• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

03-安全命令参考

目录

19-攻击检测与防范命令

本章节下载 19-攻击检测与防范命令  (1.28 MB)

19-攻击检测与防范命令

  录

1 攻击检测与防范

1.1 攻击检测与防范配置命令

1.1.1 ack-flood action

1.1.2 ack-flood detect

1.1.3 ack-flood detect non-specific

1.1.4 ack-flood threshold

1.1.5 ack-flood source-threshold

1.1.6 attack-defense apply policy

1.1.7 attack-defense cpu-core action

1.1.8 attack-defense ipcar action

1.1.9 attack-defense ipcar session-rate-limit enable

1.1.10 attack-defense login block-timeout

1.1.11 attack-defense login enable

1.1.12 attack-defense login max-attempt

1.1.13 attack-defense login reauthentication-delay

1.1.14 attack-defense malformed-packet defend enable

1.1.15 attack-defense policy

1.1.16 attack-defense signature log non-aggregate

1.1.17 attack-defense top-attack-statistics enable

1.1.18 blacklist destination-ip

1.1.19 blacklist destination-ipv6

1.1.20 blacklist enable

1.1.21 blacklist global enable

1.1.22 blacklist ip

1.1.23 blacklist ipv6

1.1.24 blacklist logging enable

1.1.25 blacklist object-group

1.1.26 blacklist user

1.1.27 client-verify dns enable

1.1.28 client-verify dns-reply enable

1.1.29 client-verify http enable

1.1.30 client-verify sip enable

1.1.31 client-verify protected ip

1.1.32 client-verify protected ipv6

1.1.33 client-verify tcp enable

1.1.34 display attack-defense cpu-core flow info

1.1.35 display attack-defense flood statistics ip

1.1.36 display attack-defense flood statistics ipv6

1.1.37 display attack-defense http-slow-attack statistics ip

1.1.38 display attack-defense http-slow-attack statistics ip

1.1.39 display attack-defense http-slow-attack statistics ipv6

1.1.40 display attack-defense http-slow-attack statistics ipv6

1.1.41 display attack-defense malformed-packet statistics

1.1.42 display attack-defense policy

1.1.43 display attack-defense policy ip

1.1.44 display attack-defense policy ipv6

1.1.45 display attack-defense scan attacker ip

1.1.46 display attack-defense scan attacker ipv6

1.1.47 display attack-defense statistics security-zone

1.1.48 display attack-defense top-attack-statistics

1.1.49 display blacklist destination-ip

1.1.50 display blacklist destination-ipv6

1.1.51 display blacklist ip

1.1.52 display blacklist ipv6

1.1.53 display blacklist user

1.1.54 display client-verify protected ip

1.1.55 display client-verify protected ipv6

1.1.56 display client-verify trusted ip

1.1.57 display client-verify trusted ipv6

1.1.58 display whitelist object-group

1.1.59 dns-flood action

1.1.60 dns-flood detect

1.1.61 dns-flood detect non-specific

1.1.62 dns-flood port

1.1.63 dns-flood threshold

1.1.64 dns-flood source-threshold

1.1.65 dns-reply-flood action

1.1.66 dns-reply-flood detect

1.1.67 dns-reply-flood detect non-specific

1.1.68 dns-reply-flood port

1.1.69 dns-reply-flood threshold

1.1.70 dns-reply-flood source-threshold

1.1.71 exempt acl

1.1.72 fin-flood action

1.1.73 fin-flood detect

1.1.74 fin-flood detect non-specific

1.1.75 fin-flood threshold

1.1.76 fin-flood source-threshold

1.1.77 http-flood action

1.1.78 http-flood detect

1.1.79 http-flood detect non-specific

1.1.80 http-flood port

1.1.81 http-flood threshold

1.1.82 http-flood source-threshold

1.1.83 http-slow-attack action

1.1.84 http-slow-attack detect

