示所有AP或客户端的MAC地址。

【使用指导】

可以通过配置多条该命令对多个设备进行手工反制。

【举例】

# 配置对MAC地址为2a11-1fa1-141f的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure mac-address 2a11-1fa1-141f

1.1.42  countermeasure misassociation-client

countermeasure misassociation-client命令用来配置对关联错误的客户端进行反制。

undo countermeasure misassociation-client命令用来恢复缺省情况。

【命令】

countermeasure misassociation-client

undo countermeasure misassociation-client

【缺省情况】

未配置对关联错误的客户端进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对关联错误的客户端进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure misassociation-client

1.1.43  countermeasure misconfigured-ap

countermeasure misconfigured-ap命令用来配置对配置错误的AP进行反制。

undo countermeasure misconfigured-ap命令用来恢复缺省情况。

【命令】

countermeasure misconfigured-ap

undo countermeasure misconfigured-ap

【缺省情况】

未配置对配置错误的AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对配置错误的AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure misconfigured-ap

1.1.44  countermeasure packet-sending-interval

countermeasure packet-sending-interval命令用来配置Sensor发送反制报文的时间间隔。

undo countermeasure packet-sending-interval命令用来恢复缺省情况。

【命令】

countermeasure packet-sending-interval interval

undo countermeasure packet-sending-interval

【缺省情况】

Sensor发送反制报文的时间间隔为30毫秒。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【参数】

interval:Sensor发送反制报文的时间间隔,取值范围为1~100,单位为毫秒。

【使用指导】

当Sensor检测到非法设备并且开启了反制功能时,Sensor会在检测到非法设备的信道中进行反制,即在该信道的扫描周期内按照本命令配置的时间间隔发送反制报文。

需要注意的是:Sensor仅会在检测到非法设备的信道的信道扫描周期内进行反制,其余时间是不会发送反制报文的,有关信道扫描的详细信息,请参见“射频资源管理配置指导”中的“信道扫描”。

【举例】

# 配置Sensor发送反制报文的时间间隔为10毫秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure packet-sending-interval 10

1.1.45  countermeasure policy

countermeasure policy命令用来创建反制策略,并进入反制策略视图。如果指定的反制策略已经存在,则直接进入反制策略视图。

undo countermeasure policy命令用来删除反制策略。

【命令】

countermeasure policy policy-name

undo countermeasure policy policy-name

【缺省情况】

不存在反制策略。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

policy-name:反制策略的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 创建名称为home的反制策略,并进入反制策略视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home]

1.1.46  countermeasure potential-authorized-ap

countermeasure potential-authorized-ap命令用来配置对潜在授权AP进行反制。

undo countermeasure potential-authorized-ap命令用来恢复缺省情况。

【命令】

countermeasure potential-authorized-ap

undo countermeasure potential-authorized-ap

【缺省情况】

未配置对潜在授权AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对潜在授权AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure potential-authorized-ap

1.1.47  countermeasure potential-external-ap

countermeasure potential-external-ap命令用来配置对潜在外部AP进行反制。

undo countermeasure potential-external-ap命令用来恢复缺省情况。

【命令】

countermeasure potential-external-ap

undo countermeasure potential-external-ap

【缺省情况】

未配置对潜在外部AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对潜在外部AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure potential-external-ap

1.1.48  countermeasure potential-rogue-ap

countermeasure potential-rogue-ap命令用来配置对潜在Rogue AP进行反制。

undo countermeasure potential-rogue-ap命令用来恢复缺省情况。

【命令】

countermeasure potential-rogue-ap

undo countermeasure potential-rogue-ap

【缺省情况】

未配置对潜在Rogue AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对潜在Rogue AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure potential-rogue-ap

1.1.49  countermeasure rogue-ap

countermeasure rogue-ap命令用来配置对Rogue AP进行反制。

undo countermeasure rogue-ap命令用来恢复缺省情况。

【命令】

countermeasure rogue-ap

undo countermeasure rogue-ap

【缺省情况】

未配置对Rogue AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对Rogue AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure rogue-ap

1.1.50  countermeasure unauthorized-client

countermeasure unauthorized-client命令用来配置对未授权的客户端进行反制。

undo countermeasure unauthorized-client命令用来恢复缺省情况。

【命令】

countermeasure unauthorized-client

undo countermeasure unauthorized-client

【缺省情况】

未配置对未授权的客户端进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对未授权的客户端进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure unauthorized-client

1.1.51  countermeasure uncategorized-ap

countermeasure uncategorized-ap命令用来配置对未确定分类的AP进行反制。

undo countermeasure uncategorized-ap命令用来恢复缺省情况。

【命令】

countermeasure uncategorized-ap

undo countermeasure uncategorized-ap

【缺省情况】

未配置对未确定分类的AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对未确定分类的AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure uncategorized-ap

1.1.52  countermeasure uncategorized-client

countermeasure uncategorized-client命令用来配置对未确定分类的客户端进行反制。

undo countermeasure uncategorized-client命令用来恢复缺省情况。

【命令】

countermeasure uncategorized-client

undo countermeasure uncategorized-client

【缺省情况】

未配置对未确定分类的客户端进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对未确定分类的客户端进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure uncategorized-client

1.1.53  deauth-spoofing

deauth-spoofing命令用来开启仿冒Deauthentication帧检测功能。

undo deauth-spoofing命令用来关闭仿冒Deauthentication帧检测功能。

【命令】

deauth-spoofing [ quiet quiet ]

undo deauth-spoofing

【缺省情况】

仿冒Deauthentication帧检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到仿冒Deauthentication帧,设备也不会发送告警日志。

【举例】

# 开启仿冒Deauthentication帧检测功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] deauth-spoofing quiet 100

1.1.54  deauthentication-broadcast

deauthentication-broadcast命令用来开启广播解除认证帧检测功能。

undo deauthentication-broadcast命令用来关闭广播解除认证帧检测功能。

【命令】

deauthentication-broadcast [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo deauthentication-broadcast

【缺省情况】

广播解除认证帧检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测广播解除认证帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的广播解除认证帧的数量达到触发告警阈值,设备也不会发送告警日志。

threshold threshold-value:检测广播解除认证帧达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的广播解除认证帧的数量达到触发告警阈值,即判定设备检测到广播解除认证帧,设备会发送告警日志。

【举例】

# 配置检测广播解除认证帧功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] deauthentication-broadcast interval 100 threshold 100 quiet 360

1.1.55  detect dissociate-client enable

detect dissociate-client enable命令用来开启WIPS检测游离客户端功能。

undo detect dissociate-client enable命令用来关闭WIPS检测游离客户端功能。

【命令】

detect dissociate-client enable

undo detect dissociate-client enable

【缺省情况】

WIPS检测游离客户端功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【举例】

# 开启WIPS检测游离客户端功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] detect dissociate-client enable

1.1.56  detect policy

detect policy命令用来创建攻击检测策略,并进入攻击检测策略视图,如果指定的攻击检测策略已经存在,则直接进入攻击检测策略视图。

undo detect policy命令用来删除攻击检测策略。

【命令】

detect policy policy-name

undo detect policy policy-name

【缺省情况】

不存在攻击检测策略。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

policy-name:攻击检测策略的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 创建名称为home的攻击检测策略,并进入攻击检测策略视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home]

1.1.57  detect signature

detect signature命令用来开启对符合Signature规则的报文检测功能。

undo detect signature命令用来关闭对符合Signature规则的报文检测功能。

【命令】

detect signature [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo detect

【缺省情况】

对符合Signature规则的报文检测功能处于开启状态。

【视图】

Signature策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:对符合Signature规则的报文检测的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600。

threshold threshold-value:对符合Signature规则的报文检测达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备检测到符合Signature规则的报文的数量达到触发告警阈值,设备会发送告警日志。

【举例】

# 开启对符合Signature规则的报文检测功能,统计周期为60秒,统计次数的阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature policy home

[Sysname-wips-sig-home] detect signature interval 60 threshold 100 quiet 360

1.1.58  disassociation-broadcast

disassociation-broadcast命令用来开启广播解除关联帧检测功能。

undo disassociation-broadcast命令用来关闭广播解除关联帧检测功能。

【命令】

disassociation-broadcast [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo disassociation-broadcast

【缺省情况】

广播解除关联帧检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测广播解除关联帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的广播解除关联帧的数量达到触发告警阈值,设备也不会发送告警日志。

threshold threshold-value:检测广播解除关联帧达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的广播解除关联帧的数量达到触发告警阈值,即判定设备检测到广播解除关联帧,设备会发送告警日志。

【举例】

# 配置检测广播解除关联帧功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] disassociation-broadcast interval 100 threshold 100 quiet 360

1.1.59  discovered-ap

discovered-ap命令用来在AP分类规则中对发现AP的Sensor数量进行匹配。

undo discovered-ap命令用来恢复缺省情况。

【命令】

discovered-ap value1 [ to value2 ]

undo discovered-ap

【缺省情况】

没有在AP分类规则中对发现AP的Sensor数量进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

value1:指定匹配发现AP数量。value1的取值范围为1~128。

to value2:与value1共同作用,指定匹配发现AP数量范围,value2的取值范围为1~128且必须大于或等于value1

【举例】

# 在ID为1的AP分类策略中配置对发现AP的Sensor数量大于10的AP进行匹配。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] discovered-ap 10 to 128

1.1.60  display wips sensor

display wips sensor命令用来显示所有Sensor的信息。

【命令】

display wips sensor

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示所有Sensor的信息。

<Sysname> display wips sensor

Total number of sensors: 1

Sensor ID    Sensor name                VSD name               Radio ID   Status

3            ap1                        aaa                    1          Active

表1-1 display wips sensor命令显示信息描述表

字段

描述

Sensor ID

Sensor设备的ID

Sensor name

Sensor设备的名称

VSD name

AP所在的虚拟安全域

Radio ID

开启WIPS的Radio ID

Status

Sensor的状态:

·     Active:已运行WIPS功能的Sensor

·     Inactive:未运行WIPS功能的Sensor

 

1.1.61  display wips statistics

display wips statistics命令用来显示Sensor上报的WLAN攻击检测统计信息。

【命令】

display wips statistics [ receive | virtual-security-domain vsd-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

receive:所有虚拟安全域中的攻击检测统计信息。

virtual-security-domain vsd-name:指定虚拟安全域中的攻击检测统计。

【举例】

# 显示所有的虚拟安全域中的攻击检测统计信息。

<Sysname> display wips statistics receive

Information from sensor 1

 Information about attack statistics:

