- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-DDoS攻击检测与防范命令
本章节下载: 20-DDoS攻击检测与防范命令 (781.70 KB)
目 录
1.1.1 ack-flood detection threshold
1.1.5 anti-ddos blacklist timeout
1.1.6 anti-ddos cleaner deploy-mode
1.1.7 anti-ddos default-zone enable
1.1.8 anti-ddos detection-mode
1.1.11 anti-ddos flow-forward ip
1.1.13 anti-ddos log-server-ip
1.1.14 anti-ddos out-of-band interface
1.1.15 anti-ddos user-defined attack-type protocol
1.1.16 anti-ddos user-defined attack-type protocol icmp
1.1.17 anti-ddos user-defined attack-type protocol icmpv6
1.1.18 anti-ddos user-defined attack-type protocol tcp
1.1.19 anti-ddos user-defined attack-type protocol udp
1.1.21 anti-ddos whitelist timeout
1.1.23 bandwidth-detection destination-ip threshold
1.1.24 bandwidth-limit destination-ip type max-rate
1.1.30 display anti-ddos blacklist
1.1.31 display anti-ddos blacklist zone
1.1.32 display anti-ddos filter statistics
1.1.33 display anti-ddos flow-agent statistics
1.1.34 display anti-ddos flow-agent-template
1.1.35 display anti-ddos flow-forward statistics
1.1.36 display anti-ddos source-verify protected ip
1.1.37 display anti-ddos source-verify protected ipv6
1.1.38 display anti-ddos source-verify trusted ip
1.1.39 display anti-ddos source-verify trusted ipv6
1.1.40 display anti-ddos statistics
1.1.41 display anti-ddos statistics bandwidth-limit destination-ip
1.1.42 display anti-ddos statistics destination-ip
1.1.43 display anti-ddos whitelist
1.1.44 display anti-ddos whitelist zone
1.1.45 display anti-ddos zone configuration
1.1.46 dns-query-flood defense source-verify
1.1.47 dns-query-flood detection threshold
1.1.48 dns-reply-flood defense source-verify
1.1.49 dns-reply-flood detection threshold
1.1.52 fingerprint (filter view)
1.1.53 fingerprint (fingerprint-group view)
1.1.55 fingerprint-group apply
1.1.58 http-flood defense source-verify
1.1.59 http-flood detection threshold
1.1.60 https-flood detection threshold
1.1.61 icmp-flood detection threshold
1.1.62 icmp-frag-flood detection threshold
1.1.72 reset anti-ddos filter statistics zone
1.1.73 reset anti-ddos flow-agent statistics
1.1.74 reset anti-ddos flow-forward statistics
1.1.75 rst-flood detection threshold
1.1.76 sip-flood defense source-verify
1.1.77 sip-flood detection threshold
1.1.80 syn-ack-flood detection threshold
1.1.81 syn-flood defense source-verify
1.1.82 syn-flood detection threshold
1.1.84 tcp-frag-flood detection threshold
1.1.85 threshold-learning enable
1.1.88 udp-flood detection threshold
1.1.89 udp-frag-flood detection threshold
1.1.91 user-defined attack-type detection threshold
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
设备型号 |
业务板类型 |
说明 |
|
M9006 M9010 M9014 |
Blade IV防火墙业务板 |
不支持 |
|
Blade V防火墙业务板 |
不支持 |
|
|
NAT业务板 |
不支持 |
|
|
应用交付业务板 |
不支持 |
|
|
异常流量清洗业务板 |
仅支持清洗设备相关命令行 |
|
|
M9010-GM |
加密业务板 |
不支持 |
|
M9016-V |
Blade V防火墙业务板 |
不支持 |
|
M9008-S M9012-S |
Blade IV防火墙业务板 |
不支持 |
|
应用交付业务板 |
不支持 |
|
|
入侵防御业务板 |
不支持 |
|
|
视频网关业务板 |
不支持 |
|
|
异常流量检测业务板 |
仅支持检测设备相关命令行 |
|
|
异常流量清洗业务板 |
仅支持清洗设备相关命令行 |
|
|
M9008-S-6GW |
IPv6业务板 |
不支持 |
|
M9008-S-V |
Blade IV防火墙业务板 |
不支持 |
|
M9000-AI-E8 |
Blade V防火墙业务板 |
不支持 |
|
应用交付业务板 |
不支持 |
|
|
M9000-AI-E16 |
Blade V防火墙业务板 |
不支持 |
ack-flood detection threshold命令用来开启ACK泛洪攻击检测功能,并配置ACK泛洪攻击防范阈值。
undo ack-flood detection threshold命令用来关闭ACK泛洪攻击检测功能。
【命令】
ack-flood detection threshold { bit-based value | packet-based value}
undo ack-flood detection threshold
【缺省情况】
ACK泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示ACK泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示ACK泛洪攻击的统计方式为按照报文个数进行统计。
value:表示ACK泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启ACK泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行ACK泛洪攻击检测。当它检测到向某IP地址发送ACK报文的速率持续超过了配置的阈值时,即认为该IP地址受到了ACK泛洪攻击,则启动相应的防范措施:
· 旁路部署的DDoS攻击检测设备会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 直连部署的DDoS攻击清洗设备在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启ACK泛洪攻击检测功能,并配置ACK泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] ack-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
action命令用来配置对命中DDoS攻击防护过滤器的报文所执行的动作。
undo action命令用来恢复缺省情况。
【命令】
action { drop | limit { bit-based value | packet-based value } | pass | source-verify }
undo action
【缺省情况】
对命中DDoS攻击防护过滤器的报文进行丢弃。
【视图】
DDoS攻击防护过滤器视图
【缺省用户角色】
network-admin
【参数】
drop:对命中过滤器的报文进行丢弃。
limit:对命中过滤器的报文进行限速。
bit-based value:指定限速阈值,取值范围为1~4294967295,单位为Mbps。
packet-based value:指定限速阈值,取值范围为1~4294967295,单位为pps。
pass:允许命中过滤器的报文通过。
source-verify:对命中过滤器的报文进行源验证。该参数仅对HTTP过滤器有效。
【使用指导】
本命令用于配置指定过滤器的处理动作,设备可对命中过滤器的报文执行如下三种操作中的一种:
· 丢弃:将命中过滤器的报文丢弃。
· 限速:对命中过滤器的报文进行限速,丢弃超出阈值部分的报文。
· 源验证:对命中过滤器的报文进行源合法性检查,检查报文源是否真实。设备将放行来自真实源的报文,丢弃来自虚假源的报文。仅可为HTTP过滤器配置源验证功能。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置HTTP过滤器test的处理动作为源验证。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] action source-verify
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
anti-ddos apply filter命令用来在DDoS攻击防护对象下应用DDoS攻击防护过滤器,并配置过滤器的匹配优先级。
undo anti-ddos apply filter命令用来取消应用在DDoS攻击防护对象下的指定DDoS攻击防护过滤器。
【命令】
anti-ddos apply filter filter-name preference preference
undo anti-ddos apply filter filter-name
【缺省情况】
DDoS攻击防护对象未应用DDoS攻击防护过滤器。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
filter-name:指定过滤器的名称,不区分大小写。该名称的过滤器必须已经存在。
preference preference:指定过滤器的匹配优先级,取值范围为1~255。preference值越小,匹配优先级越高。
【使用指导】
在DDoS攻击防护对象下应用的过滤器将按匹配优先级的降序依次对报文进行匹配:
· 若报文命中某过滤器,则对报文执行该过滤器下所配置的动作。
· 若报文未命中某过滤器,则继续将其与优先级更低的过滤器进行匹配,直至不存在优先级更低的过滤器,此时设备将报文递交后续流程处理。
对于在一个DDoS攻击防护对象下所应用的过滤器,其匹配优先级必须唯一。一个DDoS攻击防护对象下最多应用10个过滤器。
【举例】
# 在ID为3的DDoS攻击防护对象下应用名称为test的过滤器,并指定其匹配优先级为10。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] anti-ddos apply filter test preference 10
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
anti-ddos blacklist命令用来添加DDoS全局静态黑名单表项。
undo anti-ddos blacklist命令用来删除DDoS全局静态黑名单表项。
【命令】
anti-ddos blacklist { ip source-ip-address ip-mask-length | ipv6 source-ipv6-address ipv6-mask-length }
undo anti-ddos blacklist { all | ip source-ip-address ip-mask-length | ipv6 source-ipv6-address ipv6-mask-length }
【缺省情况】
不存在DDoS全局静态黑名单表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
all:表示删除所有全局静态黑名单表项,包括IPv4表项和IPv6表项。
ip source-ip-address ip-mask-length:DDoS全局静态黑名单表项的IPv4地址及掩码长度,用于匹配报文的源IPv4地址。其中ip-mask-length的取值范围为8~32。
ipv6 source-ipv6-address ipv6-mask-length:DDoS全局静态黑名单表项的IPv6地址及掩码长度,用于匹配报文的源IPv6地址。其中ipv6-mask-length的取值范围为8~128。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
若报文源地址匹配上DDoS全局静态黑名单表项,则进行丢包操作,未匹配则放行。
DDoS全局静态黑名单表项的IP地址范围不能与DDoS全局静态白名单表项的IP地址范围重叠。对于IPv4表项,不可配置地址0.0.0.0和255.255.255.255;对于IPv6表项,不可配置未指定地址(::/128)以及组播地址(FF00::/8)。
设备支持的DDoS全局静态黑名单与DDoS全局静态白名单表项数目之和最多为1024个。
【举例】
# 将1.1.1.1/24网段添加进DDoS全局静态黑名单中。
<Sysname> system-view
[Sysname] anti-ddos blacklist ip 1.1.1.1 24
【相关命令】
· anti-ddos whitelist
· display anti-ddos blacklist
anti-ddos blacklist timeout命令用来配置动态黑名单表项的老化时间。
undo anti-ddos blacklist timeout命令用来恢复缺省情况。
【命令】
anti-ddos blacklist timeout aging-time
undo anti-ddos blacklist timeout
【缺省情况】
动态黑名单表项的老化时间为1分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
aging-time:动态黑名单表项的老化时间,取值范围为1~1000,单位为分钟。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
【举例】
# 配置动态黑名单表项的老化时间为2分钟。
<Sysname> system-view
[Sysname] anti-ddos blacklist timeout 2
anti-ddos cleaner deploy-mode命令用来配置DDoS攻击清洗设备的部署模式。
undo anti-ddos cleaner deploy-mode命令用来恢复缺省情况。
【命令】
anti-ddos cleaner deploy-mode { inline | out-of-path }
undo anti-ddos cleaner deploy-mode
【缺省情况】
配置DDoS攻击清洗设备的部署模式为直连部署。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
inline:指定部署模式为直连部署。
out-of-path:指定部署模式为旁路部署。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令,若DDoS攻击清洗设备采用旁路方式连接在组网中,则需要配置部署模式为旁路部署;若DDoS攻击清洗设备采用直连方式连接在组网中,则需要配置部署模式为直连部署。
在部署模式为旁路部署或直连部署模式时,DDoS攻击清洗设备配置的检测功能都会生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置DDoS攻击清洗设备的部署模式为旁路部署。
<Sysname> system-view
[Sysname] anti-ddos cleaner deploy-mode out-of-path
anti-ddos default-zone enable命令用来开启缺省DDoS攻击防护对象功能。
undo anti-ddos default-zone enable命令用来关闭缺省DDoS攻击防护对象功能。
【命令】
anti-ddos default-zone enable
undo anti-ddos default-zone enable
【缺省情况】
缺省DDoS攻击防护对象功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
通过开启缺省DDoS攻击防护对象功能,可在未匹配自定义防护对象时,采用缺省防护对象进行DDoS攻击防护。
在配置该命令前,缺省防护对象下的配置不生效。
【举例】
# 开启缺省DDoS攻击防护对象功能。
<Sysname> system-view
[Sysname] anti-ddos default-zone enable
【相关命令】
· anti-ddos zone default
anti-ddos detection-mode命令用来配置DDoS攻击的检测模式。
undo anti-ddos detection-mode命令用来恢复缺省情况。
【命令】
anti-ddos detection-mode { flow | mirror }
undo anti-ddos detection-mode
【缺省情况】
DDoS攻击的检测模式为flow检测模式。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
flow:表示基于flow采样报文检测。
mirror:表示基于镜像报文检测。
【使用指导】
模式切换期间可能会有部分报文因未经DDoS检测而导致攻击行为未被识别出。
仅DDoS攻击检测设备支持配置本命令。
【举例】
# 配置DDoS攻击的检测模式为基于NetStream采样报文检测。
<Sysname> system-view
[Sysname] anti-ddos detection-mode flow
anti-ddos filter命令用来创建指定类型的DDoS攻击防护过滤器,并进入DDoS攻击防护过滤器视图。如果指定的DDoS攻击防护过滤器已存在,则直接进入DDoS攻击防护过滤器视图。
undo anti-ddos filter命令用来删除指定DDoS攻击防护过滤器。
【命令】
anti-ddos filter name filter-name [ type { dns | http | icmp | ip | sip | tcp | udp } ]
undo anti-ddos filter name filter-name
【缺省情况】
不存在DDoS攻击防护过滤器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
name filter-name:指定过滤器的名称,为1~63个字符的字符串,由字母、数字和下划线组成,名称必须以字母开头,字母不区分大小写。
type:指定过滤器类型。若不指定该参数,则表示直接进入DDoS攻击防护过滤器视图。
dns:DNS类型的过滤器。
http:HTTP类型的过滤器。
icmp:ICMP类型的过滤器。
ip:IP类型的过滤器。
sip:SIP类型的过滤器。
tcp:TCP类型的过滤器。
udp:UDP类型的过滤器。
【使用指导】
用户可在DDoS攻击防护过滤器视图下针对该类型过滤器所支持的报文匹配规则进行配置。一个过滤器下可配置多类、多条报文匹配规则:
· 满足一类报文匹配规则中的任意一条规则,则称为满足该类报文匹配规则。
· 满足所有类型的报文匹配规则,则称为命中该过滤器,设备将对命中该过滤器的报文执行通过action命令所配置的动作。
最多允许配置1024个过滤器。过滤器的名称全局唯一。
【举例】
# 创建名称为test的HTTP过滤器,并进入过滤器视图。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test]
【相关命令】
· action
· display anti-ddos filter statistics
anti-ddos flow-agent命令用来指定流量统计报文输出器。
undo anti-ddos flow-agent命令用来删除流量统计报文输出器配置。
【命令】
anti-ddos flow-agent ip ip-address port destination-port flow-type { netflow | netstream | sflow } [ sampling-rate sampling-rate-value ]
undo anti-ddos flow-agent [ ip ip-address port port-vlaue ]
【缺省情况】
未指定流量统计报文输出器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip ip-address:指定流量统计报文输出器的IP地址。
port destination-value:指定流量统计报文输出器输出的流量统计报文的目的端口号,取值范围为1025~65535。
flow-type:指定流量统计报文输出器输出的流量统计报文的格式。
netflow:输出NetFlow格式的流量统计报文。
netstream:输出NetStream格式的流量统计报文。
sflow:输出sFlow格式的流量统计报文。
sampling-rate sampling-rate-value:指定流量统计报文的采样率,即每sampling-rate-value个报文采样一个报文,取值范围为1~65535。
【使用指导】
DDoS攻击检测设备支持深度流检测模式。该模式下,设备对流量统计报文输出器(通常是路由器或交换机)发来的流量统计报文内容进行检测与分析,并将分析结果汇总到DDoS攻击防护对象下的流量统计信息中。设备根据DDoS攻击防护对象下的流量统计信息判断受保护IP地址是否遭到DDoS攻击。
深度流检测功能支持NetFlow V5、NetFlow V9、NetStream V5、NetStream V9以及sFlow V5报文的检测与分析。
流量统计报文输出器由IP地址和目的端口号二元组唯一确定,对于二元组相同的配置,最后一个配置生效。最多可指定16个流量统计报文输出器。
当流量统计报文中含有采样率信息时,sampling-rate-value参数所指定的采样率不生效。
执行undo命令行时若不指定IP地址和目的端口号,则删除设备上的所有流量统计报文输出器配置。
【举例】
# 指定一个流量统计报文输出器,其IP地址为10.10.10.10,报文目的端口号为1200,统计报文格式为NetFlow,采样率为1024。
<Sysname> system-view
[Sysname] anti-ddos flow-agent ip 10.10.10.10 port 1200 flow-type netflow sampling-rate 1024
【相关命令】
· display anti-ddos flow-agent statistics
anti-ddos flow-forward命令用来配置流统计报文的转发目的地址。
undo anti-ddos flow-forward命令用来删除流统计报文的转发目的地址配置。
【命令】
anti-ddos flow-forward { ip ip-address | ipv6 ipv6-address } port port-number
undo anti-ddos flow-forward { ip [ ip-address port port-number ] | ipv6 [ ipv6-address port port-number ] }
【缺省情况】
不存在流统计报文的转发配置。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip ip-address:指定IPv4流统计报文的转发目的IP地址。
ipv6 ipv6-address:指定IPv6流统计报文的转发目的IP地址。
port port-number:指定流统计报文的转发目的端口,取值范围为1~65535。
【使用指导】
流统计报文转发功能用来将流统计报文转发至其他设备进行处理。若设备上同时存在流统计报文输出器配置和流统计报文转发配置,则设备先将流统计报文转发至指定目的IP地址和端口,再根据输出器配置对报文进行解析和处理。
设备支持配置4个IPv4流统计报文转发目的地址和4个IPv6流统计报文转发目的地址。
执行undo命令时,若不指定IP地址和端口参数,则表示删除全部IPv4或IPv6流统计报文转发配置。
【举例】
# 创建一个目的IP地址为10.10.10.10,目的端口号为1200的转发配置。
<Sysname> system-view