1.1.85 http-slow-attack detect non-specific

1.1.86 http-slow-attack period

1.1.87 http-slow-attack port

1.1.88 http-slow-attack threshold

1.1.89 icmp-flood action

1.1.90 icmp-flood detect ip

1.1.91 icmp-flood detect non-specific

1.1.92 icmp-flood threshold

1.1.93 icmp-flood source-threshold

1.1.94 icmpv6-flood action

1.1.95 icmpv6-flood detect ipv6

1.1.96 icmpv6-flood detect non-specific

1.1.97 icmpv6-flood threshold

1.1.98 icmpv6-flood source-threshold

1.1.99 reset attack-defense malformed-packet statistics

1.1.100 reset attack-defense policy flood

1.1.101 reset attack-defense statistics security-zone

1.1.102 reset attack-defense top-attack-statistics

1.1.103 reset blacklist destination-ip

1.1.104 reset blacklist destination-ipv6

1.1.105 reset blacklist ip

1.1.106 reset blacklist ipv6

1.1.107 reset blacklist statistics

1.1.108 reset client-verify protected statistics

1.1.109 reset client-verify trusted

1.1.110 reset whitelist statistics

1.1.111 rst-flood action

1.1.112 rst-flood detect

1.1.113 rst-flood detect non-specific

1.1.114 rst-flood threshold

1.1.115 rst-flood source-threshold

1.1.116 scan detect

1.1.117 signature { large-icmp | large-icmpv6 } max-length

1.1.118 signature detect

1.1.119 signature level action

1.1.120 signature level detect

1.1.121 sip-flood action

1.1.122 sip-flood detect

1.1.123 sip-flood detect non-specific

1.1.124 sip-flood port

1.1.125 sip-flood threshold

1.1.126 sip-flood source-threshold

1.1.127 syn-ack-flood action

1.1.128 syn-ack-flood detect

1.1.129 syn-ack-flood detect non-specific

1.1.130 syn-ack-flood threshold

1.1.131 syn-ack-flood source-threshold

1.1.132 syn-flood action

1.1.133 syn-flood detect

1.1.134 syn-flood detect non-specific

1.1.135 syn-flood threshold

1.1.136 syn-flood source-threshold

1.1.137 threshold-learn apply

1.1.138 threshold-learn auto-apply enable

1.1.139 threshold-learn duration

1.1.140 threshold-learn enable

1.1.141 threshold-learn interval

1.1.142 threshold-learn mode

1.1.143 threshold-learn tolerance-value

1.1.144 udp-flood action

1.1.145 udp-flood detect

1.1.146 udp-flood detect non-specific

1.1.147 udp-flood threshold

1.1.148 udp-flood source-threshold

1.1.149 whitelist enable

1.1.150 whitelist global enable

1.1.151 whitelist object-group


1 攻击检测与防范

1.1  攻击检测与防范配置命令

1.1.1  ack-flood action

ack-flood action命令用来配置ACK flood攻击防范的全局处理行为。

undo ack-flood action命令用来恢复缺省情况。

【命令】

ack-flood action { client-verify | drop | logging } *

undo ack-flood action

【缺省情况】

不对检测到的ACK flood攻击采取任何措施。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

client-verify:表示自动将受到攻击的IP地址添加到TCP客户端验证的受保护IP列表中。若客户端验证功能已使能,则对客户端与受保护IP地址之间的连接进行代理。本参数对基于源IP统计的泛洪攻击不生效。

drop:表示丢弃攻击报文。对于基于源IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃源自攻击者的后续所有ACK报文;对于基于目的IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃向被攻击者发送的后续所有ACK报文。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

本命令中client-verify参数的使用需要和TCP客户端验证功能配合。使能了TCP客户端验证功能的安全域检测到ACK flood攻击时,若本命令中指定了client-verify参数,则设备会将受攻击的IP地址动态添加到相应客户端验证的受保护IP列表中,并对与这些IP地址建立的连接进行代理。若安全域上未使能相应的代理功能,则不会对任何连接进行代理。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中配置ACK flood攻击防范的全局处理行为是丢弃后续报文。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] ack-flood action drop