   Detected association-request flood messages: 0

   Detected authentication flood messages: 0

   Detected beacon flood messages: 0

   Detected block-ack flood messages: 0

   Detected cts flood messages: 0

   Detected deauthentication flood messages: 0

   Detected disassociation flood messages: 0

   Detected eapol-start flood messages: 0

   Detected null-data flood messages: 0

   Detected probe-request flood messages: 0

   Detected reassociation-request flood messages: 0

   Detected rts flood messages: 0

   Detected eapol-logoff flood messages: 0

   Detected eap-failure flood messages: 0

   Detected eap-success flood messages: 0

   Detected duplicated-ie messages: 0

   Detected fata-jack messages: 0

   Detected illegal-ibss-ess messages: 0

   Detected invalid-address-combination messages: 0

   Detected invalid-assoc-req messages: 0

   Detected invalid-auth messages: 0

   Detected invalid-deauth-code messages: 0

   Detected invalid-disassoc-code messages: 0

   Detected invalid-ht-ie messages: 0

   Detected invalid-ie-length messages: 0

   Detected invalid-pkt-length messages: 0

   Detected large-duration messages: 0

   Detected null-probe-resp messages: 0

   Detected overflow-eapol-key messages: 0

   Detected overflow-ssid messages: 0

   Detected redundant-ie messages: 0

   Detected AP spoof AP messages: 0

   Detected AP spoof client messages: 0

   Detected AP spoof ad-hoc messages: 0

   Detected ad-hoc spoof AP messages: 0

   Detected client spoof AP messages: 0

   Detected weak IV messages: 0

   Detected excess AP messages: 0

   Detected excess client messages: 0

   Detected signature rule messages: 0

   Detected 40MHZ messages: 0

   Detected power save messages: 0

   Detected omerta messages: 0

   Detected windows bridge messages: 0

   Detected soft AP messages: 0

   Detected broadcast disassoc messages: 0

   Detected broadcast deauth messages: 0

   Detected AP impersonate messages: 0

   Detected HT greenfield messages: 0

   Detected association table overflow messages: 0

   Detected wireless bridge messages: 0

   Detected AP flood messages: 0

表1-2 display wips statistics命令显示信息描述表

字段

描述

Information from sensor n

Sensor n发送的消息,n表示sensor ID

Information about attack statistics

关于攻击信息统计

Detected association-request flood messages

检测到关联请求帧的泛洪攻击消息的上报计数

Detected authentication flood messages

检测到鉴权帧的泛洪攻击消息的上报计数

Detected beacon flood messages

检测到Beacon帧的泛洪攻击消息的上报计数

Detected block-ack flood messages

检测到批量确认帧的泛洪攻击消息的上报计数

Detected cts flood messages

检测到允许发送帧的泛洪攻击消息的上报计数

Detected deauthentication flood messages

检测到解除鉴权帧的泛洪攻击消息的上报计数

Detected disassociation flood messages

检测到解除关联帧的泛洪攻击消息的上报计数

Detected eapol-start flood messages

检测到握手开始帧的泛洪攻击消息的上报计数

Detected null-data flood messages

检测到空数据帧的泛洪攻击消息的上报计数

Detected probe-request flood messages

检测到探查请求帧的泛洪攻击消息的上报计数

Detected reassociation-request flood messages

检测到重关联请求帧的泛洪攻击消息的上报计数

Detected rts flood messages

检测到请求发送帧的泛洪攻击消息的上报计数

Detected eapol-logoff flood messages

检测到下线请求帧的泛洪攻击消息的上报计数

Detected eap-failure flood messages

检测到失败类型认证帧的泛洪攻击消息的上报计数

Detected eap-success flood messages

检测到成功类型认证帧的泛洪攻击消息的上报计数

Detected duplicated-ie messages

检测到重复的IE畸形消息的上报计数

Detected fata-jack messages

检测到认证算法错畸形消息的上报计数

Detected illegal-ibss-ess messages

检测到无效IBSS-ESS畸形消息的上报计数

Detected invalid-address-combination messages

检测到无效联合地址畸形消息的上报计数

Detected invalid-assoc-req messages

检测到无效关联请求畸形消息的上报计数

Detected invalid-auth messages

检测到无效鉴权畸形消息的上报计数

Detected invalid-deauth-code messages

检测到无效解除鉴权码畸形消息的上报计数

Detected invalid-disassoc-code messages

检测到无效解除关联码畸形消息的上报计数

Detected invalid-ht-ie messages

检测到无效HT IE畸形消息的上报计数

Detected invalid-ie-length messages

检测到无效IE长度畸形消息的上报计数

Detected invalid-pkt-length messages

检测到无效报文长度畸形消息的上报计数

Detected large-duration messages

检测到超大持续时间畸形消息的上报计数

Detected null-probe-resp messages

检测到空探查响应畸形消息的上报计数

Detected overflow-eapol-key messages

检测到Eapol-key溢出畸形消息的上报计数

Detected overflow-ssid messages

检测到SSID溢出畸形消息的上报计数

Detected redundant-ie messages

检测到冗余的IE畸形消息的上报计数

Detected AP spoof AP messages

检测到AP仿冒AP消息的上报计数

Detected AP spoof client messages

检测到AP仿冒Client消息的上报计数

Detected AP spoof ad-hoc messages

检测到AP仿冒Ad-hoc消息的上报计数

Detected ad-hoc spoof AP messages

检测到Ad-hoc 仿冒AP消息的上报计数

Detected client spoof AP messages

检测到Client仿冒AP消息的上报计数

Detected weak IV messages

检测到弱向量消息的上报计数

Detected excess AP messages

检测到AP设备表项超过规格消息的上报计数

Detected excess client messages

检测到客户端设备表项超过规格消息的上报计数

Detected 40MHZ messages

检测到客户端禁用40MHz模式消息的上报计数

Detected power save messages

检测到节电攻击消息的上报计数

Detected omerta messages

检测到Omerta攻击消息的上报计数

Detected windows bridge messages

检测到Windows网桥消息的上报计数

Detected soft AP messages

检测到软AP消息的上报计数

Detected broadcast disassoc messages

检测到广播解除关联帧消息的上报计数

Detected broadcast deauth messages

检测到广播解除认证帧消息的上报计数

Detected AP impersonate messages

检测到AP扮演消息的上报计数

Detected HT greenfield messages

检测到绿野模式消息的上报计数

Detected association table overflow messages

检测到关联/重关联DoS攻击消息的上报计数

Detected wireless bridge messages

检测到无线网桥消息的上报计数

Detected AP flood messages

检测到AP泛洪攻击消息的上报计数

 

【相关命令】

·     reset wips statistics

1.1.62  display wips virtual-security-domain countermeasure record

display wips virtual-security-domain countermeasure record命令用来显示指定VSD内被反制过设备的信息。

【命令】

display wips virtual-security-domain vsd-name countermeasure record

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 显示VSD office内被反制过设备的信息。

<Sysname> display wips virtual-security-domain office countermeasure record

Total 3 times countermeasure, current 3 countermeasure record in virtual-security-domain office

 

Reason: Att - attack; Ass - associated; Black - blacklist;

        Class - classification; Manu - manual;

 

MAC address    Type   Reason   Countermeasure AP     Radio ID   Time

1000-0000-00e3 AP     Manu     ap1                    1          2016-05-03/09:32:01

1000-0000-00e4 AP     Manu     ap2                    1          2016-05-03/09:32:11

2000-0000-f282 Client Black    ap3                    1          2016-05-03/09:31:56

表1-3 display wips virtual-security-domain countermeasure record命令显示信息描述表

字段

描述

Total number times countermeasure, current number countermeasure record in virtual-security-domain name

累计成功通知反制次数;当前成功通知反制次数,最多可以显示1024条反制记录

MAC Address

检测到的无线设备的MAC地址

Type

无线设备的类型:

·     AP

·     Client

Reason

无线设备的反制原因:

·     Att:对发起攻击的设备进行的反制

·     Ass:由于关联的AP被反制,导致该AP下关联的客户端也被反制

·     Black:当被反制的客户端关联到AC下的AP时,该客户端会被加入到黑名单中

·     Class:根据设备分类类型进行的反制

·     Manu:根据指定的MAC地址对设备进行手工反制

Countermeasure AP

发起反制设备的Sensor名称

Radio ID

发起反制设备的Sensor的Radio ID

Time

通知反制的时间

 

【相关命令】

·     reset wips virtual-security-domain countermeasure record

1.1.63  display wips virtual-security-domain device

display wips virtual-security-domain device命令用来显示指定VSD内检测到的无线设备的信息。

【命令】

display wips virtual-security-domain vsd-name device [ ap [ ad-hoc | authorized | external | mesh | misconfigured | potential-authorized | potential-external | potential-rogue | rogue | uncategorized ] | client [ [ dissociative-client ] | [ authorized | misassociation | unauthorized | uncategorized ] ] | mac-address mac-address ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

device:显示所有设备的信息。

ap:显示检测到AP的信息。

ad-hoc:显示运行在Ad hoc模式的AP的信息。

authorized:显示授权AP的信息。

external:显示外部AP的信息。

mesh:显示Mesh链接的信息。

misconfigured:显示配置错误的AP的信息。

potential-authorized:显示潜在授权AP的信息。

potential-rogue:显示潜在Rogue AP的信息。

potential-external:显示潜在外部AP的信息。

rogue:显示Rogue AP的信息。

uncategorized:显示无法确定类别的AP的信息。

client:显示客户端的信息。

dissociative-client:显示游离客户端信息。

authorized:显示授权客户端的信息。

misassociation:显示误关联客户端的信息。

unauthorized:显示未授权客户端的信息。

uncategorized:显示无法确定类别的客户端的信息。

mac-address mac-address:显示指定MAC地址的无线设备的信息,mac-address格式为H-H-H。

verbose:显示检测到设备的详细信息。

【举例】

# 显示在虚拟安全域office内检测到的所有无线设备信息。

<Sysname> display wips virtual-security-domain office device

Total 3 detected devices in virtual-security-domain office

 

Class: Auth - authorization; Ext - external; Mis - mistake;

       Unauth - unauthorized; Uncate - uncategorized;

       (A) - associate; (C) - config; (P) - potential;

       Ad-hoc; Mesh

 

MAC address    Type   Class    Duration    Sensors Channel Status

1000-0000-0000 AP     Ext(P)   00h 10m 46s 1       11      Active

1000-0000-0001 AP     Ext(P)   00h 10m 46s 1       6       Active

1000-0000-0002 AP     Ext(P)   00h 10m 46s 1       1       Active

表1-4 display wips virtual-security-domain device命令显示信息描述表

字段

描述

MAC Address

检测到的无线设备的MAC地址

Type

无线设备的类型:

·     AP:AP设备

·     Client:无线客户端

·     Mesh:无线网桥

Class

无线设备的分类类别,具体参见表1-5中的相关内容

Duration

无线设备的当前状态的持续时间

Sensors

检测到该无线设备的Sensor的数量

Channel

最后一次检测到该无线设备的信道

Status

AP或客户端表项的状态:

·     Active:AP或客户端表项处于活跃状态

·     Inactive:AP或客户端表项处于非活跃状态

 

# 显示在虚拟安全域a内检测到的所有无线设备的详细信息。

<Sysname> display wips virtual-security-domain a device verbose

Total 2 detected devices in virtual-security-domain a

 

 AP: 1000-0000-0000

   Mesh Neighbor: None

   Classification: Mis(C)

   Severity level: 0

   Classify way: Auto

   Status: Active

   Status duration: 00h 27m 57s

   Vendor: Not found

   SSID: service

   Radio type: 802.11g

   Countermeasuring: No

   Security: None

   Encryption method: None

   Authentication method: None

   Broadcast SSID: Yes

   QoS supported: No

   Ad-hoc: No

   Beacon interval: 100 TU

   Up duration: 00h 27m 57s

Channel band-width supported: 20MHZ

   Hotspot AP: No

   Soft AP: No

   Honeypot AP: No

   Total number of reported sensors: 1

     Sensor 1:

       Sensor ID: 3

       Sensor name: 1

       Radio ID: 1

       RSSI: 15

       Channel: 149

       First reported time: 2014-06-03/09:05:51

       Last reported time: 2014-06-03/09:05:51

   Total number of associated clients: 1

     01: 2000-0000-0000

Client: 2000-0000-0000

  Last reported associated AP: 1000-0000-0000

  Classification: Uncate

  Severity level: 0

  Classify way: Auto

  Dissociative status: No

  Status: Active

  Status duration: 00h 00m 02s

  Vendor: Not found

  Radio type: 802.11a

  40mhz intolerance: No

  Countermeasuring: No

  Man in the middle: No

  Total number of reported sensors: 1

     Sensor 1:

       Sensor ID: 2

       Sensor name: 1

       Radio ID: 1

       RSSI: 50

       Channel: 149

       First reported time: 2014-06-03/14:52:56

       Last reported time: 2014-06-03/14:52:56

       Reported associated AP: 1000-0000-0000

表1-5 display wips virtual-security-domain device verbose命令显示信息描述表

字段

描述

Total number detected devices in virtual-security-domain name

在指定虚拟安全域内检测到无线设备的总数

AP

检测到AP的MAC地址

Mesh Neighbor

Mesh AP邻居的MAC地址

Client

检测到Client的MAC地址

Last reported associated AP

客户端最近一次上报关联AP的MAC地址

Classification

AP或无线客户端的分类:

·     对于AP设备有以下几种:

¡     ad_hoc:运行在Ad hoc模式的AP

¡     authorized:授权AP

¡     rogue:非法AP

¡     misconfigured:配置错误的AP

¡     external:外部AP

¡     potential-authorized:潜在授权的AP

¡     potential-rogue:潜在非法的AP

¡     potential-external:潜在外部的AP

¡     uncategorized:无法确认的AP

·     对于无线客户端有以下几种:

¡     authorized:授权的客户端

¡     unauthorized:未授权的客户端

¡     misassociated:错误关联的客户端

¡     uncategorized:未分类的客户端

Severity level

检测到设备的安全级别

Classify way

AP或无线客户端的分类方法:

·     Manual:手工分类

·     Invalid OUI:导入无效OUI列表

·     Block List:禁用列表

·     Associated:与AC关联

·     Trust List:信任列表

·     User Define:用户自定义分类

·     Auto:自动分类

Dissociative status

是否是游离客户端

Status

AP或客户端表项的状态:

·     Active:AP或客户端表项处于激活状态

·     Inactive:AP或客户端表项处于非激活状态

Status duration

设备当前状态的持续时间

Vendor

如果该设备的OUI能够匹配import oui命令导入配置文件中的OUI,则显示设备厂商,没有配置或者没有匹配到显示为Not found

SSID

AP提供的SSID

Radio Type

无线设备使用的射频模式

40MHz intolerance

客户端是否支持40MHz

Countermeasuring

设备是否被反制:

·     No:没有被反制或是已经被通知反制过

·     Yes:正在被反制

Man in the middle

是否是中间人

Security

无线服务使用的安全方式:

·     None:未配置安全方式

·     WEP:WEP(Wired Equivalent Privacy,有线等效加密)方式

·     WPA:WPA(Wi-Fi Protected Access,WIFI保护访问)方式

·     WPA2:WPA第二版方式

·     WAPI:WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)方式

Encryption method

无线数据的加密方式:

·     TKIP:TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)加密

·     CCMP:CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[密码块链接-消息验证码]协议)加密

·     WEP:WEP(Wired Equivalent Privacy,有线等效加密)加密

·     WAPI-SMS4:国内广泛使用的WAPI无线网络标准中使用的加密算法

·     None:无加密方式

Authentication method

AP提供的接入无线网络的认证方式:

·     None:无认证方式

·     PSK:采用PSK认证方式

·     802.1X:采用802.1X认证方式

·     Others:采用除PSK和802.1X之外的认证方式

Broadcast SSID

AP是否是广播SSID,如果AP不广播SSID,显示信息的SSID显示为空

QoS supported

是否支持QoS

Ad-hoc

是否是Ad hoc

Beacon interval

信标间隔,单位为TU,1TU等于1024微秒

Up duration

AP设备从启动到当前的持续时间

Channel band-width supported

支持的信道带宽:

·     20/40/80MHZ:AP支持20MHz、40MHz和80MHz的信道带宽

·     20/40MHZ:AP支持20MHz和40MHz的信道带宽

·     20MHZ:AP支持20MHz的信道带宽

Hotspot AP

是否是热点AP

Soft AP

是否是软AP

Honeypot AP

是否是蜜罐AP

Sensor n

发现该设备的Sensor,n为系统自动的编号

Sensor ID

Sensor的ID,即Sensor的APID

Sensor name

检测到该无线设备的Sensor的名称

Radio ID

发现该设备的Sensor上的Radio ID

RSSI

Sensor的信号强度

Channel

该Sensor最近一次探测到该设备的信道

First reported time

该Sensor第一次检测到该AP或无线客户端的时间

Last reported time

该Sensor最近一次检测到该AP或无线客户端的时间

Total number of associated clients

关联该设备的Client的数量

n: H-H-H

AP上关联的无线客户端的MAC地址,n为系统自动的编号

Reported associated AP

该Sensor上报关联AP的MAC地址

 

【相关命令】

·     reset wips virtual-security-domain device

1.1.64  display wlan nat-detect

display wlan nat-detect命令用来显示私接代理检测信息。

【命令】

display wlan nat-detect [ mac-address mac-address ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

mac-address mac-address:显示指定MAC地址的私接代理检测信息。如果不指定本参数,将显示所有的私接代理检测信息。

【举例】

# 显示所有的私接代理检测信息。

<Sysname> display wlan nat-detect

Total 1 detected clients with NAT configured

 

MAC address    Last report         First report         Duration

0a98-2044-0000 2017-08-24/11:05:23 2017-08-24/10:05:23  01h 15m 00s

表1-6 display wlan nat-detect命令显示信息描述表

字段

描述

Total number detected clients with NAT configured

检测到的私接代理设备总数

MAC address

私接代理设备的MAC地址

Last report

最后一次检测到该私接代理设备的时间

First report

第一次检测到该私接代理设备的时间

Duration

私接代理设备总计开启代理的时间

 

【相关命令】

·     reset wlan nat-detect

1.1.65  embedded-oui-classify enable

embedded-oui-classify enable命令用来使用WIPS系统OUI库中所有的内置OUI信息对设备进行分类。

undo embedded-oui-classify enable命令用来恢复缺省情况。

【命令】

embedded-oui-classify enable

【缺省情况】

不使用内置OUI对设备进行分类。

【视图】

设备分类视图

【缺省用户角色】

network-admin

【举例】

# 将名字为home的设备分类策略使能内置OUI分类。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] embedded-oui-classify enable

【相关命令】

·     reset wips embedded-oui

1.1.66  export oui

export oui命令用来导出所有的OUI信息。

【命令】

export oui file-name

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

file-name:导出OUI信息到指定文件的名称,1~255个字符的字符串,不区分大小写,且不能包含如下字符:\ / : * ? “ < > |

【使用指导】

export oui命令用来导出所有的OUI信息到指定的文件,包括WIPS系统OUI库中的OUI信息和导入的配置文件中的OUI信息。

导出文件格式如下:

000FE2     (base 16)      New H3C Technologies Co., Ltd..

【举例】

# 导出所有的OUI信息到文件OUIInfo中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] export oui OUIInfo

【相关命令】

·     import oui

·     reset wips embedded-oui

1.1.67  flood association-request

flood association-request命令用来开启关联请求帧泛洪攻击检测功能。

undo flood association-request命令用来关闭关联请求帧泛洪攻击检测功能。

【命令】

flood association-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood association-request

【缺省情况】

关联请求帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测关联请求帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的关联请求帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测关联请求帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的关联请求帧达到触发阈值,即判定设备受到关联请求帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启关联请求帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood association-request interval 100 threshold 100 quiet 360

1.1.68  flood authentication

flood authentication命令用来开启认证请求帧泛洪攻击检测功能。

undo flood authentication命令用来关闭认证请求帧泛洪攻击检测功能。

【命令】

flood authentication [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood authentication

【缺省情况】

认证请求帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测认证请求帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的认证请求帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测认证请求帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的认证请求帧达到触发阈值,即判定设备受到认证请求帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启认证请求帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood authentication interval 100 threshold 100 quiet 360

1.1.69  flood beacon

flood beacon命令用来开启Beacon帧泛洪攻击检测功能。

undo flood beacon命令用来关闭Beacon帧泛洪攻击检测功能。

【命令】

flood beacon [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood beacon

【缺省情况】

Beacon帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测Beacon帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的Beacon帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测Beacon帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的Beacon帧达到触发阈值,即判定设备受到Beacon帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启Beacon帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood beacon interval 100 threshold 100 quiet 360

1.1.70  flood block-ack

flood block-ack命令用来开启Block ACK帧泛洪攻击检测功能。

undo flood block-ack命令用来关闭Block ACK帧泛洪攻击检测功能。

【命令】

flood block-ack [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood block-ack

【缺省情况】

Block ACK帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测Block ACK帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的Block ACK帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测Block ACK帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的Block ACK帧达到触发阈值,即判定设备受到Block ACK帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启Block ACK帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood block-ack interval 100 threshold 100 quiet 360