[Sysname] anti-ddos flow-forward ip 10.10.10.10 port 1200
# 删除一个目的IP地址为10.10.10.10,目的端口号为1200的转发配置。
<Sysname> system-view
[Sysname] undo anti-ddos flow-forward ip 10.10.10.10 port 1200
anti-ddos log-local-ip命令用来配置上报日志的设备源IP地址。
undo anti-ddos log-local-ip命令用来恢复缺省情况。
【命令】
anti-ddos log-local-ip { ip ipv4-address | ipv6 ipv6-address }
undo anti-ddos log-local-ip
【缺省情况】
未配置上报日志的设备源IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定上报日志的源IPv4地址,该IP须为设备已配IP。
ipv6 ipv6-address:指定上报日志的源IPv6地址,该IP须为设备已配IP。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备支持均配置本命令。
本命令用来指定DDoS攻击检测设备或DDoS攻击清洗设备向管理中心发送DDoS日志报文的源IP地址。
仅支持配置一个IPv4地址或者一个IPv6地址。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置上报日志的设备源IP地址为192.168.1.2。
<Sysname> system-view
[Sysname] anti-ddos log-local-ip ip 192.168.1.2
【相关命令】
· anti-ddos log-server-ip
anti-ddos log-server-ip命令用来配置上报日志的服务端IP地址。
undo anti-ddos log-server-ip命令用来恢复缺省情况。
【命令】
anti-ddos log-server-ip { ip ipv4-address | ipv6 ipv6-address } [ port port-number ]
undo anti-ddos log-server-ip
【缺省情况】
未配置上报日志的服务端IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定日志上报的服务端IPv4地址。
ipv6 ipv6-address:指定日志上报的服务端IPv6地址。
port port-number:指定日志上报服务端的端口号,取值范围为1~65535,缺省为10083。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备支持均配置本命令。
本命令用来在DDoS攻击检测设备或DDoS攻击清洗设备上指定接收DDoS日志报文的管理中心的IP地址和端口号。
DDoS攻击检测设备或DDoS攻击清洗设备上只支持配置一个IPv4地址或者一个IPv6地址。当已存在一个配置时,再次下发配置则覆盖原有配置。
【举例】
# 配置上报日志的服务端IP地址为192.168.1.1。
<Sysname> system-view
[Sysname] anti-ddos log-server-ip ip 192.168.1.1
【相关命令】
· anti-ddos log-local-ip
anti-ddos out-of-band interface命令用于向DDoS攻击检测与防范业务中添加带外接口。
undo anti-ddos out-of-band interface命令用于从DDoS攻击检测与防范业务中移除带外接口。
【命令】
anti-ddos out-of-band interface { interface-type interface-number } &<1-10>
undo anti-ddos out-of-band interface [ interface-type interface-number ]
【缺省情况】
DDoS攻击检测与防范业务的带外接口仅包括M-GigabitEthernet1/0/0接口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number &<1-10>:指定带外接口的接口类型和接口编号。&<1-10>表示之前的参数最多可以输入10次。
【使用指导】
检测设备和清洗设备均支持配置本命令。
仅支持将物理接口配置为带外接口。
执行undo命令时,如果未配置接口类型和接口编号参数,设备将删除DDoS攻击检测与防范业务的所有带外接口。
【举例】
# 将接口GigabitEthernet1/0/1、GigabitEthernet1/0/4和LoopBack 1配置为DDoS攻击检测与防范业务的带外接口。
<Sysname> system-view
[Sysname] anti-ddos out-of-band interface gigabitethernet 1/0/1 gigabitethernet 1/0/4 loopback 1
anti-ddos user-defined attack-type protocol命令用来配置基于指定协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol protocol-number [ packet-length { equal | greater-than | less-than } packet-length ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于指定协议的自定义DDoS攻击类型。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
protocol-number:协议编号,取值范围为0~255。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于指定协议的自定义DDoS攻击类型。在基于协议来识别攻击报文的同时,还可以指定报文长度作为识别报文的特征,报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于VRRP协议(协议号为112),报文长度小于28字节的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol 112 packet-length less-than 28
anti-ddos user-defined attack-type protocol icmp命令用来配置基于ICMP协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol icmp [ packet-length { equal | greater-than | less-than } packet-length ] [ icmp-type icmp-type icmp-code icmp-code ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于ICMP协议的自定义DDoS攻击类型。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
icmp-type icmp-type:指定ICMP消息类型,取值范围为0~255。
icmp-code icmp-code:指定ICMP消息代码,取值范围为0~255。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于ICMP协议的自定义DDoS攻击类型。在基于报文长度来识别攻击报文的同时,还可以指定ICMP消息类型和消息代码作为识别报文的特征。报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于ICMP协议,类型为8,代码为0的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol icmp icmp-type 8 icmp-code 0
anti-ddos user-defined attack-type protocol icmpv6命令用来配置基于ICMPv6协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol icmpv6 [ packet-length { equal | greater-than | less-than } packet-length ] [ icmpv6-type icmpv6-type icmpv6-code icmpv6-code ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于ICMPv6协议的自定义DDoS攻击类型。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
icmpv6-type icmp-type:指定ICMPv6消息类型,取值范围为0~255。
icmpv6-code icmp-code:指定ICMPv6消息代码,取值范围为0~255。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于ICMPv6协议的自定义DDoS攻击类型。在基于报文长度来识别攻击报文的同时,还可以指定ICMPv6消息类型和消息代码作为识别报文的特征。报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于ICMPv6协议,报文长度大于65535字节的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol icmpv6 packet-length greater-than 65535
anti-ddos user-defined attack-type protocol tcp命令用来配置基于TCP协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol tcp [ packet-length { equal | greater-than | less-than } packet-length ] [ port port-num port-type { source | destination } ] [ tcp-flag flag-value ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于TCP协议的自定义DDoS攻击类型
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
port port-num:指定端口号,取值范围为1~65535。
port-type:指定端口类型。
source:端口类型为源端口。
destination:端口类型为目的端口。
tcp-flag flag-value:指定TCP flag字段的值,取值范围为0~63。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于TCP协议的自定义DDoS攻击类型。在基于TCP协议来识别攻击报文的同时,还可以指定报文长度、端口及TCP flag作为识别攻击报文的特征。设备将同时满足所有指定特征的报文视作攻击报文:
· 报文长度特征:报文长度小于、大于或等于攻击报文长度参考值。
· 端口特征:源端口号或目的端口号。
· TCP flag:TCP flag字段取值。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于TCP协议,报文长度大于65535字节,目的端口为80的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol tcp packet-length greater-than 65535 port 80 port-type destination
anti-ddos user-defined attack-type protocol udp命令用来配置基于UDP协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol udp [ packet-length { equal | greater-than | less-than } packet-length ] [ port port-num port-type { source | destination } ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于UDP协议的自定义DDoS攻击类型。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
port port-num:指定端口号,取值范围为1~65535。
port-type:指定端口类型。
source:端口类型为源端口。
destination:端口类型为目的端口。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于UDP协议的自定义DDoS攻击类型。在基于UDP协议来识别攻击报文的同时,还可以指定报文长度和端口作为识别攻击报文的特征。设备将同时满足所有指定特征的报文视作攻击报文:
· 报文长度特征:报文长度小于、大于或等于攻击报文长度参考值。
· 端口特征:源端口号或目的端口号。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于UDP协议,报文长度等于48的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol udp packet-length equal 48
anti-ddos whitelist命令用来添加DDoS全局静态白名单表项。
undo anti-ddos whitelist命令用来删除DDoS全局静态白名单表项。
【命令】
anti-ddos whitelist { ip source-ip-address ip-mask-length | ipv6 source-ipv6-address ipv6-mask-length }
undo anti-ddos whitelist { all | ip source-ip-address ip-mask-length | ipv6 source-ipv6-address ipv6-mask-length }
【缺省情况】
不存在DDoS全局静态白名单表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
all:表示删除所有全局静态白名单表项,包括IPv4表项和IPv6表项。
ip source-ip-address ip-mask-length:DDoS全局静态白名单的IPv4地址及掩码长度,用于匹配报文的源IPv4地址。其中ip-mask-length的取值范围为8~32。
ipv6 source-ipv6-address ipv6-mask-length:DDoS全局静态白名单的IPv6地址及掩码长度,用于匹配报文的源IPv6地址。其中ipv6-mask-length的取值范围为8~128。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
若报文匹配上DDoS全局白名单表项,则跳过其他DDoS攻击检测与防范功能(不包括IP限速),执行后续报文处理。
DDoS全局静态黑名单表项的IP地址范围不能与DDoS全局静态白名单表项的IP地址范围重叠。对于IPv4表项,不可配置地址0.0.0.0和255.255.255.255;对于IPv6表项,不可配置未指定地址(::/128)以及组播地址(FF00::/8)。
DDoS全局静态黑名单表项的IP地址范围不能与DDoS全局静态白名单表项的IP地址范围重叠。
设备支持的DDoS全局静态黑名单与DDoS全局静态白名单表项数目之和最多为1024个。
【举例】
# 将1.1.1.1/24网段添加进DDoS全局静态白名单中。
<Sysname> system-view
[Sysname] anti-ddos whitelist ip 1.1.1.1 24
【相关命令】
· anti-ddos blacklist
· display anti-ddos whitelist
anti-ddos whitelist timeout命令用来配置动态白名单表项的老化时间。
undo anti-ddos whitelist timeout命令用来恢复缺省情况。
【命令】
anti-ddos whitelist timeout aging-time
undo anti-ddos whitelist timeout
【缺省情况】
动态白名单表项的老化时间为10分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
aging-time:动态白名单表项的老化时间,取值范围为1~1000,单位为分钟。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
通过DDoS攻击源验证的报文源IP地址将被加入动态白名单(即信任IP地址列表)中,设备会放行源地址匹配动态白名单表项的报文,不对其进行除IP报文限速外的DDoS攻击检测与防范处理。
目前只有DDoS攻击源验证功能会触发生成动态白名单表项。
【举例】
# 配置动态白名单表项的老化时间为2分钟。
<Sysname> system-view
[Sysname] anti-ddos whitelist timeout 2
【相关命令】
· display anti-ddos source-verify trusted ip
· display anti-ddos source-verify trusted ipv6
anti-ddos zone命令用来创建一个DDoS攻击防护对象,并进入DDoS攻击防护对象视图。如果指定的DDoS攻击防护对象已经存在,则直接进入DDoS攻击防护对象视图。
undo anti-ddos zone命令用来删除指定的DDoS攻击防护对象。
【命令】
anti-ddos zone { id zone-id | default }
undo anti-ddos zone [ id zone-id ]
【缺省情况】
仅存在名称为default的缺省DDoS攻击防护对象。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id zone-id:DDoS攻击防护对象的ID,取值范围为2~1024。
default:缺省DDoS攻击防护对象,其ID值为1。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
未配置任何防护对象时,设备对收到的流量不采取任何防护措施。
设备最多支持创建1024个DDoS攻击防护对象(包括缺省DDoS攻击防护对象)
在执行undo ddos-zone命令时,若未指定DDoS攻击防护对象的名称,则表示删除所有自定义的DDoS攻击防护对象。
系统缺省DDoS攻击防护对象不需要创建,也不能删除。
【举例】
# 创建ID值为3的DDoS攻击防护对象,并进入DDoS攻击防护对象视图。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3]
bandwidth-detection destination-ip threshold命令用来开启IP流量攻击检测功能,并配置IP流量攻击的检测触发阈值。
undo bandwidth-detection destination-ip threshold命令用来关闭IP总流量攻击检测功能。
【命令】
bandwidth-detection destination-ip threshold threshold-value
undo bandwidth-detection destination-ip threshold
【缺省情况】
IP总流量攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
threshold-value:表示IP流量攻击的检测触发阈值,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启IP流量攻击检测功能后,会对设备收到的发往指定DDoS防护对象的流量进行IP流量攻击检测。当它检测到向某IP地址发送IP报文的速率持续超过了该触发阈值时,即认为该IP地址受到了IP流量攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备:会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行检测和清洗。此时需检查是否开启了IP流量限速功能,若未开启,则全部放行;若开启,则对设备收到的IP流量进行限速。
此后,当设备检测到向该IP地址发送IP报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,停止执行防范措施。
【举例】
# 在DDoS攻击防护对象视图下,开启IP流量攻击检测功能,并配置IP流量攻击的检测触发阈值为20Mbps。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] bandwidth-detection destination-ip threshold 20
【相关命令】
· anti-ddos cleaner deploy-mode
· bandwidth-limit destination-ip type max-rate
· display anti-ddos zone configuration
bandwidth-limit destination-ip type max-rate命令用来开启IP流量限速功能,并配置最大带宽限制。
undo bandwidth-limit destination-ip type max-rate命令用来关闭IP流量限速功能。
【命令】
bandwidth-limit destination-ip type total max-rate value
undo bandwidth-limit destination-ip [ type total ]
【缺省情况】
IP流量限速功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
total:表示对总流量进行限速。
value:表示最大带宽,取值范围为1~4294967295,单位为Mbps。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
DDoS攻击清洗设备在旁路部署或直连部署模式下配置本命令后,会对当前DDoS防护对象下的流量进行清洗操作,限制流量带宽为配置的值。
【举例】
# 在DDoS攻击防护对象视图下,开启IP流量的限速功能,并配置最大带宽限制为20Mbps。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] bandwidth-limit destination-ip type total max-rate 20
【相关命令】
· bandwidth-detect destination-ip threshold
· display anti-ddos zone configuration
callee命令用来创建SIP报文会话接收方字段匹配规则。
undo callee命令用来删除SIP报文会话接收方字段匹配规则。
【命令】
callee { equal | include } callee-string
undo callee [ { equal | include } callee-string ]
【缺省情况】
DDoS攻击防护过滤器中不存在SIP报文的会话接收方字段匹配规则。
【视图】
SIP过滤器视图
【缺省用户角色】
network-admin
【参数】
equal:表示SIP报文的接收方字段的内容与指定URI完全一致。
include:表示SIP报文的接收方字段的内容包含指定URI。
callee-string:指定SIP会话接收方的URI,为2~63个字符的字符串,不区分大小写。
【使用指导】
SIP报文会话接收方字段匹配规则用于匹配会话接收方为指定URI的SIP报文。
每个SIP过滤器中最多可以创建32条会话接收方字段匹配规则。SIP报文满足其中任意一条匹配规则,即被视作满足SIP报文会话接收方字段匹配条件。
如果执行undo callee命令时不指定任何参数,则表示删除该过滤器视图下所有的SIP报文会话接收方字段匹配规则。
【举例】
# 在SIP过滤器test中创建一条会话接收方字段匹配规则:SIP报文的接收方字段的内容包含字符串www.abc.com。
<Sysname> system-view
[Sysname] anti-ddos filter name test type sip
[Sysname-anti-ddos-filter-sip-test] callee include www.abc.com
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
caller命令用来创建SIP报文会话发起方字段匹配规则。
undo caller命令用来删除SIP报文会话发起方字段匹配规则。
【命令】
caller { equal | include } caller-string
undo caller [ { equal | include } caller-string ]
【缺省情况】
DDoS攻击防护过滤器中不存在SIP报文会话发起方字段匹配规则。
【视图】
SIP过滤器视图
【缺省用户角色】
network-admin
【参数】
equal:表示SIP报文的发起方字段的内容与指定URI完全一致。
include:表示SIP报文的发起方字段的内容包含指定URI。
caller-string:指定SIP会话发起方的URI,为2~63个字符的字符串,不区分大小写。
【使用指导】
SIP报文会话发起方字段匹配规则用于匹配会话发起方为指定URI的SIP报文。
每个SIP过滤器中最多可以创建32条会话发送方字段匹配规则。SIP报文满足其中任意一条匹配规则,即被视作满足SIP报文会话发起方字段匹配条件。
如果执行undo caller命令时不指定任何参数,则表示删除该过滤器视图下所有的SIP报文会话发送方字段匹配规则。
【举例】