【相关命令】

·     ack-flood detect

·     ack-flood detect non-specific

·     ack-flood source-threshold

·     ack-flood threshold

·     client-verify tcp enable

1.1.2  ack-flood detect

ack-flood detect命令用来开启对指定IP地址的ACK flood攻击防范检测,并配置ACK flood攻击防范的触发阈值和对ACK flood攻击的处理行为。

undo ack-flood detect命令用来关闭对指定IP地址的ACK flood攻击防范检测。

【命令】

ack-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]

undo ack-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未对任何指定IP地址开启ACK flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为255.255.255.255或0.0.0.0。

ipv6 ipv6-address:指定要保护的IPv6地址。该IPv6地址不能为组播地址或::。

vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。

threshold threshold-value:指定ACK flood攻击防范基于目的IP统计的触发阈值。其中,threshold-value为向指定IP地址每秒发送的ACK报文数目,取值范围为1~1000000。

action:设置对ACK flood攻击的处理行为。若未指定本参数,则表示采用ACK flood攻击防范的全局处理行为。

client-verify:表示自动将被攻击的IP地址添加到TCP客户端验证的受保护IP列表中。若客户端验证功能已使能,则对客户端与受保护IP地址之间的连接进行代理。

drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有ACK报文都会被丢弃。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

none:表示不采取任何动作。

【使用指导】

使能ACK flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送ACK报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了ACK flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

每个攻击防范策略下可以同时对多个IP地址配置ACK flood攻击防范检测。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的ACK flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的ACK报文数持续达到或超过2000时,启动ACK flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] ack-flood detect ip 192.168.1.2 threshold 2000

【相关命令】

·     ack-flood action

·     ack-flood detect non-specific

·     ack-flood threshold

·     client-verify tcp enable

1.1.3  ack-flood detect non-specific

ack-flood detect non-specific命令用来对所有非受保护IP地址开启ACK flood攻击防范检测。

undo ack-flood detect non-specific命令用来关闭对所有非受保护IP地址的ACK flood攻击防范检测。

【命令】

ack-flood detect non-specific

undo ack-flood detect non-specific

【缺省情况】

未对任何非受保护IP地址开启ACK flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对所有未配置具体攻击防范策略的IP地址开启ACK flood攻击防范检测后,设备将采用全局的阈值设置(由ack-flood thresholdack-flood source-threshold命令设置)和处理行为(由ack-flood action命令配置)对这些IP地址进行保护或防御。

【举例】

# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启ACK flood攻击防范检测。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] ack-flood detect non-specific

【相关命令】

·     ack-flood action

·     ack-flood detect

·     ack-flood source-threshold

·     ack-flood threshold

1.1.4  ack-flood threshold

ack-flood threshold命令用来配置ACK flood攻击防范基于目的IP统计的全局触发阈值。

undo ack-flood threshold命令用来恢复缺省情况。

【命令】

ack-flood threshold threshold-value

undo ack-flood threshold

【缺省情况】

ACK flood攻击防范基于目的IP统计的全局触发阈值为40000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定向某IP地址每秒发送的ACK报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于目的IP地址的ACK flood攻击防范。

【使用指导】

使能ACK flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送ACK报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了ACK flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

对于未专门配置ACK flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的ACK报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。

【举例】

# 在攻击防范策略atk-policy-1中配置ACK flood攻击防范的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的ACK报文数持续达到或超过100时,启动ACK flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] ack-flood threshold 100

【相关命令】

·     ack-flood action

·     ack-flood detect

·     ack-flood detect non-specific

1.1.5  ack-flood source-threshold

ack-flood source-threshold命令用来配置ACK flood攻击防范基于源IP统计的全局触发阈值。

undo ack-flood source-threshold命令用来恢复缺省情况。

【命令】

ack-flood source-threshold threshold-value

undo ack-flood source-threshold

【缺省情况】

ACK flood攻击防范基于源IP统计的全局触发阈值为40000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定每秒接收到从某IP地址发出的ACK报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于源IP统计的ACK flood攻击防范。

【使用指导】

使能ACK flood攻击防范后,设备处于攻击检测状态,当它监测到某IP地址发送的ACK报文的速率持续达到或超过了该触发阈值时,即认为该IP地址发起了ACK flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到该IP地址发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

【举例】

# 在攻击防范策略atk-policy-1中配置ACK flood攻击防范基于源IP统计的全局触发阈值为100,即当设备监测到某IP地址每秒发送的ACK报文数持续达到或超过100时,启动ACK flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] ack-flood source-threshold 100

【相关命令】

·     ack-flood action

·     ack-flood detect

·     ack-flood detect non-specific

1.1.6  attack-defense apply policy

attack-defense apply policy命令用来在安全域上应用攻击防范策略。

undo attack-defense apply policy命令用来恢复缺省情况。

【命令】

attack-defense apply policy policy-name

undo attack-defense apply policy

【缺省情况】

安全域上未应用任何攻击防范策略。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:攻击防范策略名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。