1.1.71  flood cts

flood cts命令用来开启CTS帧泛洪攻击检测功能。

undo flood cts命令用来关闭CTS帧泛洪攻击检测功能。

【命令】

flood cts [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood cts

【缺省情况】

CTS帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测CTS帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的CTS帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测CTS帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的CTS帧达到触发阈值,即判定设备受到CTS帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启CTS帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood cts interval 100 threshold 100 quiet 360

1.1.72  flood deauthentication

flood deauthentication命令用来开启解除认证帧泛洪攻击检测功能。

undo flood deauthentication命令用来关闭解除认证帧泛洪攻击检测功能。

【命令】

flood deauthentication [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood deauthentication

【缺省情况】

解除认证帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测解除认证帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的解除认证帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测解除认证帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的解除认证帧达到触发阈值,即判定设备受到解除认证帧泛洪攻击,设备会发送告警信息。

【举例】

#开启解除认证帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood deauthentication interval 100 threshold 100 quiet 360

1.1.73  flood disassociation

flood disassociation命令用来开启解除关联帧泛洪攻击检测功能。

undo flood disassociation命令用来关闭解除关联帧泛洪攻击检测功能。

【命令】

flood disassociation [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood disassociation

【缺省情况】

解除关联帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测解除关联帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的解除关联帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测解除关联帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的解除关联帧达到触发阈值,即判定设备受到解除关联帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启解除关联帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood disassociation interval 100 threshold 100 quiet 360

1.1.74  flood eap-failure

flood eap-failure命令用来开启EAP-Failure帧泛洪攻击检测功能。

undo flood eap-failure命令用来关闭EAP-Failure帧泛洪攻击检测功能。

【命令】

flood eap-failure [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood eap-failure

【缺省情况】

EAP-Failure帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测EAP-Failure帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的EAP-Failure帧的数量达到触发告警阈值,也不会发送告警日志。

threshold threshold-value:检测EAP-Failure帧的数量达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAP-Failure帧的数量达到触发告警阈值,即判定设备受到EAP-Failure帧泛洪攻击,设备会发送告警日志。

【举例】

# 开启EAP-Failure帧的泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood eap-failure interval 100 threshold 100 quiet 360

1.1.75  flood eap-success

flood eap-success命令用来开启EAP-Success帧泛洪攻击检测功能。

undo flood eap-success命令用来关闭EAP-Success帧泛洪攻击检测功能。

【命令】

flood eap-success [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood eap-success

【缺省情况】

EAP-Success帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测EAP-Success帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的EAP-Success帧的数量达到触发告警阈值,也不会发送告警日志。

threshold threshold-value:检测EAP-Success帧的数量达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAP-Success帧达到触发告警阈值,即判定设备受到EAP-Success帧泛洪攻击,设备会发送告警日志。

【举例】

# 开启EAP-Success帧的泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood eap-success interval 100 threshold 100 quiet 360

1.1.76  flood eapol-logoff

flood eapol-logoff命令用来开启EAPOL-Logoff帧泛洪攻击检测功能。

undo flood eapol-logoff命令用来关闭EAPOL-Logoff帧泛洪攻击检测功能。

【命令】

flood eapol-logoff [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood eapol-logoff

【缺省情况】

EAPOL-Logoff帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测EAPOL-Logoff帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的EAPOL-Logoff帧的数量达到触发告警阈值,也不会发送告警日志。

threshold threshold-value:检测EAPOL-Logoff帧达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAPOL-Logoff帧的数量达到触发告警阈值,即判定设备受到EAPOL-Logoff帧泛洪攻击,设备会发送告警日志。

【举例】

# 开启EAPOL-Logoff帧的泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood eapol-logoff interval 100 threshold 100 quiet 360

1.1.77  flood eapol-start

flood eapol-start命令用来开启EAPOL-Start帧泛洪攻击检测功能。

undo flood eapol-start命令用来关闭EAPOL-Start帧泛洪攻击检测功能。

【命令】

flood eapol-start [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood eapol-start

【缺省情况】

EAPOL-Start帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测EAPOL-Start帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的EAPOL-Start帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测EAPOL-Start帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAPOL-Start帧达到触发阈值,即判定设备受到EAPOL-Start帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启EAPOL-Start帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood eapol-start interval 100 threshold 100 quiet 360

1.1.78  flood null-data

flood null-data命令用来开启Null data帧泛洪攻击检测功能。

undo flood null-data命令用来关闭Null data帧泛洪攻击检测功能。

【命令】

flood null-data [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood null-data

【缺省情况】

Null data帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测Null data帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的Null data帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测Null data帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的Null data帧达到触发阈值,即判定设备受到Null data帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启Null data帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood null-data interval 100 threshold 100 quiet 360

1.1.79  flood probe-request

flood probe-request命令用来开启探查请求帧泛洪攻击检测功能。

undo flood probe-request命令用来关闭探查请求帧泛洪攻击检测功能。

【命令】

flood probe-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood probe-request

【缺省情况】

探查请求帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测探查请求帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的探查请求帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测探查请求帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的探查请求帧达到触发阈值,即判定设备受到探查请求帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启探查请求帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood probe-request interval 100 threshold 100 quiet 360

1.1.80  flood reassociation-request

flood reassociation-request命令用来开启重关联帧泛洪攻击检测功能。

undo flood reassociation-request命令用来关闭重关联帧泛洪攻击检测功能。

【命令】

flood reassociation-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood reassociation-request

【缺省情况】

重关联帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测重关联帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的重关联帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测重关联帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的重关联帧达到触发阈值,即判定设备受到重关联帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启重关联帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood reassociation-request interval 100 threshold 100 quiet 360

1.1.81  flood rts

flood rts命令用来开启RTS帧泛洪攻击检测功能。

undo flood rts命令用来关闭RTS帧泛洪攻击检测功能。

【命令】

flood rts [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood rts

【缺省情况】

RTS帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测RTS帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的RTS帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测RTS帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的RTS帧达到触发阈值,即判定设备受到RTS帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启RTS帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood rts interval 100 threshold 100 quiet 360

1.1.82  frame-type

frame-type命令用来配置Signature规则中匹配帧类型的子规则。

undo frame-type命令用来恢复缺省情况。

【命令】

frame-type { control | data | management [ frame-subtype { association-request | association-response | authentication | beacon | deauthentication | disassociation | probe-request } ] }

undo frame-type

【缺省情况】

未配置Signature规则中匹配帧类型的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

control:控制帧。

data:数据帧。

management:管理帧。

frame-subtype:帧的子类型。

association-request:Association Request帧。

association-response:Association Response帧。

authentication:Authentication帧。

beacon:Beacon帧。

deauthentication:De-authentication帧。

disassociation:Disassociation帧。

probe-request:Probe Request帧。

【举例】

# 配置ID为1的Signature规则中帧类型为数据帧的匹配子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[wips-sig-rule-1] frame-type data

【相关命令】

·     mac-address

·     seq-number

·     ssid-length

·     ssid(signature rule view)

·     pattern

·     match all(signature rule view)

1.1.83  honeypot-ap

honeypot-ap命令用来开启蜜罐AP检测功能。

undo honeypot-ap命令用来关闭蜜罐AP检测功能。

【命令】

honeypot-ap [ similarity similarity-value | quiet quiet-value ] *

undo honeypot-ap

【缺省情况】

蜜罐AP检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

similarity similarity-value:SSID的相似度,取值范围为70~100,缺省值为80。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到蜜罐AP,设备也不会发送告警日志。

【举例】

# 开启蜜罐AP检测功能,SSID相似度为90%,静默时间为10秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] honeypot-ap similarity 90 quiet 10

1.1.84  hotspot-attack

hotspot-attack命令用来开启热点攻击检测功能。

undo hotspot-attack命令用来关闭热点攻击检测功能。

【命令】

hotspot-attack [ quiet quiet-value ]

undo hotspot-attack

【缺省情况】

热点攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备检测到热点攻击,设备也不会发送告警日志。

【举例】

# 开启热点攻击检测功能,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] hotspot-attack quiet 100

【相关命令】

·     import hotspot

1.1.85  hotspot ssid

hotspot ssid命令用来配置指定的SSID为热点SSID。

undo hotspot ssid命令用来删除指定的热点SSID。

【命令】

hotspot ssid ssid-name

undo hotspot ssid { ssid-name | all }

【缺省情况】

未配置热点SSID。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

ssid-name:配置指定的SSID为热点SSID,为1~32个字符的字符串,区分大小写。

all:删除配置的所有热点SSID。

【使用指导】

设备支持如下几种热点SSID配置方式:

·     内置:设备内置的热点SSID默认存在,不能被删除。

·     配置文件导入:在配置文件中编辑SSID,然后将配置文件通过命令import hotspot导入到设备中。适用于批量指定热点SSID的场景。

·     命令行指定:通过hotspot ssid命令将指定的SSID配置为热点SSID。适用于指定单个热点SSID的场景。

开启热点攻击检测功能后,设备就会通过WIPS对周围环境中释放这些热点SSID的未授权设备进行热点攻击检测并将其标记为热点AP。通过配置对热点AP进行反制,确保无线网络的安全。

多次执行本命令,可以配置多个SSID为热点SSID。

【举例】

# 配置名称为cmcc的SSID为热点SSID。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] hotspot ssid cmcc

【相关命令】

·     import hotspot

1.1.86  ht-40mhz-intolerance

ht-40mhz-intolerance命令用来开启客户端是否开启了禁用802.11n 40MHz模式检测功能。

undo ht-40mhz-intolerance命令用来关闭客户端是否开启了禁用802.11n 40MHz模式检测功能。

【命令】

ht-40mhz-intolerance [ quiet quiet-value ]

undo ht-40mhz-intolerance

【缺省情况】

客户端是否开启了禁用802.11n 40MHz模式检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到客户端开启了禁用802.11n 40MHz模式,也不会发送告警日志。

【举例】

# 开启客户端是开启了否禁用802.11n 40MHz模式检测功能,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ht-40mhz-intolerance quiet 100

1.1.87  ht-greenfield

ht-greenfield命令用来开启绿野模式检测功能。

undo ht-greenfield命令用来关闭绿野模式检测功能。

【命令】

ht-greenfield [ quiet quiet-value ]

undo ht-greenfield

【缺省情况】

绿野模式检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到AP工作在绿野模式,设备也不会发送告警日志。