# 在SIP过滤器test中创建一条会话发送方字段匹配规则:SIP报文的发送方字段的内容包含字符串www.abc.com。
<Sysname> system-view
[Sysname] anti-ddos filter name test type sip
[Sysname-anti-ddos-filter-sip-test] caller include www.abc.com
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
cookie命令用来创建HTTP报文Cookie字段匹配规则。
undo cookie命令用来删除HTTP报文Cookie字段匹配规则。
【命令】
cookie include cookie-string
undo cookie [ include cookie-string ]
【缺省情况】
DDoS攻击防护过滤器中不存在HTTP报文Cookie字段匹配规则。
【视图】
HTTP过滤器视图
【缺省用户角色】
network-admin
【参数】
include:表示HTTP报文的Cookie字段的内容包含指定关键字。
cookie-string:指定Cookie关键字,为2~63个字符的字符串,不区分大小写。
【使用指导】
HTTP报文Cookie字段匹配规则用于匹配Cookie字段包含指定关键字的HTTP报文。
每个HTTP过滤器中最多可以创建32条Cookie字段匹配规则。HTTP报文满足其中任意一条匹配规则,即被视作满足HTTP报文Cookie字段匹配条件。
如果执行undo cookie命令时不指定任何参数,则表示删除该过滤器视图下所有的HTTP报文Cookie字段匹配规则。
【举例】
# 在HTTP过滤器test中创建一条Cookie字段匹配规则:HTTP报文的Cookie字段的内容包含字符串abc。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] cookie include abc
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
destination-ip命令用来创建报文目的IP地址匹配规则。
undo destination-ip命令用来删除报文目的IP地址匹配规则。
【命令】
destination-ip { ip-range start-ip end-ip | ipv6-range start-ipv6 end-ipv6 }
undo destination-ip [ ip-range start-ip end-ip | ipv6-range start-ipv6 end-ipv6 ]
【缺省情况】
DDoS攻击防护过滤器中不存在报文目的IP地址匹配规则。
【视图】
DDoS攻击防护过滤器视图
【缺省用户角色】
network-admin
【参数】
ip-range:目的IPv4地址范围。
start-ip:起始IPv4地址,且不能大于结束IPv4地址。
end-ip:结束IPv4地址。
ipv6-range:目的IPv6地址范围。
start-ipv6:起始IPv6地址,且不能大于结束IPv6地址。
end-ipv6:结束IPv6地址。
【使用指导】
报文目的IP地址匹配规则用于匹配目的IP地址在指定范围内的报文。
每个过滤器中最多可以创建100条报文目的IP地址匹配规则。满足其中任意一条匹配规则,即被视作满足报文目的IP地址匹配条件。
在同一个过滤器视图下多次执行本命令所配置的目的地址范围不允许重叠。
如果执行undo destination-ip命令时不指定任何参数,则表示删除该过滤器视图下所有的报文目的IP地址匹配规则。
【举例】
# 在HTTP过滤器test中创建一条报文目的IP地址匹配规则:报文目的IPv4地址在2.2.2.10~2.2.2.20的范围内。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] destination-ip ip-range 2.2.2.10 2.2.2.20
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
destination-port命令用来创建报文目的端口匹配规则。
undo destination-port命令用来删除报文目的端口匹配规则。
【命令】
destination-port range start-port end-port
undo destination-port [ range start-port end-port ]
【缺省情况】
DDoS攻击防护过滤器中不存在报文目的端口匹配规则。
【视图】
TCP过滤器视图
UDP过滤器视图
【缺省用户角色】
network-admin
【参数】
range:目的端口范围。
start-port:指定起始端口号,取值范围为1~65535,且不能大于结束端口号。
end-port:指定结束端口号,取值范围为1~65535。
【使用指导】
报文目的端口匹配规则用于匹配目的端口号在指定范围内的报文。
每个过滤器中最多可以创建10条报文目的端口匹配规则。满足其中任意一条匹配规则,即被视作满足报文目的端口匹配条件。
在同一个过滤器视图下多次执行本命令所配置的目的端口号范围不允许重叠。
如果执行undo destination-port命令时不指定任何参数,则表示删除该过滤器视图下所有的报文目的端口匹配规则。
【举例】
# 在TCP过滤器test中创建一条报文目的端口匹配规则:报文目的端口号在10~20的范围内。
<Sysname> system-view
[Sysname] anti-ddos filter name test type tcp
[Sysname-anti-ddos-filter-tcp-test] destination-port range 10 20
【相关命令】
· anti-ddos filter
display anti-ddos filter statistics
display anti-ddos blacklist命令用来显示DDoS全局静态黑名单表项。
【命令】
display anti-ddos blacklist [ ip source-ip-address | ipv6 source-ipv6-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip souce-ip-address:显示指定源IPv4地址的DDoS全局静态黑名单表项。
ipv6 source-ipv6-address:显示指定源IPv6地址的DDoS全局静态黑名单表项。
【使用指导】
仅清洗设备支持配置本命令。
若未指定IPv4地址或IPv6地址参数,则表示显示所有的IPv4或IPv6全局静态黑名单表项。
【举例】
# 显示所有全局静态黑名单。
<Sysname> display anti-ddos blacklist
Total: 4 Blacklist: 3 Whitelist: 1
-------------------------------------------------------------------
Source-ip/MaskLen Black/White
3.3.3.3/32 Black
10.0.0.0/24 Black
8000::/64 Black
# 显示指定IP对应的全局静态黑名单。
<Sysname> display anti-ddos blacklist ip 10.0.0.3
Total: 4 Blacklist: 3 Whitelist: 1
-------------------------------------------------------------------
Source-ip/MaskLen Black/White
10.0.0.0/24 Black
#显示指定IPv6对应的全局静态黑名单。
<Sysname> display anti-ddos blacklist ipv6 8000::1
Total: 4 Blacklist: 3 Whitelist: 1
-------------------------------------------------------------------
Source-ip/MaskLen Black/White
8000::/64 Black
表1-1 display anti-ddos blacklist命令显示信息描述表
|
字段 |
描述 |
|
Total |
IPv4或IPv6黑名单表项与白名单表项数目之和 |
|
Blacklist |
IPv4或IPv6黑名单表项数目 |
|
Whitelist |
IPv4或IPv6白名单表项数目 |
|
Source-ip/MaskLen |
源IP地址及掩码长度 |
|
Black/White |
表项类型,即黑名单类型或白名单类型 |
【相关命令】
· anti-ddos blacklist
display anti-ddos blacklist zone命令用来显示DDoS攻击防护对象静态黑名单表项。
【命令】
display anti-ddos blacklist zone [ { id zone-id | default } [ ip source-ip-address | ipv6 source-ipv6-address ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
id zone-id:DDoS攻击防护对象ID,取值范围为2~1024。
default:缺省DDoS攻击防护对象,其ID值为1。
ip souce-ip-address:显示指定源IPv4地址的DDoS攻击防护对象静态黑名单表项。
ipv6 source-ipv6-address:显示指定源IPv6地址的DDoS攻击防护对象静态黑名单表项。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
若未指定DDoS攻击防护对象,则显示所有DDoS攻击防护对象下的静态黑名单表项。
若未指定IPv4地址或IPv6地址参数,则表示显示DDoS攻击防护对象下的所有静态黑名单表项。
【举例】
# 显示所有DDoS攻击防护对象的静态黑名单表项。
<Sysname> display anti-ddos blacklist zone
Total:4 Blacklist:3 Whitelist:1
-------------------------------------------------------------------
ZoneID Source-ip/MaskLen Black/White
default 3.3.3.3/32 Black
2 10.0.0.0/24 Black
2 8000::/64 Black
# 显示ID为2的DDoS攻击防护对象下匹配IP地址10.0.0.3的静态黑名单表项。
<Sysname> display anti-ddos blacklist zone id 2 ip 10.0.0.3
Total:4 Blacklist:3 Whitelist:1
-------------------------------------------------------------------
ZoneID Source-ip/MaskLen Black/White
2 10.0.0.0/24 Black
# 显示缺省DDoS攻击防护对象下匹配IPv6地址8000::1的静态黑名单表项。
<Sysname> display anti-ddos blacklist zone default ipv6 8000::1
Total: 4 Blacklist: 3 Whitelist: 1
-------------------------------------------------------------------
ZoneID Source-ip/MaskLen Black/White
default 8000::/64 Black
表1-2 display anti-ddos blacklist zone命令显示信息描述表
|
字段 |
描述 |
|
Total |
DDoS攻击防护对象下IPv4或IPv6黑名单表项与白名单表项数目之和 |
|
Blacklist |
DDoS攻击防护对象下IPv4或IPv6黑名单表项数目 |
|
Whitelist |
DDoS攻击防护对象下IPv4或IPv6白名单表项数目 |
|
ZoneID |
DDoS攻击防护对象ID |
|
Source-ip/MaskLen |
源IP地址及掩码长度 |
|
Black/White |
表项类型,即黑名单类型或白名单类型 |
【相关命令】
· zone-blacklist
display anti-ddos filter statistics命令用来显示DDoS攻击防护过滤器的统计信息。
【命令】
display anti-ddos filter statistics name name anti-ddos-zone { id zone-id | default }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name name:指定过滤器的名称,为1~63个字符的字符串,由字母、数字和下划线组成,名称必须以字母开头,字母不区分大小写。
anti-ddos-zone:DDoS攻击防护对象。
id zone-id:指定DDoS攻击防护对象的ID,取值范围为2~1024。
default:缺省DDoS攻击防护对象。
【举例】
# 显示指定ID为3的DDoS攻击防护对象下过滤器test的统计计数。
<Sysname> display anti-ddos filter statistics name test anti-ddos-zone id 3
Type : HTTP
Action : drop
PPS : 100000
Bps : 200000000
Dropped packets : 20750
Dropped bytes : 5
表1-3 display anti-ddos filter statistics命令显示信息描述表
|
字段 |
描述 |
|
Type |
过滤器的协议类型,包括: · IP · TCP · UDP · HTTP · DNS · ICMP · SIP |
|
Action |
表示过滤器执行的动作,其取值包括如下: · drop:丢弃 · pass:放行 · limit:限速 · source-verify:源验证 |
|
PPS |
过滤器匹配到的报文速率,单位为pps |
|
Bps |
过滤器匹配到的报文速率,单位为Bps |
|
Dropped packets |
过滤器丢弃的包数 |
|
Dropped bytes |
过滤器丢弃的字节数 |
display anti-ddos flow-agent statistics命令用来显示指定流量统计报文输出器的统计信息。
【命令】
(独立运行模式)
display anti-ddos flow-agent statistics ip ip-address port destination-port [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display anti-ddos flow-agent statistics ip ip-address port destination-port [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
ip ip-address:指定流量统计报文输出器的IP地址。
port destination-port:指定流量统计报文的目的端口号,取值范围为1025~65535。
slot slot-number:显示指定单板上的指定流量统计报文输出器的统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的指定流量统计报文输出器的统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,则表示显示所有成员设备上的指定流量统计报文输出器的统计信息。(IRF模式)
cpu cpu-number:显示指定CPU上的指定流量统计报文输出器的统计信息,cpu-number表示单板上的CPU编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示设备槽位号为1的单板上,编号为1的CPU上的流量统计报文输出器统计信息,其中流量统计报文输出器的IP地址为10.10.10.10,报文目的端口号为1200。(独立运行模式)
<Sysname> display anti-ddos flow-agent statistics ip 10.10.10.10 port 1200 slot 1 cpu 1
CPU 1 on slot 1:
NetFlow V5 statistics:
Packets: 1000
Records: 1990
DropRecords: 10
NetFlow V9 statistics:
Packets: 1000
Records: 1980
TemplateRecords: 20
DataRecords: 10
DropRecords: 10
表1-4 display anti-ddos flow-agent statistics命令显示信息描述表
|
字段 |
描述 |
|
Packets |
DDoS攻击检测设备接收的报文个数 |
|
Records |
解析成功的报文记录数 |
|
DropRecords |
解析失败的报文记录数 |
|
TemplateRecords |
解析成功的Netflow V9报文模板数 |
|
DataRecords |
解析成功的Netflow V9报文记录数 |
|
DropRecords |
丢弃的Netflow V9模板个数和Netflow V9报文记录数 |
【相关命令】
· anti-ddos flow-agent
display anti-ddos flow-agent-template命令用来显示指定流量统计报文输出器的NetFlow/NetStream V9模板信息。
【命令】
(独立运行模式)
display anti-ddos flow-agent-template ip ip-address [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display anti-ddos flow-agent-template ip ip-address [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
ip ip-address:指定流量统计报文输出器的IP地址。
slot slot-number:显示指定单板上的指定流量统计报文输出器的NetFlow/NetStream V9模板信息,slot-number表示单板所在槽位号。如果不指定该参数,则表示显示所有单板上的指定流量统计报文输出器的NetFlow/NetStream V9模板信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的指定流量统计报文输出器的NetFlow/NetStream V9模板信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,则表示显示所有单板上的指定流量统计报文输出器的NetFlow/NetStream V9模板信息。(IRF模式)
cpu cpu-number:显示指定CPU上的指定流量统计报文输出器的NetFlow/NetStream V9模板信息,cpu-number表示单板上的CPU编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示设备的槽位号为1的单板上,编号为1的CPU上的IP地址为10.10.10.10的流量统计报文输出器的NetFlow/NetStream V9模板信息。(独立运行模式)
<Sysname> system-view
[Sysname] display anti-ddos flow-agent-template ip 10.10.10.10 slot 1 cpu 1
CPU 1 on slot 1:
Template ID: 256 Source ID: 1936773375
Field information:
Field type Field length (bytes)
Packets 4
Bytes 4
Protocol 1
Template ID: 257 Source ID: 1936773376
Field information:
Field type Field length (bytes)
Packets 4
Bytes 4
Protocol 1
表1-5 display anti-ddos flow-agent-template命令显示信息描述表
|
字段 |
描述 |
|
Template id |
NetFlow/NetStream V9模板ID |
|
Source id |
NetFlow V9模板域ID |
|
Field information |
字段信息 |
|
Field Type |
字段类型 |
|
Field Length |
字段长度 |
|
Packets |
报文数字段,用来表示使用该模板发送的报文数 |
|
Bytes |
字节数字段,用来表示使用该模板发送的字节数 |
|
Protocol |
协议字段,用来表示报文的四层协议类型 |
display anti-ddos flow-forward statistics命令用来显示流统计报文的转发统计信息。
【命令】
(独立运行模式)
display anti-ddos flow-forward statistics [ slot slot-number ]
(IRF模式)
display anti-ddos flow-forward statistics [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:显示指定单板上的流统计报文的转发统计信息,slot-number表示单板所在槽位号。如果不指定该参数,则表示显示所有单板上的流统计报文的转发统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的流统计报文的转发统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,则表示显示所有成员设备上的流统计报文的转发统计信息。(IRF模式)
【举例】
# 显示槽位号为1的单板上的转发统计信息。(独立运行模式)
<Sysname> system-view
[Sysname] display anti-ddos flow-forward statistics slot 1
Slot 1:
Flow IPv4 Statistics information:
IP address port Pkts
192.168.1.1 2048 100
Flow IPv6 Statistics information:
IPv6 address port Pkts
192:168:1::1 2048 100
display anti-ddos source-verify protected ip命令用来显示DDoS攻击源验证的受保护IPv4表项。
【命令】
(独立运行模式)
display anti-ddos source-verify { dns-query | dns-reply | http | sip | syn } protected ip [ ip-address ] [ count ] [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display anti-ddos source-verify { dns-query | dns-reply | http | sip | syn } protected ip [ ip-address ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
dns-query:指定DNS query源验证功能。
dns-reply:指定DNS reply源验证功能。
http:指定HTTP源验证功能。
sip:指定SIP源验证功能。
syn:指定SYN源验证功能。
ip-address:显示DDoS攻击源验证的指定受保护IPv4表项。若未指定本参数,则显示DDoS攻击源验证的所有受保护IPv4表项。
slot slot-number:显示指定单板上的DDoS攻击源验证的指定IPv4地址的受保护IPv4表项,slot-number表示单板所在槽位号。如果不指定该参数,则表示显示所有单板上的DDoS攻击源验证的受保护IPv4表项。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的DDoS攻击源验证的受保护IPv4表项,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,则表示显示所有成员设备上的DDoS攻击源验证的受保护IPv4表项。(IRF模式)
cpu cpu-number:显示指定CPU上的DDoS攻击源验证的受保护IPv4表项,cpu-number表示单板上的CPU编号。只有指定的slot支持多CPU时,才能配置该参数。
count:显示符合指定条件的DDoS攻击源验证的受保护IPv4表项个数。
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
【举例】
# 显示所有DDoS攻击防护对象的SYN泛洪攻击源验证的受保护IPv4表项。(独立运行模式)
<Sysname> display anti-ddos source-verify syn protected ip
Slot 1:
IP address Port Type Requested Trusted
192.168.11.5 23 Dynamic 353452 555
123.123.123.123 23 Dynamic 4294967295 15151
Slot 2:
IP address Port Type Requested Trusted
192.168.11.6 23 Dynamic 467901 78578
201.55.7.45 23 Dynamic 236829 7237
# 显示所有DDoS攻击防护对象的SYN泛洪攻击源验证的受保护IPv4表项的个数。(独立运行模式)
<Sysname> display anti-ddos source-verify syn protected ip count
Slot 1:
Totally 3 protected IP addresses.