【使用指导】

一个安全域上只能应用一个攻击防范策略(多次执行本命令,最后一次执行的命令生效),但一个攻击防范策略可应用到多个安全域上。

【举例】

# 将攻击防范策略atk-policy-1应用到安全域DMZ上。

<Sysname> system-view

[Sysname] security-zone name dmz

[Sysname-security-zone-DMZ] attack-defense apply policy atk-policy-1

【相关命令】

·     attack-defense policy

·     display attack-defense policy

1.1.7  attack-defense cpu-core action

attack-defense cpu-core action命令用来配置CPU核的攻击防范动作。

undo attack-defense cpu-core action命令用来恢复缺省情况。

【命令】

attack-defense cpu-core action { bypass | drop | isolate | per-packet-balance }

undo attack-defense cpu-core action

本命令的支持情况与设备型号有关,请以设备的实际情况为准。

系列

型号

说明

F50X0系列

F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S

不支持

F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-M、F5000-A

支持

F5000-CN系列

F5000-CN30、F5000-CN60

支持

F5000-AI系列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V系列

F5000-V30

支持

F1000-AI系列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55

不支持

F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L系列

F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L

不支持

F10X0系列

F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080

不支持

F1090

支持

F1000-V系列

F1000-V50、F1000-V70

不支持

F1000-V60、F1000-V90

支持

F1000-SASE系列

F1000-SASE100、F1000-SASE200

不支持

F1000-AK系列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9210

不支持

F1000-AK1215、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9190

支持

插卡

LSUM1FWCEAB0、LSCM1FWDSD0、LSCM2FWDSD0、LSX1FWCEA1、LSXM1FWDF1、LSUM1FWDEC0、IM-NGFWX-IV、LSQM1FWDSC0、LSWM1FWD0、LSPM6FWD、LSPM6FWDB、LSQM2FWDSC0、LSU3FWCEA0

支持

vFW系列

vFW1000、vFW2000、vFW-E-Cloud

不支持

 

【缺省情况】

CPU核的攻击防范动作为丢弃。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

bypass配置动作为bypass。当某CPU核受到攻击时,驱动会将后续上送此CPU核的报文直接打上bypass标记。拥有该标记的报文在进行DPI业务处理时会被跳过,以节省CPU资源。

drop配置动作为丢弃。当某CPU核受到攻击时,驱动会将后续上送此CPU核的报文直接丢弃。

isolate配置动作为隔离。当某CPU核受到攻击时,驱动会识别出当前消耗CPU最多的一条流量,然后将此条流量后续上送此CPU核的报文放在驱动隔离队列,降低这些报文被处理的优先级。此参数同一时间只能对一条流量起作用。

本命令的支持情况与设备型号有关,请以设备的实际情况为准。

系列

型号

说明

F50X0系列

F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S

不支持

F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-M、F5000-A

支持

F5000-CN系列

F5000-CN30、F5000-CN60

支持

F5000-AI系列

F5000-AI-15

不支持

F5000-AI-20、F5000-AI-40

支持

F5000-V系列

F5000-V30

支持

F1000-AI系列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-70、F1000-AI-80、F1000-AI-90

不支持

F1000-AI-65、F1000-AI-75

支持

F1000-L系列

F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L

不支持

F10X0系列

F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080

不支持

F1090

不支持

F1000-V系列

F1000-V50、F1000-V70、F1000-V90

不支持

F1000-V60

支持

F1000-SASE系列

F1000-SASE100、F1000-SASE200

不支持

F1000-AK系列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK9110、F1000-AK9210、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180

不支持

F1000-AK1305、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1505、F1000-AK9190

支持

插卡

LSUM1FWCEAB0、LSCM1FWDSD0、LSCM2FWDSD0、LSX1FWCEA1、LSXM1FWDF1、LSUM1FWDEC0、IM-NGFWX-IV、LSQM1FWDSC0、LSWM1FWD0、LSPM6FWD、LSPM6FWDB、LSQM2FWDSC0、LSU3FWCEA0