【举例】

# 开启绿野模式检测功能,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ht-greenfield quiet 100

1.1.88  ignorelist

ignorelist命令用来配置忽略WIPS告警信息的设备列表。

undo ignorelist命令用来删除忽略WIPS告警信息的设备列表。

【命令】

ignorelist mac-address mac-address

undo ignorelist mac-address { mac-address | all }

【缺省情况】

未配置忽略WIPS告警信息的设备列表。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

mac-address:将要忽略WIPS告警信息的设备列表中添加或删除的无线设备的MAC地址,格式为H-H-H。

all:删除忽略WIPS告警信息的设备列表的所有表项。

【使用指导】

对于忽略WIPS告警信息的设备列表中的无线设备,WIPS会监测其是否存在,但是不会对它的任何行为产生告警。

【举例】

# 配置MAC地址为2a11-1fa1-1311的设备加入到忽略告警信息的设备列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ignorelist mac-address 2a11-1fa1-1311

1.1.89  import hotspot

import hotspot命令用来导入热点信息的配置文件。

undo import hotspot命令用来删除已导入的热点信息配置文件。

【命令】

import hotspot file-name

undo import hotspot

【缺省情况】

未导入热点信息的配置文件。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

file-name:导入配置文件名称,1~255个字符的字符串,不区分大小写,且文件名不能包含如下字符:\ / : * ? “ < > |

【使用指导】

最多只能导入一个热点信息的配置文件。

【举例】

# 导入热点信息的配置文件。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] import hotspot hotspot_cfg

【相关命令】

·     hotspot-attack

1.1.90  import oui

import oui命令用来导入配置文件中的OUI信息。

undo import oui命令用来恢复缺省情况。

【命令】

import oui file-name

undo import oui

【缺省情况】

未导入配置文件的OUI信息。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

oui:导入配置文件名称,1~255个字符的字符串,不区分大小写,且文件名不能包含如下字符:\ / : * ? “ < > |

【使用指导】

·     该配置文件可以从IEEE网站下载。

·     最多只能导入一个配置文件。

【举例】

# 导入配置文件中的OUI信息。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] import oui oui_import_cfg

【相关命令】

·     export oui

·     reset wips embedded-oui

1.1.91  invalid-oui-classify illegal

invalid-oui-classify illegal命令用来配置对非法OUI的设备进行分类。

undo invalid-oui-classify命令用来恢复缺省情况。

【命令】

invalid-oui-classify illegal

undo invalid-oui-classify

【缺省情况】

不对非法OUI的设备进行分类。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对非法OUI的设备进行分类。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] invalid-oui-classify illegal

【相关命令】

·     import oui

1.1.92  mac-address

mac-address命令用来配置Signature规则中匹配报文中携带的MAC地址的子规则。

undo mac-address命令用来恢复缺省情况。

【命令】

mac-address { bssid | destination | source } mac-address

undo mac-address

【缺省情况】

未配置Signature规则中匹配报文中携带的MAC地址的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

bssid:对BSSID进行匹配。

destination:对目的MAC地址进行匹配。

source:对源MAC地址进行匹配。

mac-address:指定MAC地址,格式为H-H-H。

【举例】

# 在编号为1的Signature规则中配置匹配报文源MAC地址为000f-e201-0101的子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[Sysname-wips-sig-rule-1] mac-address source 000f-e201-0101

【相关命令】

·     frame-type

·     seq-number

·     ssid-length

·     ssid(signature rule view)

·     pattern

·     match all(signature rule view)

1.1.93  malformed duplicated-ie

malformed duplicated-ie命令用来开启IE重复的畸形报文检测功能。

undo malformed duplicated-ie命令用来关闭IE重复的畸形报文检测功能。

【命令】

malformed duplicated-ie [ quiet quiet-value ]

undo malformed duplicated-ie

【缺省情况】

IE重复的畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到IE重复的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。当解析某报文时,该报文所包含的某IE重复出现时,则判断该报文为重复IE畸形报文。因为厂商自定义IE是允许重复的,所以检测IE重复时,不检测厂商自定义IE。

【举例】

# 开启IE重复的畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed duplicated-ie quiet 360

1.1.94  malformed fata-jack

malformed fata-jack命令用来开启Fata-Jack畸形报文检测功能。

undo malformed fata-jack命令用来关闭Fata-Jack畸形报文检测功能。

【命令】

malformed fata-jack [ quiet quiet-value ]

undo malformed fata-jack

【缺省情况】

Fata-Jack畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到Fata-Jack畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对认证帧的检测。Fata-Jack畸形类型规定,当身份认证算法编号即Authentication algorithm number的值等于2时,则判定该帧为Fata-Jack畸形报文。

【举例】

# 开启Fata-Jack畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed fata-jack quiet 360

1.1.95  malformed illegal-ibss-ess

malformed illegal-ibss-ess命令用开启IBSS和ESS置位异常的畸形报文检测功能。

undo malformed illegal-ibss-ess命令用来关闭IBSS和ESS置位异常的畸形报文检测功能。

【命令】

malformed illegal-ibss-ess [ quiet quiet-value ]

undo malformed illegal-ibss-ess

【缺省情况】

IBSS和ESS置位异常的畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到IBSS和ESS置位异常的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对Beacon帧和探查响应帧进行的检测。当报文中的IBSS和ESS都置位为1时,由于此种情况在协议中没有定义,所以这类报文被判定为IBSS和ESS置位异常的畸形报文。

【举例】

# 开启IBSS和ESS置位异常的畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed illegal-ibss-ess quiet 360

1.1.96  malformed invalid-address-combination

malformed invalid-address-combination命令用来开启源地址为广播或者组播的认证和关联畸形报文检测功能。

undo malformed invalid-address-combination命令用来关闭源地址为广播或者组播的认证和关联畸形报文检测功能。

【命令】

malformed invalid-address-combination [ quiet quiet-value ]

undo malformed invalid-address-combination

【缺省情况】

源地址为广播或者组播的认证和关联畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到报文长度非法的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。当检测到该帧的TO DS等于1时,表明该帧为客户端发给AP的,如果同时又检测到该帧的源MAC地址为广播或组播,则该帧被判定为Invalid-source-address畸形报文。

【举例】

# 开启源地址为广播或者组播的认证和关联畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-address-combination quiet 360

1.1.97  malformed invalid-assoc-req

malformed invalid-assoc-req命令用来开启畸形关联请求报文检测功能。

undo malformed invalid-assoc-req命令用来关闭畸形关联请求报文检测功能。

【命令】

malformed invalid-assoc-req [ quiet quiet-value ]

undo malformed invalid-assoc-req

【缺省情况】

畸形关联请求报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到畸形关联请求报文,也不会发送告警信息。

【使用指导】

该检测是针对认证请求帧的检测。当收到认证请求帧中的SSID长度等于零时,判定该报文为畸形关联请求报文。

【举例】

# 开启畸形关联请求报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-assoc-req quiet 360

1.1.98  malformed invalid-auth

malformed invalid-auth命令用来开启畸形认证请求报文检测功能。

undo malformed invalid-auth命令用来关闭畸形认证请求报文检测功能。

【命令】

malformed invalid-auth [ quiet quiet-value ]

undo malformed invalid-auth

【缺省情况】

畸形认证请求报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到畸形认证请求报文,也不会发送告警信息。

【使用指导】

该检测是针对认证帧的检测。当检测到以下情况时请求认证过程失败,会被判断判定为认证畸形报文。

·     当对认证帧的身份认证算法编号(Authentication algorithm number)的值不符合协议规定,并且其值大于3时;

·     当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number 的值等于1,且状态代码status code不为零时;

·     当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number的值大于4时。

【举例】

# 关闭畸形认证请求报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-auth quiet 360

1.1.99  malformed invalid-deauth-code

malformed invalid-deauth-code命令用来开启含有无效原因值的解除认证畸形报文检测功能。

undo malformed invalid-deauth-code命令用来关闭含有无效原因值的解除认证畸形报文检测功能。

【命令】

malformed invalid-deauth-code [ quiet quiet-value ]

undo malformed invalid-deauth-code

【缺省情况】

含有无效原因值的解除认证畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到含有无效原因值的解除认证畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对解除认证畸形帧的检测。当解除认证畸形帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除认证畸形报文。

【举例】

# 开启含有无效原因值的解除认证畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-deauth-code quiet 360

1.1.100  malformed invalid-disassoc-code

malformed invalid-disassoc-code命令用来开启含有无效原因值的解除关联畸形报文检测功能。

undo malformed invalid-disassoc-code命令用来关闭含有无效原因值的解除关联畸形报文检测功能。

【命令】

malformed invalid-disassoc-code [ quiet quiet-value ]

undo malformed invalid-disassoc-code

【缺省情况】

含有无效原因值的解除关联畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到含有无效原因值的解除关联畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对解除关联帧的检测。当解除关联帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除关联畸形报文。

【举例】

# 开启含有无效原因值的解除关联畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-disassoc-code quiet 360

1.1.101  malformed invalid-ht-ie

malformed invalid-ht-ie命令用来开启畸形HT IE报文检测功能。

undo malformed invalid-ht-ie命令用来关闭畸形HT IE报文检测功能。

【命令】

malformed invalid-ht-ie [ quiet quiet-value ]

undo malformed invalid-ht-ie

【缺省情况】

畸形HT IE报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到畸形HT IE报文,也不会发送告警信息。

【使用指导】

该检测是针对Beacon、探查响应帧、关联响应帧、重关联响应帧的检测。当检测到以下情况时,判定为HT IE的畸形报文,发出告警,在静默时间内不再告警。

·     解析出HT Capabilities IE的SM Power Save值为2时;

·     解析出HT Operation IE 的Secondary Channel Offset值等于2时。

【举例】

# 开启畸形HT IE报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-ht-ie quiet 360

1.1.102  malformed invalid-ie-length

malformed invalid-ie-length命令用来开启IE长度非法的畸形报文检测功能。

undo malformed invalid-ie-length命令用来关闭IE长度非法的畸形报文检测功能。

【命令】

malformed invalid-ie-length [ quiet quiet-value ]

undo malformed invalid-ie-length

【缺省情况】

IE长度非法的畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到IE长度非法的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。信息元素(Information Element,简称IE)是管理帧的组成元件,其长度不定。信息元素通常包含一个元素识别码位(Element ID)、一个长度位(Length)以及一个长度不定的位。每种类型的管理帧包含特定的几种IE,IE的长度的取值范围应遵守最新802.11协议的规定。报文解析过程中,当检测到该报文包含的某个IE的长度为非法时,该报文被判定为IE长度非法的畸形报文。