Slot 2:
Totally 1 protected IP addresses.
表1-6 display anti-ddos source-verify protected ip命令显示信息描述表
|
字段 |
描述 |
|
Totally n protected IP addresses. |
DDoS攻击源验证的受保护IPv4表项数目 |
|
IP address |
受保护IPv4地址 |
|
Port |
连接的目的端口 |
|
Type |
受保护IP地址的添加方式,取值包括Dynamic,即动态添加 |
|
Requested |
收到的匹配该受保护IP地址的报文数目 |
|
Trusted |
通过验证的报文数目 |
display anti-ddos source-verify protected ipv6命令用来显示DDoS攻击源验证的受保护IPv6表项。
【命令】
(独立运行模式)
display anti-ddos source-verify { dns-query | dns-reply | http | sip | syn } protected ipv6 [ ipv6-address ] [ slot slot-number [ cpu cpu-number ] ] [ count ]
(IRF模式)
display anti-ddos source-verify { dns-query | dns-reply | http | sip | syn } protected ipv6 [ ipv6-address ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
dns-query:指定DNS query源验证功能。
dns-reply:指定DNS reply源验证功能。
http:指定HTTP源验证功能。
sip:指定SIP源验证功能。
syn:指定SYN源验证功能。
ipv6-address:显示DDoS攻击源验证的指定IPv6地址的受保护IPv6表项。若未指定本参数,则显示DDoS攻击源验证的所有受保护IPv6表项。
slot slot-number:显示指定单板上的DDoS攻击源验证的受保护IPv6表项,slot-number表示单板所在槽位号。如果不指定该参数,则表示显示所有单板上的DDoS攻击源验证的受保护IPv6表项。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的DDoS攻击源验证的受保护IPv6表项,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,则表示显示所有成员设备上的DDoS攻击源验证的受保护IPv6表项。(IRF模式)
cpu cpu-number:显示指定CPU上的DDoS攻击源验证的受保护IPv6表项,cpu-number表示单板上的CPU编号。只有指定的slot支持多CPU时,才能配置该参数。
count:显示符合指定条件的DDoS攻击源验证的受保护IPv6表项个数。
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
【举例】
# 显示所有DDoS攻击防护对象的SYN泛洪攻击源验证的受保护IPv6表项。(独立运行模式)
<Sysname> display anti-ddos source-verify syn protected ipv6
Slot 1:
IPv6 address Port Type Requested Trusted
192:168:11::5 23 Dynamic 353452 555
123:123:123::123 23 Dynamic 4294967295 15151
Slot 2:
IPv6 address Port Type Requested Trusted
192:168:11::5 23 Dynamic 467901 78578
201:55:7::45 23 Dynamic 236829 7237
# 显示所有DDoS攻击防护对象的SYN泛洪攻击源验证的受保护IPv6表项的个数。(独立运行模式)
<Sysname> display anti-ddos source-verify syn protected ipv6 count
Slot 1:
Totally 3 protected IPv6 addresses.
Slot 2:
Totally 1 protected IPv6 addresses.
表1-7 display anti-ddos source-verify protected ipv6命令显示信息描述表
|
字段 |
描述 |
|
Totally n protected IPv6 addresses. |
DDoS攻击源验证的受保护IPv6表项数目 |
|
IPv6 address |
受保护IPv6地址 |
|
Port |
连接的目的端口 |
|
Type |
受保护IP地址的添加方式,取值包括Dynamic,即动态添加 |
|
Requested |
收到的匹配该受保护IP地址的报文数目 |
|
Trusted |
通过验证的报文数目 |
display anti-ddos source-verify trusted ip命令用来显示DDoS攻击源验证的信任IPv4表项。
【命令】
(独立运行模式)
display anti-ddos source-verify { dns-query | dns-reply | http | sip | syn } trusted ip [ ip-address ] [ slot slot-number [ cpu cpu-number ] ] [ count ]
(IRF模式)
display anti-ddos source-verify { dns-query | dns-reply | http | sip | syn } trusted ip [ ip-address ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
dns-query:指定DNS query源验证功能。
dns-reply:指定DNS reply源验证功能。
http:指定HTTP源验证功能。
sip:指定SIP源验证功能。
syn:指定SYN源验证功能。
ip-address:显示DDoS攻击源验证的指定IPv4地址的受信任IPv4表项。若未指定本参数,则显示DDoS攻击源验证的所有受信任IPv4表项。
slot slot-number:显示指定单板上的DDoS攻击源验证的受信任IPv4表项,slot-number表示单板所在槽位号。如果不指定该参数,则表示显示所有单板上的DDoS攻击源验证的受信任IPv4表项。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的DDoS攻击源验证的受信任IPv4表项,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,则表示显示所有成员设备上的DDoS攻击源验证的受信任IPv4表项。(IRF模式)
cpu cpu-number:显示指定CPU上的DDoS攻击源验证的受信任IPv4表项,cpu-number表示单板上的CPU编号。只有指定的slot支持多CPU时,才能配置该参数。
count:显示符合指定条件的DDoS攻击源验证的受信任IPv4表项个数。
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
【举例】
# 显示所有DDoS攻击防护对象的HTTP泛洪攻击源验证的受信任IPv4表项。(独立运行模式)
<Sysname> display anti-ddos source-verify http trusted ip
Slot 1:
IP address Age-time (sec)
11.1.1.2 600
123.123.123.123 550
Slot 2:
IP address Age-time (sec)
11.1.1. 200
# 显示所有DDoS攻击防护对象的HTTP泛洪攻击源验证的受信任IPv4表项的个数。(独立运行模式)
<Sysname> display anti-ddos source-verify http trusted ip count
Slot 1:
Totally 3 trusted IP addresses.
Slot 2:
Totally 0 trusted IP addresses.
表1-8 display anti-ddos source-verify trusted ip命令显示信息描述表
|
字段 |
描述 |
|
Totally n trusted IP addresses |
DDoS攻击源验证的受信任IPv4表项的个数 |
|
IP address |
受信任的IPv4地址 |
|
Age-time(sec) |
信任IP地址的剩余老化时间,单位为秒。 |
display anti-ddos source-verify trusted ipv6命令用来显示DDoS攻击源验证的信任IPv6表项。
【命令】
(独立运行模式)
display anti-ddos source-verify { dns-query | dns-reply | http | sip | syn } trusted ipv6 [ ipv6-address ] [ slot slot-number [ cpu cpu-number ] ] [ count ]
(IRF模式)
display anti-ddos source-verify { dns-query | dns-reply | http | sip | syn } trusted ipv6 [ ipv6-address ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
dns-query:指定DNS query源验证功能。
dns-reply:指定DNS reply源验证功能。
http:指定HTTP源验证功能。
sip:指定SIP源验证功能。
syn:指定SYN源验证功能。
ipv6-address:显示DDoS攻击源验证的指定IPv6地址的信任IPv6表项。若未指定本参数,则显示DDoS攻击源验证的所有信任IPv6表项。
slot slot-number:显示指定单板上的DDoS攻击源验证的信任IPv6表项,slot-number表示单板所在槽位号。如果不指定该参数,则表示显示所有单板上的DDoS攻击源验证的信任IPv6表项。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的DDoS攻击源验证的信任IPv6表项,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,则表示显示所有成员设备上的DDoS攻击源验证的信任IPv6表项。(IRF模式)
cpu cpu-number:显示指定CPU上的DDoS攻击源验证的信任IPv6表项,cpu-number表示单板上的CPU编号。只有指定的slot支持多CPU时,才能配置该参数。
count:显示符合指定条件的DDoS攻击源验证的信任IPv6表项个数。
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
【举例】
# 显示所有DDoS攻击防护对象的HTTP泛洪攻击源验证的受信任IPv6表项。(独立运行模式)
<Sysname> display anti-ddos source-verify http trusted ipv6
Slot 1:
IPv6 address Age-time(sec)
11:1:1::2 600
123:123:123::123 550
Slot 2:
IPv6 address Age-time(sec)
11:1:1::3 200
# 显示所有DDoS攻击防护对象的HTTP泛洪攻击源验证的受信任IPv6表项的个数。(独立运行模式)
<Sysname> display anti-ddos zone source-verify http trusted ipv6 count
Slot 1:
Totally 3 trusted IPv6 addresses.
Slot 2:
Totally 0 trusted IPv6 addresses.
表1-9 display anti-ddos source-verify trusted ipv6命令显示信息描述表
|
字段 |
描述 |
|
Totally n trusted IPv6 addresses |
DDoS攻击源验证的受信任IPv6表项的个数 |
|
IPv6 address |
受信任的IPv6地址 |
|
Age-time(sec) |
信任IPv6地址的剩余老化时间,单位为秒。 |
display anti-ddos statistics命令用来显示DDoS攻击防护统计信息。
【命令】
(独立运行模式)
display anti-ddos statistics { destination-ip { ipv4 [ ip-address ] | ipv6 [ ipv6-address ] } | destination-port | source-ip { ipv4 | ipv6 } | source-port } [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display anti-ddos statistics { destination-ip { ipv4 [ ip-address ] | ipv6 [ ipv6-address ] } | destination-port | source-ip { ipv4 | ipv6 } | source-port } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
destination-ip:表示基于目的IP地址进行统计
destination-port:表示基于目的端口进行统计。
srp-ip:表示基于源IP地址进行统计。
srp-port:表示基于源端口进行统计。
ipv4:指定IP地址类型为IPv4。
ipv4-address:显示指定目的IPv4地址的DDoS攻击防护统计信息。若未指定本参数,则显示所有目的IPv4地址的DDoS攻击防护统计信息。
ipv6:指定IP地址类型为IPv6。
ipv6-address:显示指定目的IPv6地址的DDoS攻击防护统计信息。若未指定本参数,则显示所有目的IPv6地址的DDoS攻击防护统计信息。
slot slot-number:显示指定单板上的DDoS攻击防护统计信息,slot-number表示单板所在槽位号。如果不指定该参数,则表示显示所有单板上的DDoS攻击防护统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的DDoS攻击防护统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,则表示显示所有成员设备上的DDoS攻击防护统计信息。(IRF模式)
cpu cpu-number:显示指定CPU上的DDoS攻击防护统计信息,cpu-number表示单板上的CPU编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
DDoS攻击检测设备支持该命令。DDoS攻击清洗设备上只支持部分display anti-ddos statistics { destination-ip { ipv4 [ ip-address ] | ipv6 [ ipv6-address ] }
【举例】
# 显示基于源IPv4地址的DDoS攻击防护统计信息。(独立运行模式)
<Sysname> display anti-ddos statistics source-ip ipv4
Slot 1:
Source IP Dest IP Packet type Input(bps) Output(bps) Input(pps) Output(pps)
3.3.3.3 4.4.4.4 - 100 20 100 30
3.3.3.3 4.4.4.4 - 100 20 100 30
Slot 2:
Source IP Dest IP Packet type Input(bps) Output(bps) Input(pps) Output(pps)
2.2.2.2 4.4.4.4 - 100 30 100 30
# 显示基于源IPv6地址的DDoS攻击防护统计信息。(独立运行模式)
<Sysname> display anti-ddos statistics source-ip ipv6
Slot 1:
Source IPv6 Packet type Input(bps) Output(bps) Input(pps) Output(pps)
3::3 - 100 20 100 30
3::5 - 100 20 100 30
2::6 - 100 30 100 30
Slot 2:
Source IPv6 Packet type Input(bps) Output(bps) Input(pps) Output(pps)
8::3 ACK 100 20 100 30
#显示基于源端口的DDoS攻击防护统计信息。(独立运行模式)
<Sysname> display anti-ddos statistics source-port
Slot 1:
Source Port Dest addr Packet type Input(bps) Output(bps) Input(pps) Output(pps)
78 3.3.3.3 - 100 20 100 30
54321 3.3.3.3 - 100 20 100 30
Slot 2:
Source Port Dest addr Packet type Input(bps) Output(bps) Input(pps) Output(pps)
8080 3.3.3.3 - 100 30 100 30
#显示所有基于目的IPv4地址的DDoS攻击防护统计信息。(独立运行模式)
<Sysname> display anti-ddos statistics destination-ip ipv4
Slot 1:
Dest IP Packet type Input(bps) Output(bps) Input(pps) Output(pps)
3.3.3.3 UDP 100 20 60 10
3.3.3.3 IP 100 20 60 10
3.3.3.2 ACK 100 20 60 10
3.3.3.2 IP 100 20 60 10
Slot 2:
Dest IP Packet type Input(bps) Output(bps) Input(pps) Output(pps)
4.3.2.3 UDP 100 20 60 10
4.3.2.3 IP 100 20 60 10
5.3.2.3 ACK 100 20 60 10
5.3.2.3 IP 100 20 60 10
表1-10 display anti-ddos statistics 命令显示信息描述表
|
字段 |
描述 |
|
Source IP |
源IPv4地址 |
|
Source IPv6 |
源IPv6地址 |
|
Source port |
源端口号 |
|
Dest IP |
目的IPv4地址 |
|
Dest IPv6 |
目的IPv6地址 |
|
Dest addr |
目的地址 |
|
Dest port |
目的端口号 |
|
Packet type |
接收的报文类型,包括: · ACK · DNS query · DNS reply · ICMP · HTTP · SYN · SYN-ACK · UDP · RST · SIP · IP |
|
Input(bps) |
每秒接收的报文比特数目 |
|
Output(bps) |
清洗后的报文比特数目 |
|
Input(pps) |
每秒接收的报文数目 |
|
Output (pps) |
清洗后的报文数目 |
display anti-ddos statistics bandwidth-limit destination-ip { ipv4 ipv4-address | ipv6 ipv6-address } 命令用来显示指定目的IP地址的限速统计信息。
【命令】
(独立运行模式)
display anti-ddos statistics bandwidth-limit destination-ip { ipv4 ipv4-address | ipv6 ipv6-address } [ slot slot-number ]
(IRF模式)
display anti-ddos statistics bandwidth-limit destination-ip { ipv4 ipv4-address | ipv6 ipv6-address } [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv4 ipv4-address:显示指定IPv4地址的限速统计信息。
ipv6 ipv6-address:显示指定IPv6地址的限速统计信息。
slot slot-number:显示指定单板上的指定目的IP地址的限速统计信息,slot-number表示单板所在槽位号。如果不指定该参数,则表示显示所有单板上的指定目的IP地址的限速统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的指定目的IP地址的限速统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,则表示显示所有成员设备上的指定目的IP地址的限速统计信息。(IRF模式)
【使用指导】
仅清洗设备支持配置本命令,只显示已配置指定类型的限速策略的统计信息。
当清洗设备中有报文通过时,会生成对应报文目的IP的统计节点,若老化时间内无对应目的IP的报文再经过设备,则该目的IP的统计节点会被删除。
若存在指定目的IP的统计节点,输入本命令行能够显示对应的限速阈值配置以及报文流量统计信息;若不存在指定的目的IP的统计节点,输入本命令行不显示数据。
【举例】
# 显示指定目的IPv4地址的速率限制统计信息。(独立运行模式)
<Sysname> display anti-ddos statistics bandwidth-limit destination-ip ipv4 10.10.10.10
slot 1:
Type Input(bps) Output(bps) Input(pps) Output(pps) Threshold(Mbps)
TCP 50000 50000 100 100 50
UDP 400000 393216 800 786 3
TCP-FRAG 50000 50000 100 100 50
IP 493216 493216 986 986 50
slot 2:
Type Input(bps) Output(bps) Input(pps) Output(pps) Threshold(Mbps)
TCP 20000 20000 40 40 50
UDP 420000 393216 840 786 3
TCP-FRAG 50000 50000 100 100 50
IP 453216 453216 906 906 50
# 显示指定目的IPv4地址的速率限制详细统计信息。(IRF模式)
<Sysname> display anti-ddos statistics bandwidth-limit destination-ip ipv4 10.10.10.10
chassis 1 slot 1:
Type Input(bps) Output(bps) Input(pps) Output(pps) Threshold(Mbps)
TCP 50000 50000 100 100 50
UDP 400000 393216 800 786 3
TCP-FRAG 50000 50000 100 100 50
IP 493216 493216 986 986 50
chassis 1 slot 2:
Type Input(bps) Output(bps) Input(pps) Output(pps) Threshold(Mbps)
TCP 20000 20000 40 40 50
UDP 420000 393216 840 786 3
TCP-FRAG 52000 52000 104 104 50
IP 453216 453216 906 906 50
表1-11 display anti-ddos statistics bandwidth-limit destination-ip命令显示信息描述表
|
字段 |
描述 |
|
Type |
报文类型,包括: · TCP · UDP · ICMP · TCP-FRAG · UDP-FRAG · ICMP-FRAG · Other · IP |