支持

vFW系列

vFW1000、vFW2000、vFW-E-Cloud

不支持

 

per-packet-balance配置动作为逐包负载分担。当某CPU核受到攻击时,驱动会将后续上送此CPU核的所有报文逐包负载分担给其他CPU核进行处理。

【配置指导】

当某CPU核的利用率达到攻击防范阈值(通过context-capability inbound unicast total命令配置),并且驱动公共队列已满,系统则认为该CPU核受到了攻击。这时,系统将按照配置的单核CPU攻击防范动作对报文进行相应的处理。其动作包括如下四种:

·     bypass:当某CPU核受到攻击时,此CPU核将按照CPU最高主频的百分比的能力进行处理报文,超出此处理能力的报文将被驱动打上bypass标记。拥有该标记的报文在进行DPI业务处理时会被跳过,以节省CPU资源。有关DPI的详细介绍,请参见“DPI深度安全分册和上网管理行为分册”。

·     丢弃:当某CPU核受到攻击时,此CPU核将按照CPU最高主频的百分比的能力进行处理报文,超出此处理能力的报文将被驱动直接丢弃,以达到将此CPU核利用率降低至阈值以下的目的。当某CPU核受到攻击时,此方式也会对正常业务处理产生一定的影响。

·     逐包负载分担:当某CPU核受到攻击时,此CPU核将按照CPU最高主频的百分比的能力进行处理报文,超出此处理能力的报文将会被驱动逐包负载分担给其他CPU核进行处理。此方式在一定程度上可以保证业务的正常处理,同时也有导致其他CPU核被攻击的风险。

·     隔离:当某CPU核受到攻击时,驱动会识别出当前消耗CPU最多的一条流量,然后将此条流量后续上送此CPU核的报文放在驱动隔离队列,降低这些报文被处理的优先级。当驱动公共队列中没有需要待处理的报文后,再将驱动隔离队列中的报文上送此CPU核继续处理,在一定程度上可以保证业务的正常处理。但是因为驱动公共队列中的报文仍会被分配到此CPU核进行处理,所以此种方式不利于降低此CPU核的利用率。

有关context-capability inbound unicast total命令详细介绍,请参见“虚拟化技术命令参考”中的“Context”。

【举例】

# 配置CPU核的攻击防范动作为丢弃。

<Sysname> system-view

[Sysname] attack-defense cpu-core action drop

【相关命令】

·     context-capability inbound unicast total(虚拟化技术命令参考/Context)

·     display attack-defense cpu-core flow info

1.1.8  attack-defense ipcar action

attack-defense ipcar action命令用来配置指定新建会话限速类型的限速阈值和处理行为。

undo attack-defense ipcar action命令用来将指定新建会话限速类型的配置恢复至缺省情况。

【命令】

attack-defense ipcar { destination | source } { ip | ipv6 } [ threshold threshold ] action { { drop | logging } * | none }

undo attack-defense ipcar { destination | source } { ip | ipv6 }

【缺省情况】

所有新建会话限速类型的限速阈值为5000,处理行为为不采取任何动作。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

destination:表示基于目的IP地址进行新建会话限速。

source:表示基于源IP地址进行新建会话限速。

ip:表示基于IPv4地址进行新建会话限速。

ipv6:表示基于IPv6地址进行新建会话限速。

threshold threshold:指定新建会话限速功能的限速阈值,取值范围为1~500000,单位为个/秒,缺省值为5000。

logging:配置新建会话限速功能的处理行为为发送日志。

drop:配置新建会话限速功能的处理行为为丢弃超出限速阈值的新建会话报文。

none:配置新建会话限速功能的处理行为为不采取任何动作。

【使用指导】

只有执行attack-defense ipcar session-rate-limit enable命令开启指定类型的新建会话限速功能,本命令配置的相应类型的限速阈值和处理行为才会生效。

【举例】

# 配置基于源IPv4地址的新建会话限速功能的限速阈值为5000个/秒,处理行为为丢弃报文。

<Sysname> system-view

[Sysname] attack-defense ipcar source ip threshold 5000 action drop

【相关命令】

·     attack-defense ipcar session-rate-limit enable

1.1.9  attack-defense ipcar session-rate-limit enable

attack-defense ipcar session-rate-limit enable 命令用来开启指定类型的新建会话限速功能。

undo attack-defense ipcar session-rate-limit enable 命令用来关闭指定类型的新建会话限速功能。

【命令】

attack-defense ipcar { destination | source } { ip | ipv6 } session-rate-limit enable

undo attack-defense ipcar { destination | source } { ip | ipv6 } session-rate-limit enable