【举例】

# 开启IE长度非法的畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-ie-length quiet 360

1.1.103  malformed invalid-pkt-length

malformed invalid-pkt-length命令用来开启报文长度非法的畸形报文检测功能。

undo malformed invalid-pkt-length命令用来关闭报文长度非法的畸形报文检测功能。

【命令】

malformed invalid-pkt-length [ quiet quiet-value ]

undo malformed invalid-pkt-length

【缺省情况】

报文长度非法的畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到报文长度非法的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。当解析完报文主体后,IE的剩余长度不等于零时,则该报文被判定为报文长度非法畸形报文。

【举例】

# 开启报文长度非法的畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-pkt-length quiet 360

1.1.104  malformed large-duration

malformed large-duration命令用来开启Duration字段超大的畸形报文检测功能。

undo malformed large-duration命令用来关闭Duration字段超大的畸形报文检测功能。

【命令】

malformed large-duration [ quiet quiet-value | threshold value ]

undo malformed large-duration

【缺省情况】

Duration字段超大的畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到Duration字段超大的畸形报文,也不会发送告警信息。

threshold value:检测报文中Duration字段超大的触发阈值,取值范围为1~32767,缺省值为5000。当设备在一个统计周期内检测报文的Duration字段达到触发阈值,即判定设备受到Duration字段超大的畸形报文,设备会发送告警信息。

【使用指导】

该检测是针对单播管理帧、单播数据帧以及RTS、CTS、ACK帧的检测。如果报文解析结果中该报文的Duration值大于指定的门限值,则为Duration超大的畸形报文。

【举例】

# 开启Duration字段超大的畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed large-duration quiet 360

1.1.105  malformed null-probe-resp

malformed null-probe-resp命令用来开启无效探查响应报文检测功能。

undo malformed null-probe-resp命令用来关闭无效探查响应报文检测功能。

【命令】

malformed null-probe-resp [ quiet quiet-value ]

undo malformed null-probe-resp

【缺省情况】

无效探查响应报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到无效探查响应报文,也不会发送告警信息。

【使用指导】

该检测是针对探查响应报文。当检测到该帧为非Mesh帧,但同时该帧的SSID Length等于零,这种情况不符合协议(协议规定SSID等于零的情况是Mesh帧),则判定为无效探查响应报文。

【举例】

# 开启无效探查响应报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed null-probe-resp quiet 360

1.1.106  malformed overflow-eapol-key

malformed overflow-eapol-key命令用来开启key长度超长的EAPOL报文检测功能。

undo malformed overflow-eapol-key命令用来关闭key长度超长的EAPOL报文检测功能。

【命令】

malformed overflow-eapol-key [ quiet quiet-value ]

undo malformed overflow-eapol-key

【缺省情况】

key长度超长的EAPOL报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到key长度超长的EAPOL报文,也不会发送告警信息。

【使用指导】

该检测是针对EAPOL-Key帧的检测。当检测到该帧的TO DS等于1且其Key Length大于零时,则判定该帧为key长度超长的EAPOL报文。Key length长度异常的恶意的EAPOL-Key帧可能会导致DOS攻击。

【举例】

# 开启key长度超长的EAPOL报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed overflow-eapol-key quiet 360

1.1.107  malformed overflow-ssid

malformed overflow-ssid命令用来开启SSID长度超长的畸形报文检测功能。

undo malformed overflow-ssid命令用来关闭SSID长度超长的畸形报文检测功能。

【命令】

malformed overflow-ssid [ quiet quiet-value ]

undo malformed overflow-ssid

【缺省情况】

SSID长度超长的畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到SSID长度超长的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对Beacon、探查请求、探查响应、关联请求帧的检测。当解析报文的SSID length大于32字节时,不符合协议规定的0~32字节的范围,则判定该帧为SSID超长的畸形报文。

【举例】

# 开启SSID长度超长的畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed overflow-ssid quiet 360

1.1.108  malformed redundant-ie

malformed redundant-ie命令用来开启多余IE畸形报文检测功能。

undo malformed redundant-ie命令用来关闭多余IE畸形报文检测功能。

【命令】

malformed redundant-ie [ quiet quiet-value ]

undo malformed redundant-ie

【缺省情况】

多余IE畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到多余IE畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。报文解析过程中,当遇到既不属于报文应包含的IE,也不属于reserved IE时,判断该IE为多余IE,则该报文被判定为多余IE畸形报文。

【举例】

# 开启多余IE畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed redundant-ie quiet 360

1.1.109  man-in-the-middle

man-in-the-middle命令用来开启中间人攻击检测功能。

undo man-in-the-middle命令用来关闭中间人攻击检测功能。

【命令】

man-in-the-middle [ quiet quiet-value ]

undo man-in-the-middle

【缺省情况】

中间人攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到中间人攻击,设备也不会发送告警日志。

【使用指导】

在配置中间人攻击检测之前需要开启蜜罐AP检测。

【举例】

# 开启中间人攻击检测功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] honeypot-ap

[Sysname-wips-dtc-home] man-in-the-middle

1.1.110  manual-classify mac-address

manual-classify mac-address命令用来将指定的AP进行手工分类。

undo manual-classify mac-address命令用来恢复缺省情况。

【命令】

manual-classify mac-address mac-address { authorized-ap | external-ap | misconfigured-ap | rogue-ap }

undo manual-classify mac-address { mac-address | all }

【缺省情况】

没有对AP进行手工分类。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

mac-address:AP的MAC地址,格式为H-H-H。

authorized-ap:将指定AP设置为授权AP。

external-ap:将指定AP设置为外部AP。

misconfigured-ap:将指定AP设置为配置错误的AP。

rogue-ap:将指定AP设置为Rogue AP。

all:取消对所有AP的手工分类。

【举例】

# 将MAC地址为000f-00e2-0001的AP配置为授权AP。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] manual-classify mac-address 000f-00e2-0001 authorized-ap

1.1.111  match all(AP classification rule view)

match all命令用来配置AP分类规则的匹配关系为逻辑与。

undo match all命令用来恢复缺省情况。

【命令】

match all

undo match all

【缺省情况】

AP分类规则的匹配关系为逻辑或,即AP只要符合任何一条匹配条件就匹配上此规则。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【举例】

# 配置名称为1的AP分类规则的匹配关系为逻辑与。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] match all

1.1.112  match all(signature rule view)

match all命令用来配置Signature规则的匹配子规则的匹配关系为逻辑与。

undo match all命令用来恢复缺省情况。

【命令】

match all

undo match all

【缺省情况】

Signature规则的匹配子规则的匹配关系为逻辑或,即只要符合任何一条匹配条件就匹配上此规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【举例】

# 配置Signature规则1的匹配子规则的匹配关系为逻辑与。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[wips-sig-rule-1] match all

【相关命令】

·     frame-type

·     mac-address

·     seq-number

·     ssid-length

·     ssid(signature rule view)

·     pattern

1.1.113  omerta

omerta命令用来开启Omerta攻击检测功能。

undo omerta命令用来关闭对Omerta攻击的检测功能。

【命令】

omerta [ quiet quiet-value ]

undo omerta

【缺省情况】

Omerta攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到Omerta攻击,也不会发送告警日志。

【举例】

# 开启Omerta攻击检测功能,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] omerta quiet 100

1.1.114  oui

oui 命令用来在AP分类规则中对AP设备的OUI信息进行匹配。

undo oui命令用来恢复缺省情况。

【命令】

oui oui-info

undo oui

【缺省情况】

没有在AP分类规则中对AP设备的OUI信息进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

oui-info:对AP设备进行匹配的OUI信息,格式XXXXXX,16进制字符串,不区分大小写。

【举例】

# 在ID为1的AP分类规则中配置OUI为000fe4的AP匹配规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] oui 000fe4

1.1.115  pattern

pattern命令用来配置Signature规则中匹配报文中指定位置的字段的子规则。

undo pattern命令用来恢复缺省情况。

【命令】

pattern pattern-number offset offset-value mask mask value1 [ to value2 ] [ from-payload ]

undo pattern { pattern-number | all }

【缺省情况】

未配置Signature规则中匹配报文中指定位置的字段的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

pattern-number:Signature规则中匹配报文中指定位置的字段的子规则序列号,取值范围0~7。

offset offset-value:指定匹配字段相对于参考位置的偏移量,offset-value为偏移量,取值范围为0~2346,单位为bit。参考位置可以为帧头部(缺省情况)或帧载荷头部(配置from-payload参数后)。

mask mask:指定用于匹配指定字段的掩码值,mask为十六进制的掩码值,长度为两字节,取值范围为0~ffff。

value1 [ to value2 ]:指定匹配条件值的范围。value1value2为匹配条件的值,取值范围为0~65535。value2的值要大于或等于value1的值。

from-payload:指定偏移量的参考位置为帧载荷的头部。不指定该参数时,偏移量的参考位置为帧头部。

【举例】

# 在编号为1的Signature规则中,创建以下匹配规则:匹配从报文头开始第2、3两个字节的取值为0x0015~0x0020之间的报文。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[Sysname-wips-sig-rule-1] pattern 1 offset 8 mask ffff 15 to 20

【相关命令】

·     frame-type

·     mac-address

·     seq-number

·     ssid-length

·     ssid(signature rule view)

·     match all(signature rule view)

1.1.116  permit-channel

permit-channel命令用来配置合法信道集。

undo permit-channel命令用来删除配置的合法信道集。

【命令】

permit-channel channel-id-list

undo permit-channel { channel-id-list | all }

【缺省情况】

未配置合法信道集。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

channel-id-list :合法信道列表。表示方式为channel-id-list = { value1 [ to value2 ] } &<1-10>,取值范围为1~224,value2的值要大于或等于value1的值,<1-10>表示在一条命令中最多可以配置10个合法信道或合法信道范围。

all:表示删除所有已配置的合法信道。

【使用指导】

在配置非法信道检测之前请先配置合法信道集,否则所有信道都会被检测为非法信道。

【举例】

# 设置合法信道为1。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] permit-channel 1

【相关命令】

·     prohibited-channel

1.1.117  power-save

power-save命令用来开启节电攻击检测功能。

undo power-save命令用来关闭节电攻击检测功能。

【命令】

power-save [ interval interval-value | minoffpacket packet-value | onoffpercent percent-value | quiet quiet-value ] *

undo power-save

【缺省情况】

节电攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测节电报文的统计周期,取值范围为1~3600,单位为秒,缺省值为10。

minoffpacket packet-value:统计周期内检测到最少节电关闭报文的阈值,取值范围为10~150,单位为个,缺省值为50。

onoffpercent percent-value:检测节电开始报文和节电关闭报文的百分比的阈值,取值范围为0~100,缺省值为80。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到节电攻击,也不会发送告警日志。

【举例】

# 开启节电攻击检测功能,统计周期为20秒,检测最少节电关闭报文的个数为20,节电开启报文与节电关闭报文的百分比为90,静默时间为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] power-save interval 20 minoffpacket 20 onoffpercent 90 quiet 100