|
Input(bps) |
综合限速或单类报文限速前的报文速率,单位为bps |
|
Input(pps) |
综合限速或单类报文限速前的报文速率,单位为pps |
|
Output(bps) |
综合限速或单类报文限速后的报文速率,单位为bps |
|
Output(pps) |
综合限速或单类报文限速后的报文速率,单位为pps |
|
Threhold(Mbps) |
综合速率上限或单类报文速率上限,单位为Mbps |
display anti-ddos statistics destination-ip命令用来显示指定被攻击者的DDoS攻击防护统计信息。
【命令】
(独立运行模式)
display anti-ddos statistics destination-ip { ipv4 ip-address | ipv6 ipv6-address } { destination-port | source-ip | source-port } [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display anti-ddos statistics destination-ip { ipv4 ip-address | ipv6 ipv6-address } { destination-port | source-ip | source-port } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv4 ip-address:指定被攻击者的IPv4地址。
ipv6 ipv6-address:指定被攻击者的IPv6地址。
destination-port:表示基于目的端口进行统计。
srp-ip:表示基于源IP地址进行统计。
srp-port:表示基于源端口进行统计。
slot slot-number:显示指定单板上指定被攻击者的DDoS攻击防护统计信息,slot-number表示单板所在槽位号。如果不指定该参数,则表示显示所有单板上指定被攻击者的DDoS攻击防护统计信息。(独立运行模式)。
chassis chassis-number slot slot-number:显示指定成员设备上指定被攻击者的DDoS攻击防护统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,则表示显示所有成员设备上指定被攻击者的DDoS攻击防护统计信息。(IRF模式)
cpu cpu-number:显示指定CPU上指定被攻击者的DDoS攻击防护统计信息,cpu-number表示单板上的CPU编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
#显示IPv4地址为1.1.1.1的被攻击者基于源IP地址的DDoS攻击防护统计信息。(独立运行模式)
<Sysname> display anti-ddos statistics destination-ip ipv4 1.1.1.1 source-ip
Slot 1:
Source IP Packet type Input(bps) Output(bps) Input(pps) Output(pps)
3.3.3.3 - 100 20 60 10
3.3.3.3 - 100 20 60 10
Slot 2:
Source IP Packet type Input(bps) Output(bps) Input(pps) Output(pps)
1.1.1.2 - 100 20 60 10
2.2.2.3 - 100 20 60 10
#显示IPv6地址为1::1的被攻击者基于源IP地址的DDoS攻击防护统计信息。(独立运行模式)
<Sysname> display anti-ddos statistics destination-ip ipv6 1::1 source-ip
Slot 1:
Source IPv6 Packet type Input(bps) Output(bps) Input(pps) Output(pps)
3::3 - 100 20 60 10
4::4 - 100 20 60 10
Slot 2:
Source IPv6 Packet type Input(bps) Output(bps) Input(pps) Output(pps)
3::6 - 100 20 60 10
4::5 - 100 20 60 10
表1-12 display ddos statistics命令显示信息描述表
|
字段 |
描述 |
|
Source IP |
源IPv4地址 |
|
Source IPv6 |
源IPv6地址 |
|
Source port |
源端口号 |
|
Dest port |
目的端口号 |
|
Packet type |
接收的报文种类 |
|
Input(bps) |
每秒接收的报文比特数目 |
|
Output(bps) |
清洗后的报文比特数目 |
|
Input(pps) |
每秒接收的数目 |
|
Output(pps) |
清洗后的数目 |
display anti-ddos whitelist命令用来显示全局静态白名单表项。
【命令】
display anti-ddos whitelist [ ip source-ip-address | ipv6 source-ipv6-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip source-ip-address:显示指定源IPv4地址的DDoS全局静态白名单表项。
ipv6 source-ipv6-address:显示指定源IPv4地址的DDoS全局静态白名单表项。
【使用指导】
仅清洗设备支持配置本命令。
若未指定IPv4地址或IPv6地址参数,则表示显示所有的IPv4或IPv6白名单表项。
【举例】
# 显示所有全局静态白名单。
<Sysname> display anti-ddos whitelist
Total: 4 Blacklist: 3 Whitelist: 1
-------------------------------------------------------------------
Source-ip/MaskLen Black/White
3.3.3.4/32 White
# 显示指定IP对应的全局静态白名单。
<Sysname> display anti-ddos whitelist ip 3.3.3.4
Total: 4 Blacklist: 3 Whitelist: 1
-------------------------------------------------------------------
Source-ip/MaskLen Black/White
3.3.3.4/32 White
#显示指定IPv6对应的全局静态白名单。
<Sysname> display anti-ddos whitelist ipv6 8000::1
Total: 4 Blacklist: 3 Whitelist: 0
-------------------------------------------------------------------
Source-ip/MaskLen Black/White
表1-13 display anti-ddos blacklist命令显示信息描述表
|
字段 |
描述 |
|
Total |
IPv4或IPv6黑名单表项与白名单表项数目之和 |
|
Blacklist |
IPv4或IPv6黑名单表项数目 |
|
Whitelist |
IPv4或IPv6白名单表项数目 |
|
Source-ip/MaskLen |
源IP地址及掩码长度 |
|
Black/White |
表项类型,即黑名单或白名单 |
【相关命令】
· anti-ddos whitelist
display anti-ddos whitelist zone命令用来显示DDoS攻击防护对象静态白名单表项。
【命令】
display anti-ddos whitelist zone [ { id zone-id | default } [ ip source-ip-address | ipv6 source-ipv6-address ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
id zone-id:DDoS攻击防护对象ID,取值范围2~1024。
default:缺省DDoS攻击防护对象,其ID值为1。
ip source-ip-address:显示指定源IPv4地址的DDoS攻击防护对象静态白名单表项。
ipv6 source-ipv6-address:显示指定源IPv4地址的DDoS攻击防护对象静态白名单表项。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
若未指定DDoS攻击防护对象,则显示所有DDoS攻击防护对象下的静态白名单表项。
若未指定IPv4地址或IPv6地址参数,则显示DDoS攻击防护对象下的所有静态白名单表项。
【举例】
# 显示所有DDoS攻击防护对象下的静态白名单表项。
<Sysname> display anti-ddos whitelist zone
Total: 4 Blacklist: 3 Whitelist: 1
-------------------------------------------------------------------
ZoneID Source-ip/MaskLen Black/White
2 3.3.3.4/32 White
# 显示ID为2的DDoS攻击防护对象下匹配IP地址3.3.3.4的静态白名单表项。
<Sysname> display anti-ddos whitelist zone 2 ip 3.3.3.4
Total: 4 Blacklist: 3 Whitelist: 1
-------------------------------------------------------------------
ZoneID Source-ip/MaskLen Black/White
2 3.3.3.4/32 White
#显示ID为2的DDoS攻击防护对象下匹配IPv6地址8000::1的静态白名单表项。
<Sysname> display anti-ddos whitelist zone 2 ipv6 8000::1
Total: 4 Blacklist: 3 Whitelist: 1
-------------------------------------------------------------------
ZoneID Source-ip/MaskLen Black/White
2 8000::/64 White
表1-14 display anti-ddos whitelist zone命令显示信息描述表
|
字段 |
描述 |
|
Total |
DDoS攻击防护对象下IPv4或IPv6黑名单表项与白名单表项数目之和 |
|
Blacklist |
DDoS攻击防护对象下IPv4或IPv6黑名单表项数目 |
|
Whitelist |
DDoS攻击防护对象下IPv4或IPv6白名单表项数目 |
|
ZoneID |
DDoS攻击防护对象ID |
|
Source-ip/MaskLen |
源IP地址及掩码长度 |
|
Black/White |
表项类型,即黑名单或白名单 |
【相关命令】
· zone-whitelist
display anti-ddos zone configuration命令用于显示DDoS攻击防护对象的配置信息。
【命令】
display anti-ddos zone configuration [ default | id zone-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
default:指定缺省DDoS攻击防护对象。
id zone-id:指定DDoS攻击防护对象的ID,取值范围为2~1024。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备上都支持该命令。
若未指定default和id zone-id,则显示所有DDoS攻击防护对象的概要配置信息。
【举例】
# 显示指定DDoS攻击防护对象的配置信息。
<Sysname> display anti-ddos zone configuration id 2
Anti-DDoS zone configuration information
Zone ID : 2
Zone name : abc
IP range configuration:
Start IP End IP
1.1.1.1 1.1.1.100
2.2.2.2 2.2.2.10
Filter configuration:
Name Type Preference
IPFliter IP 10
UdpFliter UDP 20
Flood detection configuration:
Flood type Thres(pps/Mbps)
DNS query 1000 pps
DNS reply 1000 pps
HTTP 1000 bps
SYN 1000 pps
ACK 1000 Mbps
SYN-ACK 1000 pps
RST 1000 pps
UDP 1000 Mbps
ICMP 1000 Mbps
SIP 1000 Mbps
Source verification configuration:
Type Status
TCP Enabled
HTTP Enabled
DNS query Enabled
DNS reply Enabled
SIP Enabled
Bandwidth configuration:
bandwidth-detection destination-ip threshold: 20
bandwidth-limit destination-ip max-rate: 10
Fingerprint configuration:
Type GroupID
IPv4 10
Threshold Learning: Enabled
Black/White list:
Type IP MaskLength
Black 2.2.2.0 24
White 192.168.13.0 24
表1-15 display anti-ddos zone命令显示信息描述表
|
字段 |
描述 |
|
Anti-ddos zone Information |
DDoS攻击防护对象配置信息 |
|
Zone name |
DDoS攻击防护对象名称 |
|
Zone ID |
DDoS攻击防护对象ID |
|
IP configuration |
DDoS攻击防护对象的IP地址范围 |
|
Start IP |
起始IP地址 |
|
End IP |
结束IP地址 |
|
Flood detection configuration |
泛洪攻击防范配置信息 |
|
Flood type |
泛洪攻击类型,包括: · ACK flood · DNS-QUERY flood · DNS-REPLY flood · ICMP flood · SYN flood · SYN-ACK flood · UDP flood · RST flood · HTTP flood · SIP flood |
|
Thres(pps/Mbps) |
泛洪攻击防范阈值,单位为pps或Mbps |
|
Source verification configuration |
源验证配置 |
|
Type |
源验证类型,包括: · DNS query:DNS query源验证 · DNS reply:DNS reply源验证 · TCP:TCP syn源验证 · HTTP:HTTP源验证 · SIP:SIP源验证 |
|
Status |
源验证的状态 · Enable:启用 · Disable:关闭 |
|
Bandwidth configuration |
DDoS攻击防护对象下带宽阈值的配置 |
|
Bandwidth-detection destination-ip threshold |
IP流量攻击的检测触发阈值 |
|
Bandwidth-limit destination-ip max-rate |
IP流量限速的最大带宽限制 |
|
Fingerprint configuration |
指纹防护配置信息 |
|
Type |
指纹防护策略组类型,包括以下取值: · IPv4 · IPv6 |
|
GroupID |
指纹防护策略组ID |
|
Threshold Learning |
阈值学习功能的开启状态,取值包括: · Enabled:启用 · Disabled:关闭 |
# 显示所有DDoS攻击防护对象的概要配置信息。
<Sysname> display anti-ddos zone configuration
Anti-ddos Zone Brief information
Zone ID Zone Name
2 abc
100 p1
10 p12
表1-16 display anti-ddos zone configuration命令显示信息描述表
|
字段 |
描述 |
|
Zone ID |
DDoS攻击防护对象ID |
|
Zone Name |
DDoS攻击防护对象名称 |
dns-query-flood defense source-verify命令用来开启DNS query泛洪攻击的源验证功能。
undo dns-query-flood defense source-verify命令用来关闭DNS query泛洪攻击的源验证功能。
【命令】
dns-query-flood defense source-verify
undo dns-query-flood defense source-verify
【缺省情况】
DNS query泛洪攻击的源验证功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
该功能用来保护内部网络的DNS服务器免受外部网络中非法客户端发起的DNS query泛洪攻击。若在DDoS攻击清洗设备上开启了DNS query泛洪攻击的源验证功能,则设备会对发往受攻击IP地址的DNS query报文进行源地址验证,通过源地址验证的IP地址将被加入信任IP地址列表中,之后设备将放行来自该IP地址的DNS query报文。未通过源地址验证的DNS query报文会被丢弃。
【举例】
# 在DDoS攻击防护对象视图下,开启DNS query泛洪攻击的源验证功能。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] dns-query-flood defense source-verify
【相关命令】
· display anti-ddos zone configuration
dns-query-flood detection threshold命令用来开启DNS query泛洪攻击检测功能,并配置DNS query泛洪攻击防范阈值。
undo dns-query-flood detection threshold命令用来关闭DNS query泛洪攻击检测功能。
【命令】
dns-query-flood detection threshold { bit-based value | packet-based value}
undo dns-query-flood detection threshold
【缺省情况】
DNS query泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示DNS query泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示DNS query泛洪攻击的统计方式为按照报文个数进行统计。
value:表示DNS query泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启DNS query泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行DNS query泛洪攻击检测。当它检测到向某IP地址发送DNS query报文的速率持续超过了配置的阈值时,即认为该IP地址受到了DNS query泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备:会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启DNS query泛洪攻击检测功能,并配置DNS query泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] dns-query-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
dns-reply-flood defense source-verify命令用来开启DNS reply泛洪攻击的源验证功能。
undo dns-reply-flood defense source-verify命令用来关闭DNS reply泛洪攻击的源验证功能。
【命令】
dns-reply-flood defense source-verify
undo dns-reply-flood defense source-verify
【缺省情况】
DNS reply泛洪攻击的源验证功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
本功能用来防御客户端受到的DNS reply泛洪攻击。若在DDoS攻击清洗设备上开启了DNS reply泛洪攻击的源验证功能,则设备会对发往受攻击IP地址的DNS reply 报文进行源地址验证,通过源地址验证的IP地址将被加入信任IP地址列表中,之后设备将放行来自该IP地址的DNS reply 报文。未通过源地址验证的DNS reply报文会被丢弃。
【举例】
# 在DDoS攻击防护对象视图下,开启DNS reply泛洪攻击的源验证功能。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] dns-reply-flood defense source-verify
【相关命令】
· display anti-ddos zone configuration
dns-reply-flood detection threshold命令用来开启DNS reply泛洪攻击检测功能,并配置DNS reply泛洪攻击防范阈值。
undo dns-reply-flood detection threshold命令用来关闭DNS reply泛洪攻击检测功能。
【命令】
dns-reply-flood detection threshold { bit-based value | packet-based value}
undo dns-reply-flood detection threshold
【缺省情况】
DNS reply泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示DNS reply泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示DNS reply泛洪攻击的统计方式为按照报文个数进行统计。
value:表示DNS reply泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启DNS reply泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行DNS reply泛洪攻击检测。当它检测到向某IP地址发送DNS reply报文的速率持续超过了配置的阈值时,即认为该IP地址受到了DNS reply泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备:会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启DNS reply泛洪攻击检测功能,并配置DNS reply泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] dns-reply-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
domain命令用来创建DNS报文Domain字段匹配规则。
undo domain命令用来删除DNS报文Domain字段匹配规则。
【命令】
domain { equal | include } domain-string
undo domain [ { equal | include } domain-string ]
【缺省情况】
DDoS攻击防护过滤器中不存在DNS报文Domain字段匹配规则。
【视图】
DNS过滤器视图
【缺省用户角色】
network-admin
【参数】
equal:表示DNS报文的Domain字段的内容与指定关键字完全一致。
include:表示DNS报文的Domain字段的内容包含指定关键字。
domain-string:指定Domain关键字,为2~63个字符的字符串,不区分大小写。
【使用指导】
DNS报文Domain字段匹配规则用于匹配Domain字段拥有指定关键字的DNS报文。
每个DNS过滤器中最多可以创建32条Domain字段匹配规则。DNS报文满足其中任意一条匹配规则,即被视作满足DNS报文Domain字段匹配条件。
如果执行undo domain命令时不指定任何参数,则表示删除该过滤器视图下所有的DNS报文Domain字段匹配规则。
【举例】
# 在DNS过滤器test中创建一条DNS报文Domain字段匹配规则:DNS报文的Domain字段的内容包含字符串www.abc.com。
<Sysname> system-view
[Sysname] anti-ddos filter name test type dns
[Sysname-anti-ddos-filter-dns-test] domain include www.abc.com
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
dscp命令用来创建DSCP匹配规则。
undo dscp命令用来删除DSCP匹配规则。
【命令】
dscp dscp
undo dscp [ dscp ]
【缺省情况】
DDoS攻击防护过滤器中不存在DSCP匹配规则。
【视图】
DDoS攻击防护过滤器视图
【缺省用户角色】
network-admin
【参数】
dscp:指定报文的差分服务等级,取值范围为0~63。
【使用指导】
DSCP匹配规则用于匹配拥有指定差分服务等级的报文。
每个过滤器中最多可以创建10条DSCP匹配规则。报文满足其中任意一条匹配规则,即被视作满足DSCP匹配条件。
如果执行undo dscp命令时不指定dscp参数,则表示删除该过滤器视图下所有的DSCP匹配规则。
【举例】
# 在HTTP过滤器test中创建一条DSCP匹配规则:报文的差分服务等级为20。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] dscp 20
【相关命令】
· anti-ddos filter
display anti-ddos filter statistics
fingerprint命令用来创建报文指纹匹配规则。
undo fingerprint命令用来删除报文指纹匹配规则。
【命令】
fingerprint id { offset offset-value content content [ depth depth-value ] } &<1-4>
undo fingerprint [ id ]
【缺省情况】
DDoS攻击防护过滤器中不存在报文指纹匹配规则。
【视图】
DDoS攻击防护过滤器视图
【缺省用户角色】
network-admin
【参数】
id:指定报文指纹的ID,取值范围为0~31。
offset offset-value:指定报文指纹的偏移量,取值范围为0~1500。
content content:指定报文指纹的内容,取值范围为4~16个字节,每个字节由2个十六进制数表示。
depth depth-value:指定报文指纹的深度,取值范围为1~1500,缺省值为0。
&<1-4>:表示前面的参数最多可以输入四次,即最多可以指定4段匹配内容,每段均可包括指纹的偏移量、内容和深度。
【使用指导】
报文指纹匹配规则用于匹配在指定位置范围内包含所配指纹内容的报文。每个过滤器中最多可以创建10条报文指纹匹配规则,每条规则最多可以配置4段报文指纹,设备最多可以配置512段报文指纹。
对于每段报文指纹,设备以报文头部第offset字节作为起点开始搜索:
· 若该段报文指纹中配置了depth-value参数,则设备在搜索起点后长度为depth-value的范围内搜索指纹内容。
· 若该段报文指纹中未配置depth-value参数,则设备直接将指纹内容与搜索起点后相同长度的内容对比。
若搜索到指纹内容,则称报文匹配该段指纹。
若规则中配置了多段指纹,则报文必须同时匹配这几段指纹,才算满足该匹配规则。报文满足过滤器下任意一条指纹匹配规则,即被视作满足报文指纹匹配条件。
如果执行undo fingerprint命令时不指定id参数,则表示删除该过滤器视图下所有的报文指纹匹配规则。
【举例】
# 在HTTP过滤器test中创建一条报文指纹匹配规则,规则内包含两段报文指纹:其中一段指纹的偏移量为10,内容为aabbccdd;另一段指纹的偏移量为20,内容为2233,深度为10。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] fingerprint 20 offset 10 content aabbccdd offset 20 content 22334455 depth 10
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
fingerprint命令用来创建一条指纹防护策略。
undo fingerprint命令用来删除指定的指纹防护策略。
【命令】
fingerprint policy-id protocol { icmp | other | tcp | udp } { offset offset-value length length-value [ content content ] } &<1-3> threshold threshold-value action { bandwidth-limit | drop | watch }
undo fingerprint id
【缺省情况】
不存在指纹防护策略。
【视图】
指纹防护策略组视图
【缺省用户角色】
network-admin
【参数】
policy-id:指纹防护策略ID,取值范围为0~31。
protocol { icmp | other | tcp | udp }:表示报文指纹的协议类型,包括ICMP、其他、TCP、UDP类型。
offset offset-value:表示报文指纹的偏移量,取值范围为0~254。
length length-value :表示报文指纹的长度,取值范围为1~4,单位为字节。
content content:表示报文指纹的内容,1~4个字节,每个字节由2个十六进制数表示。
&<1-3>:表示前面的参数最多可以输入三次。即每条指纹防护策略最多可以指定3段匹配内容,每段均可包括指纹的偏移量、长度和内容。
threshold threshold-value:配置指纹防护防范阈值。其中,threshold-value为每秒匹配上指定指纹的报文数目,取值范围1~10000000,单位为pps。
action:配置匹配指纹特征的报文速率超过阈值时的处理行为。
bandwidth-limit:表示限制报文速率,即匹配指纹特征的报文速率超过阈值时,后续匹配该指纹的流量将被限制为阈值速率,每秒内超出阈值的流量将会被丢弃。
drop:表示丢弃报文,即匹配指纹特征的报文速率超过阈值时,后续匹配该指纹的流量将会被丢弃。
watch:表示通过查看日志信息观察报文,即匹配指纹特征的报文速率超过阈值时,不会对匹配该指纹的后续流量采取任何处理行为。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
一条指纹防护策略中,定义了报文的特征以及触发指纹防护的阈值和设备的处理行为。对于匹配上指纹特征的报文,若报文速率超过指纹防护防范阈值,则采取相应的处理行为。
若一条指纹防护策略中,同时指定多段匹配内容,则报文必须同时匹配多段内容,才算匹配上指纹。
配置指纹防护的处理行为时,无论指定哪种动作,设备均会发送日志信息。
报文指纹中不支持配置IP option或IPv6扩展头的匹配。
每个指纹防护策略组下面最多可以配置32条指纹防护策略,对于TCP、UDP、ICMP及其他协议类型各限制为8条。
在同一条指纹防护策略中,不允许配置多段内容重复的指纹。
【举例】
# 配置IPv4类型ID为10的指纹防护策略组,并进入指纹防护策略组视图,之后配置ID为5的指纹防护策略:当匹配上指定指纹特征的报文速率超过指纹防护防范阈值2000时,采取的指纹防护的处理行为为观察。
<Sysname> system-view
[Sysname] fingerprint-group ip 10
[Sysname-fingerprint-group-ip-10] fingerprint 5 protocol tcp offset 40 length 4 content 01ab3f0c threshold 2000 action watch
【相关命令】
· bandwidth-limit destination-ip max-rate
fingerprint-group命令用来创建一个指纹防护策略组,并进入指纹防护策略组视图。如果指定的指纹防护策略组已经存在,则直接进入指纹防护策略组视图。
undo fingerprint-group命令用来删除指定的指纹防护策略组。
【命令】
fingerprint-group { ip | ipv6 } group-id
undo fingerprint-group { ip | ipv6 } group-id
【缺省情况】
不存在指纹防护策略组。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip:指纹防护策略组的类型为IPv4。
ipv6:指纹防护策略组的类型为IPv6。
group-id:指纹防护策略组ID,取值范围为0~31。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
设备最多允许配置64个指纹防护策略组,IPv4和IPv6各32个。
【举例】
# 配置IPv4类型ID为10的指纹防护策略组,并进入指纹防护策略组视图。
<Sysname> system-view
[Sysname] fingerprint-group ip 10
[Sysname-fingerprint-group-ip-10]
【相关命令】
· fingerprint
· fingerprint-group { ip | ipv6 }
· display anti-ddos zone configuration
fingerprint-group apply命令用来引用一个指纹防护策略组。
undo fingerprint-group apply命令用来删除对指定指纹防护策略组的引用。
【命令】
fingerprint-group apply { ip | ipv6 } group-id
undo fingerprint-group apply { ip | ipv6 }
【缺省情况】
未引用指纹防护策略组。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
ip:指纹防护策略组的类型为IPv4。
ipv6:指纹防护策略组的类型为IPv6。
group-id:指纹防护策略组ID,取值范围为0~31。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
一个DDoS防护对象只能引用一个IPv4指纹防护策略组和IPv6指纹防护策略组。
【举例】
# 在ID为3的DDoS防护对象视图下,引用ID为10的指纹防护策略组。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-ddos-zone-3] fingerprint-group apply ip 10
【相关命令】
· fingerprint-group { ip | ipv6 }
fragment命令用来创建分片报文匹配规则。
undo fragment命令用来删除分片报文匹配规则。
【命令】
fragment { donot | first | last | middle | non }
undo fragment [ donot | first | last | middle | non ]
【缺省情况】
DDoS攻击防护过滤器中不存在分片报文匹配规则。
【视图】
DDoS攻击防护过滤器视图
【缺省用户角色】
network-admin
【参数】
donot:表示IP头部的DF位为1的报文,即不能分片的报文。
first:表示IP头部片偏移字段为0,MF位为1的报文,即报文首个分片。
last:表示IP头部片偏移字段为非0,MF位为0的报文,即报文最后一个分片。
middle:表示IP头部片偏移字段为非0,MF位为1的报文,即报文的中间分片。
non:表示IP头部片偏移字段为0,MF位为0的报文,即非分片报文。
【使用指导】
分片报文匹配规则用于匹配满足指定分片情况的报文。
每个过滤器中最多可以创建5条分片报文匹配规则。报文满足其中任意一条匹配规则,即被视作满足分片报文匹配条件。
如果执行undo fragment命令时不指定任何参数,则表示删除该过滤器视图下所有的分片报文匹配规则。
【举例】
# 在HTTP过滤器test中创建一条匹配非分片报文的规则。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] fragment non
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
host命令用来创建HTTP报文Host字段匹配规则。
undo host命令用来删除HTTP报文Host字段匹配规则。
【命令】
host include host-name
undo host [ include host-name ]
【缺省情况】
DDoS攻击防护过滤器中不存在HTTP报文Host字段匹配规则。
【视图】
HTTP过滤器视图
【缺省用户角色】
network-admin
【参数】
include:表示HTTP报文的Host字段的内容包含指定的关键字。
host-name:指定Host关键字,为2~63个字符的字符串,不区分大小写。
【使用指导】
HTTP报文Host字段匹配规则用于匹配Host字段包含指定关键字的HTTP报文。
每个HTTP过滤器中最多可以创建32条Host字段匹配规则。HTTP报文满足其中任意一条匹配规则,即被视作满足HTTP报文Host字段匹配条件。
如果执行undo host命令时不指定任何参数,则表示删除该过滤器视图下所有的HTTP报文Host字段匹配规则。
【举例】
# 在HTTP过滤器test中创建一条Host字段匹配规则:HTTP报文的Host字段的内容包含字符串www.abc.com。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] host include www.abc.com
【相关命令】
· anti-ddos filter
display anti-ddos filter statistics
http-flood defense source-verify命令用来开启HTTP泛洪攻击的源验证功能。
undo http-flood defense source-verify命令用来关闭HTTP泛洪攻击的源验证功能。
【命令】
http-flood defense source-verify
undo http-flood defense source-verify
【缺省情况】
HTTP泛洪攻击的源验证功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
该功能用来保护内部网络的服务器免受外部网络中非法客户端发起的HTTP泛洪攻击。若在DDoS攻击清洗设备上开启了HTTP泛洪攻击的源验证功能,则设备会对发往受攻击IP地址的HTTP GET请求报文进行源地址验证,通过源地址验证的客户端将被加入信任IP地址列表中,之后设备将放行来自该IP地址的HTTP GET请求报文。未通过源地址验证的HTTP GET请求报文会被丢弃。
【举例】
# 在DDoS攻击防护对象视图下,开启HTTP泛洪攻击的源验证功能。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] http-flood defense source-verify
【相关命令】
· display anti-ddos zone configuration
http-flood detection threshold命令用来开启HTTP泛洪攻击检测功能,并配置HTTP泛洪攻击防范阈值。
undo http-flood detection threshold命令用来关闭HTTP泛洪攻击检测功能。
【命令】
http-flood detection threshold { bit-based value | packet-based value}
undo http-flood detection threshold
【缺省情况】
HTTP泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示HTTP泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示HTTP泛洪攻击的统计方式为按照报文个数进行统计。
value:表示HTTP泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启HTTP泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行HTTP泛洪攻击检测。当它检测到向某IP地址发送HTTP报文的速率持续超过了配置的阈值时,即认为该IP地址受到了HTTP泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备:会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启HTTP泛洪攻击检测功能,并配置HTTP泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] http-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
https-flood detection threshold命令用来开启HTTPS泛洪攻击检测功能,并配置HTTPS 泛洪攻击防范阈值。
undo https-flood detection threshold命令用来关闭HTTPS泛洪攻击检测功能。
【命令】
https-flood detection threshold { bit-based | packet-based } value
undo https-flood detection threshold
【缺省情况】
HTTPS泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示HTTPS泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示HTTPS泛洪攻击的统计方式为按照报文个数进行统计。
value:表示HTTPS泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启HTTPS泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行HTTPS泛洪攻击检测。
当设备检测到向某IP地址发送HTTPS报文的速率超过了配置的阈值时,即认为该IP地址受到了HTTPS泛洪攻击,然后启动相应的防范措施:
对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启HTTPS泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] https-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
icmp-flood detection threshold命令用来开启ICMP泛洪攻击检测功能,并配置ICMP泛洪攻击防范阈值。
undo icmp-flood detection threshold命令用来关闭ICMP泛洪攻击检测功能。
【命令】
icmp-flood detection threshold { bit-based value | packet-based value}
undo icmp-flood detection threshold
【缺省情况】
ICMP泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示ICMP泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示ICMP泛洪攻击的统计方式为按照报文个数进行统计。
value:表示ICMP泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启ICMP泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行ICMP泛洪攻击检测。当它检测到向某IP地址发送ICMP报文的速率持续超过了配置的阈值时,即认为该IP地址受到了ICMP泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启ICMP泛洪攻击检测功能,并配置ICMP泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] icmp-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
icmp-frag-flood detection threshold命令用来开启ICMP分片泛洪攻击检测功能,并配置ICMP分片泛洪攻击防范阈值。
undo icmp-frag-flood detection threshold命令用来关闭ICMP分片泛洪攻击检测功能。
【命令】
icmp-frag-flood detection threshold { bit-based | packet-based } value
undo icmp-frag-flood detection threshold
【缺省情况】
ICMP分片泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示ICMP分片泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示ICMP分片泛洪攻击的统计方式为按照报文个数进行统计。
value:表示ICMP分片泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启ICMP分片泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行ICMP分片泛洪攻击检测。
当设备检测到向某IP地址发送ICMP分片报文的速率超过了配置的阈值时,即认为该IP地址受到了ICMP分片泛洪攻击,启动相应的防范措施:
· 对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
· 对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启ICMP分片泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] icmp-frag-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
ip-range命令用来添加DDoS攻击防护对象的IPv4地址范围。
undo ip-range命令用来删除DDoS攻击防护对象的IPv4地址范围。
【命令】
ip-range start-ip end-ip
undo ip-range start-ip end-ip
【缺省情况】
未配置DDoS攻击防护对象的IPv4地址范围。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
start-ip:表示IPv4地址范围的起始IPv4地址。
end-ip:表示IPv4地址范围的结束IPv4地址。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