1.1.118  prohibited-channel

prohibited-channel命令用来开启非法信道检测功能。

undo prohibited-channel命令用来关闭非法信道检测功能。

【命令】

prohibited-channel [ quiet quiet-value ]

undo prohibited-channel

【缺省情况】

非法信道检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在非法信道检测到任何帧,也不会发送告警日志。

【使用指导】

在配置非法信道检测之前请先使用permit-channel命令配置合法信道,否则所有信道都会被检测为非法信道。

【举例】

# 开启非法信道检测功能,静默时间为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] prohibited-channel quiet 100

【相关命令】

·     permit-channel

1.1.119  random-mac-scan

random-mac-scan enable命令用来开启随机伪MAC地址过滤功能。

undo random-mac-scan enable命令用来恢复缺省情况。

【命令】

random-mac-scan enable

undo random-mac-scan enable

【缺省情况】

随机伪MAC地址过滤功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【举例】

# 开启随机伪MAC地址过滤功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] random-mac-scan enable

1.1.120  report-interval

report-interval命令用来配置Sensor上报检测到的设备信息的时间间隔。

undo report-interval命令用来恢复缺省情况。

【命令】

report-interval interval

undo report-interval

【缺省情况】

Sensor上报检测到的设备信息的时间间隔为30000毫秒。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval:Sensor上报检测到的设备信息的时间间隔,取值范围为1000~300000,单位为毫秒。

【举例】

# 配置Sensor上报检测到的设备信息的时间间隔为10000毫秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] report-interval 10000

1.1.121  reset wips embedded-oui

reset wips embedded-oui命令用来删除WIPS系统OUI库中所有的内置OUI信息。

【命令】

reset wips embedded-oui

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 删除WIPS系统OUI库的内置OUI信息。

<Sysname> reset wips embedded-oui

【相关命令】

·     export oui

·     import oui

1.1.122  reset wips statistics

reset wips statistics命令用来清除所有Sensor上报的WLAN攻击检测统计信息。

【命令】

reset wips statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除所有Sensor上报的信息。

<Sysname> reset wips statistics

【相关命令】

·     display wips statistics receive

1.1.123  reset wips virtual-security-domain

reset wips virtual-security-domain命令用来清除指定VSD内学习到的AP表项和客户端表项。

【命令】

reset wips virtual-security-domain vsd-name device { ap { all | mac-address mac-address } | client { all | mac-address mac-address } | all }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

device:虚拟安全域中检测到的设备。

ap:虚拟安全域中检测到的AP。

all:虚拟安全域中检测到的所有AP。

mac-address mac-address:指定AP的MAC地址。

client:虚拟安全域中检测到的客户端。

all:虚拟安全域中检测到的所有客户端。

mac-address mac-address:指定客户端的MAC地址。

all:虚拟安全域中检测到的所有AP和客户端。

【举例】

# 清除VSD aaa内学习到的AP表项和客户端表项。

<Sysname> reset wips virtual-security-domain aaa device all

【相关命令】

·     display wips virtual-security-domain device

1.1.124  reset wips virtual-security-domain countermeasure record

reset wips virtual-security-domain countermeasure record命令用来清除指定VSD内所有被反制过的设备信息。

【命令】

reset wips virtual-security-domain vsd-name countermeasure record

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 清除指定VSD内所有被反制过的设备信息。

<Sysname> reset wips virtual-security-domain aaa countermeasure record

【相关命令】

·     display wips virtual-security-domain countermeasure record

1.1.125  reset wlan nat-detect

reset wlan nat-detect命令用来清除私接代理检测信息表项。

【命令】

reset wlan nat-detect

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除私接代理检测信息表项。

<Sysname> reset wlan nat-detect

【相关命令】

·     display wlan nat-detect

1.1.126  rssi-change-threshold

rssi-change-threshold命令用来配置WIPS检测无线设备的信号强度变化阈值。

undo rssi-change-threshold命令用来恢复缺省情况。

【命令】

rssi-change-threshold threshold-value

undo rssi-change-threshold

【缺省情况】

未配置WIPS检测无线设备的信号强度变化阈值。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

threshold-value:指定WIPS检测无线设备的信号强度变化阈值,取值范围为1~100。

【举例】

# 配置WIPS检测无线设备的信号强度变化阈值为80。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] rssi-change-threshold 80

1.1.127  rssi-threshold

rssi-threshold命令用来配置WIPS根据信号强度对无线设备进行检测。

undo rssi-threshold命令用来恢复缺省情况。

【命令】

rssi-threshold { ap ap-rssi-value | client client-rssi-value }

undo rssi-threshold { ap | client }

【缺省情况】

未配置WIPS根据信号强度对无线设备进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

ap ap-rssi-valueWIPS检测AP设备的信号强度阈值,取值范围为1~100。

client client-rssi-valueWIPS检测客户端设备的信号强度阈值,取值范围为1~100。

【举例】

# 配置WIPS检测信号强度大于80的AP设备。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] rssi-threshold ap 80

1.1.128  rssi

rssi命令用来在AP分类规则中对AP信号的信号强度进行匹配。

undo rssi命令用来恢复缺省情况。

【命令】

rssi value1 [ to value2 ]

undo rssi

【缺省情况】

没有在AP分类规则中对AP信号的信号强度进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

value1 [ to value2 ]:指定匹配信号强度值的范围。value1value2为匹配信号强度值,取值范围为0~100。value2的值要大于或等于value1的值。

【举例】

# 在ID为1的AP分类规则中对信号强度在20~40之间的AP进行匹配。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] rssi 20 to 40

1.1.129  security

security命令用来在AP分类规则中对AP使用无线服务的数据安全方式进行匹配。

undo security命令用来恢复缺省情况。

【命令】

security { equal | include } { clear | wep | wpa | wpa2 }

undo security

【缺省情况】

没有在AP分类规则中对AP使用无线服务的数据安全方式进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

equal:匹配项与条件相同。

include:匹配项包含条件。

clear:明文方式。

wep:WEP方式。

wpa:WPA方式。

wpa2:WPA2方式。

【举例】

# 在ID为1的AP分类策略中对采用WEP方式接入无线网络的AP设备进行匹配。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] security equal wep

1.1.130  select sensor all

select sensor all命令用来开启所有Sensor进行反制功能。

undo select sensor命令用来关闭所有Sensor进行反制功能。

【命令】

select sensor all

undo select sensor

【缺省情况】

所有Sensor进行反制功能处于关闭状态。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【使用指导】

开启所有sensor反制功能后,当一个攻击者同时被多个Sensor检测到时,所有Sensor都会对其进行反制。没有开启该功能时,被最近一次检测到该攻击者的Sensor进行反制。

【举例】

# 开启所有Sensor进行反制功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-ctm-home] select sensor all

1.1.131  seq-number

seq-number命令用来配置Signature规则中匹配序列号的子规则。

undo seq-number 命令用来恢复缺省情况。

【命令】

seq-number seq-value1 [ to seq-value2 ]

undo seq-number

【缺省情况】

未配置Signature规则中匹配序列号的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

seq-value1 [ to seq-value2 ]:指定报文序列号的范围。seq-value1seq-value2为报文序列号大小,取值范围为0~4095。seq-value2的值要大于或等于seq-value1的值。

【举例】

# 在编号为1的Signature规则中配置匹配对指定报文序列号为100的子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[wips-sig-rule-1] seq-number 100

【相关命令】

·     frame-type

·     mac-address

·     ssid-length

·     ssid(signature rule view)

·     pattern

·     match all(signature rule view)

1.1.132  signature policy

signature policy命令用来创建Signature策略,并进入Signature策略视图。如果指定的Signature策略已经存在,则直接进入Signature策略视图。

undo signature policy命令用来删除指定的Signature策略。

【命令】

signature policy policy-name

undo signature policy policy-name

【缺省情况】

不存在Signature策略。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

policy-name:Signature策略名称,为1~63个字符的字符串,区分大小写。

【举例】

# 创建一个名称为home的Signature策略,并进入Signature策略视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature policy home

1.1.133  signature rule

signature rule命令用来创建Signature规则,并进入Signature规则视图。如果指定的Signature规则已经存在,则直接进入Signature规则视图。

undo signature rule命令用来删除指定的Signature规则。

【命令】

signature rule rule-id

undo signature rule rule-id

【缺省情况】

不存在Signature规则。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

rule-id:Signature规则的编号,取值范围为1~128。

【举例】

# 创建编号为1的Signature规则,并进入Signature规则视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

1.1.134  soft-ap

soft-ap命令用来开启软AP检测功能。

undo soft-ap命令用来关闭软AP检测功能。

【命令】

soft-ap [ convert-time time-value ]

undo soft-ap

【缺省情况】

软AP检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

convert-time time-value:配置判定设备为软AP的角色切换周期,即如果某个MAC地址在指定的时间间隔内在无线客户端与AP两个角色之间发生切换,则认定该设备为软AP。time-value为时间间隔,取值范围5~600,单位为秒,缺省取值为10。

【举例】

# 开启软AP检测功能,判断软AP的依据为设备在100秒内发生角色切换。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] soft-ap convert-time 100

1.1.135  ssid (AP classification rule view)

ssid命令用来在AP分类规则中对AP使用无线服务的SSID进行匹配。

undo ssid命令用来恢复缺省情况。

【命令】

ssid [ case-sensitive ] [ not ] { equal | include } ssid-string

undo ssid

【缺省情况】

没有在AP分类规则中对AP使用无线服务的SSID进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

case-sensitive:与SSID匹配时需要按照字母的大小写匹配。

not:匹配项与条件不等于或者不包括。

equal:匹配项与条件相同。

include:匹配项包含条件。

ssid-string:与SSID进行匹配的字符串,为1~32个字符的字符串,区分大小写。

【举例】

# 在ID为1的AP分类策略中匹配SSID为abc的AP。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] ssid equal abc

1.1.136  ssid(signature rule view)

ssid命令用来配置Signature规则中匹配SSID的子规则。

undo ssid命令用来恢复缺省情况。

【命令】

ssid [ case-sensitive ] [ not ] { equal | include } string

undo ssid

【缺省情况】

未配置Signature规则中匹配SSID的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

case-sensitive:与SSID匹配时需要按照字母的大小写匹配。

not:匹配项与条件不等于或不包括。

equal:匹配项与条件相同。

include:匹配项包含条件。

string:与SSID进行匹配的字符串,为1~32个字符的字符串,区分大小写。

【举例】

# 配置ID为1的Signature规则中SSID等于office的匹配子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[Sysname-wips-sig-rule-1] ssid equal office