每个防护对象最多允许配置128段IPv4地址范围,每个地址范围内IPv4地址的前16位必须相同,各个DDoS攻击防护对象下的IPv4地址范围不允许重叠,设备最多支持512个前16位不同的IPv4和IPv6地址范围。
缺省DDoS攻击防护对象不支持配置本命令。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,添加DDoS攻击防护对象的IPv4地址范围为192.168.30.10~192.168.30.120。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] ip-range 192.168.30.10 192.168.30.120
【相关命令】
· display anti-ddos zone configuration
· ipv6-range
ipv6-range命令用来添加DDoS攻击防护对象的IPv6地址范围。
undo ipv6-range命令用来删除DDoS攻击防护对象的IPv6地址范围。
【命令】
ipv6-range start-ip end-ip
undo ipv6-range start-ip end-ip
【缺省情况】
未配置DDoS攻击防护对象的IPv6地址范围。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
start-ip:表示IPv6地址范围的起始IPv6地址。
end-ip:表示IPv6地址范围的结束IPv6地址。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
每个防护对象最多允许配置128段IPv6地址范围,每个地址范围内IPv6地址的前16位必须相同,各个DDoS攻击防护对象下的IPv6地址范围不允许重叠,设备最多支持512个前16位不同的IPv4和IPv6地址范围。
缺省DDoS攻击防护对象不支持配置本命令。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,添加DDoS攻击防护对象的IPv6地址范围为192:168:30::10~192:168:30::120。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] ipv6-range 192:168:30::10 192:168:30::120
【相关命令】
· display anti-ddos zone configuration
· ip-range
name命令用来配置DDoS攻击防护对象的名称。
undo name命令用来恢复缺省情况。
【命令】
name zone-name
undo name
【缺省情况】
不存在DDoS攻击防护对象的名称。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
zone-name:DDoS攻击防护对象名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。名称不能为“default”。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
不支持配置缺省DDoS攻击防护对象的名称。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,配置DDoS攻击防护对象的名称为test。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] name test
【相关命令】
· anti-ddos zone
· display anti-ddos zone configuration
opcode命令用来创建HTTP报文操作码匹配规则。
undo opcode命令用来删除HTTP报文操作码匹配规则。
【命令】
opcode { connect | delete | get | head | options | post | put | trace }
undo opcode { connect | delete | get | head | options | post | put | trace }
【缺省情况】
DDoS攻击防护过滤器中不存在HTTP报文操作码匹配规则。
【视图】
HTTP过滤器视图
【缺省用户角色】
network-admin
【参数】
conncet:表示HTTP CONNECT请求报文。
delete:表示HTTP DELETE请求报文。
get:表示HTTP GET请求报文。
head:表示HTTP HEAD请求报文。
options:表示HTTP OPTIONS请求报文。
post:表示HTTP POST请求报文。
put:表示HTTP PUT请求报文。
trace:表示HTTP TRACE请求报文。
【使用指导】
HTTP报文操作码匹配规则用于匹配指定类型的HTTP请求报文。
每个HTTP过滤器中最多可以创建8条HTTP报文操作码匹配规则。报文满足其中任意一条匹配规则,即被视作满足HTTP报文操作码匹配条件。
【举例】
# 在HTTP过滤器test中创建一条匹配HTTP PUT请求报文的规则。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] opcode put
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
packet-length命令用来创建报文长度匹配规则。
undo packet-length命令用来删除报文长度匹配规则。
【命令】
packet-length range length1 length2
undo packet-length [ range length1 length2 ]
【缺省情况】
DDoS攻击防护过滤器中不存在报文长度匹配规则。
【视图】
DDoS攻击防护过滤器视图
【缺省用户角色】
network-admin
【参数】
range:报文长度范围。
length1:指定报文长度下限,取值范围为1~1500,单位为字节。
length2:指定报文长度上限,取值范围为1~1500,单位为字节。
【使用指导】
报文长度匹配规则用于匹配报文长度在指定范围内的报文。
每个过滤器中最多可以创建10条报文长度匹配规则。报文满足其中任意一条匹配规则,即被视作满足报文长度匹配条件。
本命令所配置的报文长度上限不能大于报文长度下限。在同一个过滤器视图下多次执行本命令所配置的报文长度范围不允许重叠。
如果执行undo packet-length命令时不指定任何参数,则表示删除该过滤器视图下所有的报文长度匹配规则。
【举例】
# 在HTTP过滤器test中创建一条报文长度匹配规则:报文长度处在50~500字节范围内。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] packet-length range 50 500
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
protocol命令用来创建报文协议匹配规则。
undo protocol命令用来删除报文协议匹配规则。
【命令】
protocol protocol-number
undo protocol [ protocol-number ]
【缺省情况】
DDoS攻击防护过滤器未配置报文协议限制。
【视图】
IP过滤器视图
【缺省用户角色】
network-admin
【参数】
protocol-number:指定报文的协议号,取值范围为0~255。
【使用指导】
报文协议匹配规则用于匹配指定协议号的报文。
每个过滤器中最多可以创建10条报文协议匹配规则。IP报文满足其中任意一条匹配规则,即被视作满足报文协议匹配条件。
如果执行undo protocol命令时不指定protocol-number参数,则表示删除该过滤器视图下所有的报文协议匹配规则。
【举例】
# 在IP过滤器test中创建匹配VRRP协议(协议号112)报文的规则。
<Sysname> system-view
[Sysname] anti-ddos filter name test type ip
[Sysname-anti-ddos-filter-ip-test] protocol 112
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
qr命令用来创建DNS报文操作码匹配规则。
undo qr命令用来删除DNS报文操作码匹配规则。
【命令】
qr { query | reply }
undo qr { query | reply }
【缺省情况】
DDoS攻击防护过滤器中不存在DNS报文操作码匹配规则。
【视图】
DNS过滤器视图
【缺省用户角色】
network-admin
【参数】
query:表示DNS查询报文。
reply:表示DNS应答报文。
【使用指导】
DNS报文操作码匹配规则用来匹配指定操作码的DNS报文。
每个DNS过滤器中最多可以创建2条DNS报文操作码匹配规则。DNS报文满足其中任意一条匹配规则,即被视作满足DNS报文操作码匹配条件。
【举例】
# 在DNS过滤器test中创建用于匹配DNS应答报文的规则。
<Sysname> system-view
[Sysname] anti-ddos filter name test type dns
[Sysname-anti-ddos-filter-dns-test] qr query
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
referer命令用来创建HTTP报文Referer字段匹配规则。
undo referer命令用来删除HTTP报文Referer字段匹配规则。
【命令】
referer include referrer-string
undo referer [ include referrer-string ]
【缺省情况】
DDoS攻击防护过滤器中不存在HTTP报文Referer字段匹配规则。
【视图】
HTTP过滤器视图
【缺省用户角色】
network-admin
【参数】
include:表示HTTP报文的Referer字段的内容包含指定的关键字。
referrer-string:指定Referer关键字,为2~63个字符的字符串,不区分大小写。
【使用指导】
HTTP报文Referer字段匹配规则用于匹配Referer字段包含指定关键字的HTTP报文。
每个HTTP过滤器中最多可以创建32条对Referer字段匹配规则。HTTP报文满足其中任意一条匹配规则,即被视作满足HTTP报文Referer字段匹配条件。
如果执行undo referer命令时不指定任何参数,则表示删除该过滤器视图下所有的HTTP报文Referer字段匹配规则。
【举例】
# 在HTTP过滤器test中创建一条Referer字段匹配规则:HTTP报文的Referer字段的内容包含字符串www.abc.com。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] referer include www.abc.com
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
request-uri命令用来创建HTTP报文URI匹配规则。
undo request-uri命令用来删除HTTP报文URI匹配规则。
【命令】
request-uri include uri
undo request-uri [ include uri ]
【缺省情况】
DDoS攻击防护过滤器中不存在HTTP报文URI匹配规则。
【视图】
HTTP过滤器视图
【缺省用户角色】
network-admin
【参数】
include:表示HTTP报文的URI包含指定的关键字。
uri:指定URI关键字,为2~63个字符的字符串,不区分大小写。
【使用指导】
HTTP报文URI匹配规则用于匹配URI包含指定关键字的HTTP报文。
每个HTTP过滤器中最多可以创建32条URI匹配规则。HTTP报文满足其中任意一条匹配规则,即被视作满足HTTP报文URI匹配条件。
如果执行undo request-uri命令时不指定任何参数,则表示删除该过滤器视图下所有的URI匹配规则。
【举例】
# 在HTTP过滤器test中创建一条URI匹配规则:HTTP报文的URI中包含字符串favicon.ico。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] request-uri include favicon.ico
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
reset anti-ddos filter statistics命令用来清除指定DDoS攻击防护对象下指定过滤器的统计信息。
【命令】
reset anti-ddos filter statistics name name zone { id zone-id | default }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
name name:指定过滤器的名称,为1~63个字符的字符串,由字母、数字和下划线组成,名称必须以字母开头,字母不区分大小写。
zone:DDoS攻击防护对象。
id zone-id:指定DDoS攻击防护对象的ID,取值范围为2~1024。
default:缺省DDoS攻击防护对象。
【举例】
# 清除ID为3的DDoS攻击防护对象下过滤器test的统计计数。
<Sysname> reset anti-ddos filter statistics name test zone id 3
【相关命令】
display anti-ddos filter statistics
reset anti-ddos flow-agent statistics命令用来清空所有流量统计报文输出器的统计信息。
【命令】
reset anti-ddos flow-agent statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清空流量统计报文输出器统计信息。
<Sysname> reset anti-ddos flow-agent statistics
reset anti-ddos flow-forward statistics命令用来清空流统计报文的转发统计信息。
【命令】
(独立运行模式)
reset anti-ddos flow-forward statistics [ slot slot-number ]
(IRF模式)
reset anti-ddos flow-forward statistics [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:清空指定单板上的flow转发的统计信息,slot-number表示单板所在槽位号。如果不指定该参数,则表示清空所有单板上的flow转发的统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清空指定成员设备上指定单板的flow转发的统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,则表示清空所有成员设备上的flow转发的统计信息。(IRF模式)
【举例】
# 清空flow转发的统计信息。
<Sysname> reset anti-ddos flow-forward statistics
rst-flood detection threshold命令用来开启RST泛洪攻击检测功能,并配置RST泛洪攻击防范阈值。
undo rst-flood detection threshold命令用来关闭RST泛洪攻击检测功能。
【命令】
rst-flood detection threshold { bit-based value | packet-based value}
undo rst-flood detection threshold
【缺省情况】
RST泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示RST泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示RST泛洪攻击的统计方式为按照报文个数进行统计。
value:表示RST泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启RST泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行RST泛洪攻击检测。当它检测到向某IP地址发送RST报文的速率持续超过了配置的阈值时,即认为该IP地址受到了RST泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启RST泛洪攻击检测功能,并配置RST泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] rst-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
sip-flood defense source-verify命令用来开启SIP泛洪攻击的源验证功能。
undo sip-flood defense source-verify命令用来关闭SIP泛洪攻击的源验证功能。
【命令】
sip-flood defense source-verify
undo sip-flood defense source-verify
【缺省情况】
SIP泛洪攻击的源验证功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
该功能用来保护内部网络的服务器免受外部网络中非法客户端发起的SIP泛洪攻击。若在DDoS攻击清洗设备上开启了SIP泛洪攻击的源验证功能,则设备会对发往受攻击IP地址的SIP报文进行源地址验证,通过源地址验证的客户端将被加入信任IP地址列表中,之后设备将放行来自该IP地址的SIP报文。未通过源地址验证的SIP报文会被丢弃。
【举例】
# 在DDoS攻击防护对象视图下,开启SIP泛洪攻击的源验证功能。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] sip-flood defense source-verify
【相关命令】
· display anti-ddos zone configuration
sip-flood detection threshold命令用来开启SIP泛洪攻击检测功能,并配置SIP泛洪攻击防范阈值。
undo sip-flood detection threshold命令用来关闭SIP泛洪攻击检测功能。
【命令】
sip-flood detection threshold { bit-based value | packet-based value}
undo sip-flood detection threshold
【缺省情况】
SIP泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示SIP泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示SIP泛洪攻击的统计方式为按照报文个数进行统计。
value:表示SIP泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启SIP泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行SIP泛洪攻击检测。当它检测到向某IP地址发送SIP报文的速率持续超过了配置的阈值时,即认为该IP地址受到了SIP泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启SIP泛洪攻击检测功能,并配置SIP泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] sip-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
source-ip命令用来创建报文源IP地址匹配规则。
undo source-ip命令用来删除报文源IP地址匹配规则。
【命令】
source-ip { ip-range start-ip end-ip | ipv6-range start-ipv6 end-ipv6 }
undo source-ip [ ip-range start-ip end-ip | ipv6-range start-ipv6 end-ipv6 ]
【缺省情况】
DDoS攻击防护过滤器中不存在报文源IP地址匹配规则。
【视图】
DDoS攻击防护过滤器视图
【缺省用户角色】
network-admin
【参数】
ip-range:源IPv4地址范围。
start-ip:指定起始IPv4地址,且不能大于结束IPv4地址。
end-ip:指定结束IPv4地址。
ipv6-range:源IPv6地址范围。
start-ipv6:指定起始IPv6地址,且不能大于结束IPv6地址。
end-ipv6:指定结束IPv6地址。
【使用指导】
报文源IP地址匹配规则用于匹配源IP地址在指定范围内的报文。
每个过滤器中最多可以创建512条报文源IP地址匹配规则。报文满足其中任意一条匹配规则,即被视作满足报文源IP地址匹配条件。
在同一个过滤器视图下多次执行本命令所配置的源地址范围不允许重叠。
如果执行undo source-ip命令时不指定任何参数,则表示删除该过滤器视图下所有的报文源IP地址匹配规则。
【举例】
# 在HTTP过滤器test中创建一条报文源IP地址匹配规则:报文源IPv4地址在1.1.1.10~1.1.1.20的范围内。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] source-ip ip-range 1.1.1.10 1.1.1.20
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
source-port命令用来创建报文源端口匹配规则。
undo source-port命令用来删除报文源端口匹配规则。
【命令】
source-port range start-port end-port
undo source-port [ range start-port end-port ]
【缺省情况】
DDoS攻击防护过滤器中不存在报文源端口匹配规则。
【视图】
TCP过滤器视图
UDP过滤器视图
DNS过滤器视图
HTTP过滤器视图
SIP过滤器视图
【缺省用户角色】
network-admin
【参数】
range:源端口范围。
start-port:指定起始端口号,取值范围为1~65535,且不能大于结束端口号。
end-port:指定结束端口号,取值范围为1~65535。
【使用指导】
报文源端口匹配规则用于匹配源端口号在指定范围内的报文。
每个过滤器中最多可以创建10条报文源端口匹配规则。满足其中任意一条匹配规则,即被视作满足报文源端口匹配条件。
在同一个过滤器视图下多次执行本命令所配置的源端口号范围不允许重叠。
如果执行undo source-port命令时不指定任何参数,则表示删除该过滤器视图下所有的报文源端口匹配规则。
【举例】
# 在HTTP过滤器test中创建一条报文源端口匹配规则:报文源端口号在10~20的范围内。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] source-port range 10 20
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
syn-ack-flood detection threshold命令用来开启SYN-ACK泛洪攻击检测功能,并配置SYN-ACK泛洪攻击防范阈值。
undo syn-ack-flood detection threshold命令用来关闭SYN-ACK泛洪攻击检测功能。
【命令】
syn-ack-flood detection threshold { bit-based value | packet-based value}
undo syn-ack-flood detection threshold
【缺省情况】
SYN-ACK泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示SYN-ACK泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示SYN-ACK泛洪攻击的统计方式为按照报文个数进行统计。
value:表示SYN-ACK泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启SYN-ACK泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行SYN-ACK泛洪攻击检测。当它检测到向某IP地址发送SYN-ACK报文的速率持续超过了配置的阈值时,即认为该IP地址受到了SYN-ACK泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启SYN-ACK泛洪攻击检测功能,并配置SYN-ACK泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zoneid--3] syn-ack-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
syn-flood defense source-verify命令用来开启SYN泛洪攻击的源验证功能。
undo syn-flood defense source-verify命令用来关闭SYN泛洪攻击的源验证功能。
【命令】
syn-flood defense source-verify
undo syn-flood defense source-verify
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【缺省情况】
SYN泛洪攻击的源验证功能处于关闭状态。
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
该功能用来保护内部网络的服务器免受外部网络中非法客户端发起的SYN泛洪攻击。若在DDoS攻击清洗设备上开启了SYN泛洪攻击的源验证功能,则设备会对发往受攻击IP地址的SYN报文进行源地址验证,通过源地址验证的客户端将被加入信任IP地址列表中,之后设备将放行来自该IP地址的SYN 报文。未通过源地址验证的SYN报文会被丢弃。
【举例】
# 在DDoS攻击防护对象视图下,开启SYN泛洪攻击的源验证功能。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] syn-flood defense source-verify
【相关命令】
· display anti-ddos zone configuration
syn-flood detection threshold命令用来开启SYN泛洪攻击检测功能,并配置SYN泛洪攻击防范阈值。
undo syn-flood detection threshold命令用来关闭SYN泛洪攻击检测功能。
【命令】
syn-flood detection threshold { bit-based value | packet-based value}
undo syn-flood detection threshold
【缺省情况】
SYN泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示SYN泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示SYN泛洪攻击的统计方式为按照报文个数进行统计。
value:表示SYN泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启SYN泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行SYN泛洪攻击检测。当它检测到向某IP地址发送SYN报文的速率持续超过了配置的阈值时,即认为该IP地址受到了SYN泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启SYN泛洪攻击检测功能,并配置SYN泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] syn-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
tcp-flag命令用来创建报文TCP标记字段匹配规则。
undo tcp-flag命令用来删除报文TCP标记字段匹配规则。
【命令】
tcp-flag tcp-flag
undo tcp-flag [ tcp-flag ]
【缺省情况】
DDoS攻击防护过滤器中不存在报文TCP标记字段匹配规则。
【视图】
TCP过滤器视图
HTTP过滤器视图
【缺省用户角色】
network-admin
【参数】
tcp-flag:指定TCP标记,取值范围为0~63。
【使用指导】
报文TCP标记字段匹配规则用于匹配拥有指定TCP标记的报文。
每个过滤器中最多可以创建10条报文TCP标记字段匹配规则。报文满足其中任意一条匹配规则,即被视作满足报文TCP标记字段匹配条件。
如果执行undo tcp-flag命令时不指定tcp-flag参数,则表示删除该过滤器视图下所有的报文TCP标记字段匹配规则。
【举例】
# 在HTTP过滤器test中创建一条报文TCP标记字段匹配规则:报文的TCP标记为20。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] tcp-flag 20
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
tcp-frag-flood detection threshold命令用来开启TCP分片泛洪攻击检测功能,并配置TCP分片泛洪攻击防范阈值。
undo tcp-frag-flood detection threshold 命令用来关闭TCP分片泛洪攻击检测功能。
【命令】
tcp-frag-flood detection threshold { bit-based | packet-based } value
undo tcp-frag-flood detection threshold
【缺省情况】
TCP分片泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示TCP分片泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示TCP分片泛洪攻击的统计方式为按照报文个数进行统计。
value:表示TCP分片泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启TCP分片泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行TCP分片泛洪攻击检测。
当设备检测到向某IP地址发送TCP分片报文的速率超过了配置的阈值时,即认为该IP地址受到了TCP分片泛洪攻击,启动相应的防范措施:
· 对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
· 对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启TCP分片泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] tcp-frag-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
threshold-learning enable命令用来开启DDoS攻击防护对象的防范阈值学习功能。
undo threshold-learning enable命令用来关闭DDoS攻击防护对象的防范阈值学习功能。
【命令】
threshold-learning enable
undo threshold-learning enable
【缺省情况】
DDoS攻击防护对象的防范阈值学习功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
防范阈值学习功能根据当前网络的实际情况自动计算针对不同DDoS攻击类型的建议防范阈值。计算出的防范阈值比用户凭经验配置的防范阈值更符合当前网络环境。建议用户在不了解实际网络流量大小的情况下开启本功能。
在非缺省DDoS攻击防护对象视图下开启本功能后,设备以五分钟为周期统计访问DDoS攻击防护对象内IP地址的流量的基线值,并将统计值上报给DDoS管理中心,由DDoS管理中心进行数据分析、防范阈值计算和策略下发。
目前仅支持开启非缺省DDoS攻击防护对象的防范阈值学习功能。
【举例】
# 在ID为6的DDoS攻击防护对象下开启防范阈值学习功能。
<Sysname> system-view
[Sysname] anti-ddos zone id 6
[Sysname-anti-ddos-zone-id-6] threshold-learning enable
【相关命令】
· display anti-ddos zone configuration
ttl命令用来创建报文TTL字段匹配规则。
undo ttl命令用来删除报文TTL字段匹配规则。
【命令】
ttl ttl-value
undo ttl [ ttl-value ]
【缺省情况】
DDoS攻击防护过滤器中不存在报文TTL字段匹配规则。
【视图】
DDoS攻击防护过滤器视图
【缺省用户角色】
network-admin
【参数】
ttl-value:指定报文的TTL值,取值范围为1~255。
【使用指导】
报文TTL字段匹配规则用于匹配TTL字段为指定值的报文。
每个过滤器中最多可以创建10条报文TTL字段匹配规则。报文满足其中任意一条匹配规则,即被视作满足报文TTL字段匹配条件。
如果执行undo ttl命令时不指定ttl-value参数,则表示删除该过滤器视图下所有的报文TTL字段匹配规则。
【举例】
# 在HTTP过滤器test中创建一条报文TTL字段匹配规则:报文TTL字段的值为63。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] ttl 63
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
type命令用来创建DNS报文类型匹配规则。
undo type命令用来删除DNS报文类型匹配规则。
【命令】
type type-value
undo type [ type-value ]
【缺省情况】
DDoS攻击防护过滤器中不存在DNS报文类型匹配规则。
【视图】
DNS过滤器视图
【缺省用户角色】
network-admin
【参数】
type-value:指定DNS报文类型ID,取值范围为0~255。
【使用指导】
DNS报文类型匹配规则用来匹配指定类型的DNS报文。
每个DNS过滤器中最多可以创建10条DNS报文类型匹配规则。DNS报文满足其中任意一条匹配规则,即被视作满足DNS报文类型配条件。
如果执行undo type命令时不指定type-value参数,则表示删除该过滤器视图下所有的DNS报文类型匹配规则。
【举例】
# 在DNS过滤器test中创建用于匹配DNS type 6报文的规则。
<Sysname> system-view
[Sysname] anti-ddos filter name test type dns
[Sysname-anti-ddos-filter-dns-test] type 6
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
udp-flood detection threshold命令用来开启UDP泛洪攻击检测功能,并配置UDP泛洪攻击防范阈值。
undo udp-flood detection threshold命令用来关闭UDP泛洪攻击检测功能。
【命令】
udp-flood detection threshold { bit-based value | packet-based value}
undo udp-flood detection threshold
【缺省情况】
DNS query泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示UDP泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示UDP flood的统计方式为按照报文个数进行统计。
value:表示UDP泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启UDP泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行UDP泛洪攻击检测。当它检测到向某IP地址发送UDP报文的速率持续超过了配置的阈值时,即认为该IP地址受到了UDP泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启UDP泛洪攻击检测功能,并配置UDP泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] udp-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
udp-frag-flood detection threshold命令用来开启UDP分片泛洪攻击检测功能,并配置UDP分片泛洪攻击防范阈值。
undo upd-frag-flood detection threshold 命令用来关闭UDP分片泛洪攻击检测功能。
【命令】
udp-frag-flood detection threshold { bit-based | packet-based } value
undo udp-frag-flood detection threshold
【缺省情况】
UDP分片泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示UDP分片泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示UDP分片泛洪攻击的统计方式为按照报文个数进行统计。
value:表示UDP分片泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启UDP分片泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行UDP分片泛洪攻击检测。
当设备检测到向某IP地址发送UDP分片报文的速率超过了配置的阈值时,即认为该IP地址受到了UDP分片泛洪攻击,启动相应的防范措施:
· 对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
· 对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启UDP分片 泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] udp-frag-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
user-agent命令用来创建HTTP报文User-Agent字段匹配规则。
undo user-agent命令用来删除HTTP报文User-Agent字段匹配规则。
【命令】
user-agent include user-agent
undo user-agent [ include user-agent ]
【缺省情况】
DDoS攻击防护过滤器中不存在HTTP报文User-Agent字段匹配规则。
【视图】
HTTP过滤器视图
【缺省用户角色】
network-admin
【参数】
include:表示HTTP报文的User-Agent字段的内容包含指定的关键字。
user-agent:指定User-Agent关键字,为2~63个字符的字符串,不区分大小写。
【使用指导】
HTTP报文User-Agent字段匹配规则用于匹配User-Agent字段包含指定关键字的HTTP报文。
每个HTTP过滤器中最多可以创建32条对User-Agent字段匹配规则。HTTP报文满足其中任意一条匹配规则,即被视作满足HTTP报文User-Agent字段匹配条件。
如果执行undo user-agent命令时不指定任何参数,则表示删除该过滤器视图下所有的HTTP报文User-Agent字段匹配规则。
【举例】
# 在HTTP过滤器test中创建一条User-Agent字段匹配规则:HTTP报文的User-Agent字段包含字符串Linux。
<Sysname> system-view
[Sysname] anti-ddos filter name test type http
[Sysname-anti-ddos-filter-http-test] user-agent include Linux
【相关命令】
· anti-ddos filter
· display anti-ddos filter statistics
user-defined attack-type detection threshold命令用来开启指定自定义DDoS攻击类型的攻击检测功能,并配置指定自定义DDoS攻击类型的攻击防范阈值。
undo user-defined attack-type detection threshold命令用来关闭自定义DDoS攻击类型的攻击检测功能。
【命令】
user-defined attack-type id id detection threshold { bit-based | packet-based } value
undo user-defined attack-type [ id id ] detection threshold
【缺省情况】
自定义DDoS攻击类型的攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。
bit-based:表示指定自定义DDoS攻击类型的泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示指定自定义DDoS攻击类型的泛洪攻击的统计方式为按照报文个数进行统计。
value:表示指定自定义DDoS攻击类型的泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启指定自定义DDoS攻击类型的泛洪攻击检测功能后,设备会对收到的指定DDoS防护对象的流量进行指定自定义DDoS攻击类型的泛洪攻击检测。
当设备检测到向某IP地址发送指定自定义DDoS攻击类型的报文的速率超过了配置的阈值时,即认为该IP地址受到了指定自定义DDoS攻击类型的泛洪攻击,启动相应的防范措施:
· 对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
· 对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启ID为2的自定义DDoS攻击类型的泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] user-defined attack-type id 2 threshold packet-based 20
zone-blacklist命令用来添加DDoS攻击防护对象静态黑名单表项。
undo zone-blacklist命令用来删除DDoS攻击防护对象静态黑名单表项。
【命令】
zone-blacklist { ip source-ip-address ip-mask-length | ipv6 source-ipv6-address ipv6-mask-length }
undo zone-blacklist { all | ip source-ip-address ip-mask-length | ipv6 source-ipv6-address ipv6-mask-length }
【缺省情况】
不存在DDoS攻击防护对象静态黑名单表项。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
all:表示该DDoS攻击防护对象下所有静态黑名单表项,包括IPv4表项和IPv6表项。
ip source-ip-address ip-mask-length:静态黑名单表项的IPv4地址及掩码长度,用于匹配报文的源IPv4地址。其中ip-mask-length的取值范围为8~32。
ipv6 source-ipv6-address ipv6-mask-length:静态黑名单表项的IPv6地址及掩码长度,用于匹配报文的源IPv6地址。其中ipv6-mask-length的取值范围为8~128。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
对于匹配上DDoS攻击防护对象的报文,若其源IP地址与该防护对象下的静态黑名单表项匹配,则设备丢弃该报文。
同一个DDoS攻击防护对象下配置的静态黑名单表项与静态白名单表项的IP地址范围不能重叠。
对于IPv4表项,不可配置地址0.0.0.0和255.255.255.255;对于IPv6表项,不可配置未指定地址(::/128)以及组播地址(FF00::/8)。
每个DDoS攻击防护对象下配置的静态黑名单与静态白名单表项数目之和最多为10个,所有DDoS攻击防护对象下配置的静态黑名单与静态白名单表项数目之和最多为10240个。
【举例】
# 将1.1.1.1/24网段添加进ID为2的DDoS攻击防护对象的静态黑名单中。
<Sysname> system-view
[Sysname] anti-ddos zone id 2
[Sysname-anti-ddos-zone-id-2] zone-blacklist ip 1.1.1.1 24
【相关命令】
· zone-whitelist
· display anti-ddos blacklist zone
zone-whitelist命令用来添加DDoS攻击防护对象静态白名单表项。
undo zone-whitelist命令用来删除DDoS攻击防护对象静态白名单表项。
【命令】
zone-whitelist { ip source-ip-address ip-mask-length | ipv6 source-ipv6-address ipv6-mask-length }
undo zone-whitelist { all | ip source-ip-address ip-mask-length | ipv6 source-ipv6-address ipv6-mask-length }
【缺省情况】
不存在DDoS攻击防护对象静态白名单表项。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
all:表示该DDoS攻击防护对象下所有静态白名单表项,包括IPv4表项和IPv6表项。
ip source-ip-address ip-mask-length:DDoS攻击防护对象静态白名单表项的IPv4地址及掩码长度,用于匹配报文的源IPv4地址。其中ip-mask-length的取值范围为8~32。
ipv6 source-ipv6-address ipv6-mask-length:DDoS攻击防护对象静态白名单表项的IPv6地址及掩码长度,用于匹配报文的源IPv6地址。其中ipv6-mask-length的取值范围为8~128。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
对于匹配上DDoS攻击防护对象的报文,若其源IP地址与该防护对象下的静态白名单表项匹配,则跳过其他DDoS攻击检测与防范功能(不包括报文限速),执行后续报文处理。
同一个DDoS攻击防护对象下配置的静态黑名单表项与静态白名单表项的IP地址范围不能重叠。
对于IPv4表项,不可配置地址0.0.0.0和255.255.255.255;对于IPv6表项,不可配置未指定地址(::/128)以及组播地址(FF00::/8)。
每个DDoS攻击防护对象下配置的静态黑名单与静态白名单表项数目之和最多为10个,所有DDoS攻击防护对象下配置的静态黑名单与静态白名单表项数目之和最多为10240个。
【举例】
# 将1.1.1.1/24网段添加进ID为2的DDoS攻击防护对象的静态白名单中。
<Sysname> system-view
[Sysname] anti-ddos zone id 2
[Sysname-anti-ddos-zone-id-2] zone-whitelist ip 1.1.1.1 24
【相关命令】
· zone-blacklist
· display anti-ddos whitelist zone
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