【相关命令】

·     frame-type

·     mac-address

·     seq-number

·     ssid-length

·     pattern

·     match all(signature rule view)

1.1.137  ssid-length

ssid-length命令用来配置Signature规则中SSID长度的匹配子规则。

undo ssid-length命令用来恢复缺省情况。

【命令】

ssid-length length-value1 [ to length-value2 ]

undo ssid-length

【缺省情况】

未配置Signature规则中SSID长度的匹配子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

length-value1 [ to length-value2 ]:指定SSID长度的范围。length-value1length-value2为SSID长度,取值范围为1~32。length-value2的值要大于或等于length-value1的值。

【举例】

# 配置ID为1的Signature规则中SSID长度为10的匹配子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[Sysname-wips-sig-1] ssid-length 10

【相关命令】

·     frame-type

·     mac-address

·     seq-number

·     ssid(signature rule view)

·     pattern

·     match all(signature rule view)

1.1.138  trust mac-address

trust mac-address命令用来将指定的MAC地址添加到信任设备列表中。

undo trust mac-address命令用来删除信任设备列表中的MAC地址。

【命令】

trust mac-address mac-address

undo trust mac-address { mac-address | all }

【缺省情况】

信任设备列表中不存在MAC地址。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

mac-address:AP或客户端的MAC地址。

all:所有MAC地址。

【举例】

# 将MAC地址78AC-C0AF-944F添加到信任设备列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] trust mac-address 78AC-C0AF-944F

1.1.139  trust oui

trust oui命令用来将指定的OUI添加到信任OUI列表中。

undo trust oui命令用来删除信任OUI列表中的OUI。

【命令】

trust oui oui

undo trust oui { oui | all }

【缺省情况】

信任OUI列表中不存在OUI。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

oui:OUI名称,为6个字符的字符串,不区分大小写。

all:所有OUI。

【举例】

# 将名为000fe4、000fe5的OUI添加到信任OUI列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] trust oui 000fe4

[Sysname-wips-cls-home] trust oui 000fe5

1.1.140  trust ssid

trust ssid命令用来将指定的SSID添加到信任设备列表中。

undo trust ssid命令用来删除信任设备列表中的SSID。

【命令】

trust ssid ssid-name

undo trust ssid { ssid-name | all }

【缺省情况】

信任设备列表中不存在SSID。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

ssid-name:SSID的名称,为1~32个字符的字符串,区分大小写。

all:所有SSID。

【举例】

# 将名为flood1的SSID添加到信任设备列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] trust ssid flood1

1.1.141  unencrypted-authorized-ap

unencrypted-authorized-ap命令用来开启未加密授权AP检测功能。

undo unencrypted-authorized-ap命令用来关闭对未加密授权AP的检测功能。

【命令】

unencrypted-authorized-ap [ quiet quiet-value ]

undo unencrypted-authorized-ap

【缺省情况】

未加密授权AP检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。

【举例】

# 开启未加密授权的AP检测功能,静默时间为10秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] unencrypted-authorized-ap quiet 10

1.1.142  unencrypted-trust-client

unencrypted-trust-client命令用来开启未加密的信任客户端检测功能。

undo unencrypted-trust-client命令用来关闭未加密的信任客户端检测功能。

【命令】

unencrypted-trust-client [ quiet quiet-value ]

undo unencrypted-trust-client

【缺省情况】

未加密的信任客户端检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。

【举例】

# 开启未加密的信任客户端检测功能,静默时间为10秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] unencrypted-trust-client quiet 10

1.1.143  up-duration

up-duration 命令用来在AP分类规则中对AP的运行时间进行匹配。

undo up-duration命令用来恢复缺省情况。

【命令】

up-duration value1 [ to value2 ]

undo up-duration

【缺省情况】

没有在AP分类规则中对AP的运行时间进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

value1 [ to value2 ]:指定匹配运行时间条件值的范围。value1value2为匹配运行时间条件值,取值范围为0~2592000,单位为秒。value2的值要大于或等于value1的值。

【举例】

# 在ID为1的AP分类规则中配置匹配运行时间在2000~40000秒之间的AP。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] up-duration 2000 to 40000

1.1.144  virtual-security-domain

virtual-security-domain命令用来创建VSD(Virtual Security Domain,虚拟安全域),并进入VSD视图,如果指定的VSD已经存在,则直接进入VSD视图。

undo virtual-security-domain命令用来删除已创建的VSD。

【命令】

virtual-security-domain vsd-name

undo virtual-security-domain vsd-name

【缺省情况】

不存在VSD。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 创建名称为office的VSD,并进入VSD视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain office

[Sysname-wips-vsd-office]

1.1.145  weak-iv

weak-iv命令用来开启Weak IV检测功能。

undo weak-iv命令用来关闭Weak IV检测功能。

【命令】

weak-iv [ quiet quiet-value ]

undo weak-iv

【缺省情况】

Weak IV检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备再次检测到Weak IV也不会发送告警信息。

【使用指导】

设备检测到Weak IV后会发送告警信息。

【举例】

# 开启Weak IV检测功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] weak-iv

1.1.146  windows-bridge

windows-bridge命令用来开启Windows网桥检测功能。

undo windows-bridge命令用来关闭Windows网桥检测功能。

【命令】

windows-bridge [ quiet quiet-value ]

undo windows-bridge

【缺省情况】

Windows网桥检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备检测到Windows网桥,设备也不会发送告警日志。

【举例】

# 开启Windows网桥检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] windows-bridge quiet 360

1.1.147  wips (Radio view)

wips enable命令用来开启WIPS功能。

wips disable命令用来关闭WIPS功能。

undo wips命令用来恢复缺省情况。

【命令】

wips { disable | enable }

undo wips

【缺省情况】

Radio视图下,继承AP组配置。

AP组Radio视图下,WIPS功能处于关闭状态。

【视图】

Radio视图

AP组Radio视图

【缺省用户角色】

network-admin

【使用指导】

射频工作的空间流数需要保证能够覆盖被扫描设备的空间流数,如果设备执行了降低射频工作的空间流数的操作,会影响WIPS功能的正常使用,比如:开启AP绿色节能、手动降低MIMO模式、修改AP的缺省供电等级为低等。

WIPS不能和RRM及Mesh功能同时开启,否则会导致WIPS功能不生效。

【举例】

# 开启WIPS功能。(Radio视图)

<Sysname> system-view

[Sysname] wlan ap ap1 model WA6320

[Sysname-wlan-ap-ap1] radio 1

[Sysname-wlan-ap-ap1-radio-1] wips enable

# 开启WIPS功能。(AP组Radio视图)

<Sysname> system-view

[Sysname] wlan ap-group apgroup1

[Sysname-wlan-ap-group-apgroup1] ap-model WA6320

[Sysname-wlan-ap-group-apgroup1-ap-model-WA6320] radio 1

[Sysname-wlan-ap-group-apgroup1-ap-model-WA6320-radio-1] wips enable

1.1.148  wips (System view)

wips命令用来进入WIPS视图。

undo wips命令用来删除WIPS视图下所有配置。

【命令】

wips

undo wips

【缺省情况】

未配置WIPS视图。

【视图】

系统视图

【缺省用户角色】

network-admin

【举例】

# 进入WIPS视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips]

1.1.149  wips virtual-security-domain

wips virtual-security-domain命令用来将AP加入到指定的VSD中。

undo wips virtual-security-domain命令用来删除已加入VSD的AP。

【命令】

wips virtual-security-domain vsd-name

undo wips virtual-security-domain

【缺省情况】

AP视图下,继承AP组配置。

AP组视图下,没有将AP组加入到任何的VSD中。

【视图】

AP视图

AP组视图

【缺省用户角色】

network-admin

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 将ap1加入到名为office的VSD中。(AP视图)

<Sysname> system-view

[Sysname] wlan ap ap1 model WA6320

[Sysname-wlan-ap-ap1] wips virtual-security-domain office

# 将AP组apgroup1加入到名为office的VSD中。(AP组视图)

<Sysname> system-view

[Sysname] wlan ap-group apgroup1

[Sysname-wlan-ap-group-apgroup1] wips virtual-security-domain office

1.1.150  wireless-bridge

wireless-bridge命令用来开启无线网桥检测功能。

undo wireless-bridge命令用来关闭无线网桥检测功能。

【命令】

wireless-bridge [ quiet quiet-value ]

undo wireless-bridge

【缺省情况】

无线网桥检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到无线网桥,设备也不会发送告警日志。

【举例】

# 开启无线网桥检测功能,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] wireless-bridge quiet 100

1.1.151  wlan nat-detect

wlan nat-detect enable命令用来开启私接代理检测功能。

wlan nat-detect disable命令用来关闭私接代理检测功能。

undo wlan nat-detect命令用来恢复缺省情况。

【命令】

wlan nat-detect { disable | enable }

undo wlan nat-detect

【缺省情况】

AP视图下,继承AP组配置。

AP组视图下,私接代理检测功能处于关闭状态。

【视图】

AP视图

AP组视图

【缺省用户角色】

network-admin

【使用指导】

设备检测到私接代理设备后会发送告警信息,使用display wlan nat-detect命令可以查看私接代理检测信息。

【举例】

# 在AP 1上开启私接代理检测功能。(AP视图)

<Sysname> system-view

[Sysname] wlan ap ap1 model WA6320

[Sysname-wlan-ap-ap1] wlan nat-detect enable

# 在AP组aaa上开启私接代理检测功能。(AP组视图)

<Sysname> system-view

[Sysname] wlan ap-group aaa

[Sysname-wlan-ap-group-aaa] wlan nat-detect enable

1.1.152  wlan nat-detect countermeasure

wlan nat-detect countermeasure命令用来开启反制私接代理功能。

undo wlan nat-detect countermeasure命令用来关闭反制私接代理功能。

【命令】

wlan nat-detect countermeasure

undo wlan nat-detect countermeasure

【缺省情况】

AP视图下,继承AP组配置。

AP组视图下,反制私接代理功能处于关闭状态。

【视图】

AP视图

AP组视图

【缺省用户角色】

network-admin

【使用指导】

设备检测到私接代理设备后会发送告警信息,开启反制私接代理功能后,AC会将私接代理设备加入黑名单,禁止上线。

【举例】

# 在AP 1上开启反制私接代理功能。(AP视图)

<Sysname> system-view

[Sysname] wlan ap ap1 model WA6320

[Sysname-wlan-ap-ap1] wlan nat-detect countermeasure

# 在AP组aaa上开启反制私接代理功能。(AP组视图)

<Sysname> system-view

[Sysname] wlan ap-group aaa

[Sysname-wlan-ap-group-aaa] wlan nat-detect countermeasure

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们