【缺省情况】

所有类型的新建会话限速功能处于关闭状态。

【视图】

三层以太网接口视图

三层以太网子接口视图

三层以太网冗余接口视图

三层聚合接口视图

三层聚合子接口视图

VLAN接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

destination:表示基于目的IP地址进行新建会话限速。

source:表示基于源IP地址进行新建会话限速。

ip:表示基于IPv4地址进行新建会话限速。

ipv6:表示基于IPv6地址进行新建会话限速。

【使用指导】

新建会话限速功能包括如下四种限速类型:

·     基于会话源IPv4地址进行统计和限速。

·     基于会话源IPv6地址进行统计和限速。

·     基于会话目的IPv4地址进行统计和限速。

·     基于会话目的IPv6地址进行统计和限速。

开启本功能后,设备处于检测状态,当它监测到源自或发往某IP地址的新建会话的速率持续达到或超过了限速阈值时(该阈值可通过执行attack-defense ipcar action命令配置,且对于不同接口分别生效),随即进入攻击防范状态,并根据配置执行相应的处理行为(该处理行为可通过执行attack-defense ipcar action命令配置)。此后,当设备检测到源自或发往该IP地址的新建会话的速率低于恢复阈值(限速阈值的3/4)时,其由攻击防范状态恢复为检测状态,并停止执行处理行为。

同一个接口下,基于源IP地址的新建会话限速功能与基于目的IP地址的新建会话限速功能不能同时开启。

【举例】

# 在GigabitEthernet1/0/1接口上开启基于源IPv4地址的新建会话限速功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] attack-defense ipcar destination ip session-rate-limit enable

【相关命令】

·     attack-defense ipcar action

1.1.10  attack-defense login block-timeout

attack-defense login block-timeout命令用来配置Login用户登录失败后阻断时长。

undo attack-defense login block-timeout命令用来恢复缺省情况。

【命令】

attack-defense login block-timeout minutes

undo attack-defense login block-timeout

【缺省情况】

Login用户登录失败后默认阻断时长为60分钟。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

minutes:设备管理用户登录失败后阻断时长,取值范围为1~2880,单位为分钟。

【使用指导】

Login用户登录失败后,若用户的IP地址被加入黑名单,则设备将会丢弃来自该IP地址的报文,使得该用户不能在指定的阻断时长内进行登录操作。

【举例】

# 配置Login用户登录失败后阻断时长为5分钟。

<Sysname> system-view

[Sysname] attack-defense login block-timeout 5

【相关命令】

·     attack-defense login enable

·     blacklist global enable

1.1.11  attack-defense login enable

attack-defense login enable命令用来开启Login用户攻击防范功能。

undo attack-defense login enable命令用来关闭Login用户攻击防范功能。

【命令】

attack-defense login enable

undo attack-defense login enable

【缺省情况】

Login用户攻击防范功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启Login用户攻击防范功能后,如果用户登录设备连续失败的次数达到指定次数,则此用户IP将被加入黑名单,并在指定时间内不能进行登录。

将Login用户加入黑名单进行阻断的功能必须在全局黑名单过滤功能处于开启状态时才能生效。

【举例】

# 开启Login用户攻击防范功能。

<Sysname> system-view

[Sysname] attack-defense login enable

【相关命令】

·     blacklist global enable

1.1.12  attack-defense login max-attempt

attack-defense login max-attempt命令用来配置Login用户登录失败的最大次数。

undo attack-defense login max-attempt命令用来恢复缺省情况。

【命令】

attack-defense login max-attempt max-attempt

undo attack-defense login max-attempt

【缺省情况】

Login用户登录失败的最大次数为3次。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

max-attempt:用户登录连续失败的最大次数,取值为1~60。

【使用指导】

Login用户攻击防范功能处于开启状态时,如果用户登录设备连续失败的次数达到指定次数,则此用户IP地址将被加入黑名单,在全局黑名单功能开启的情况下,来自该IP地址的用户报文将被阻断指定的时长。

若用户成功登录或设备重启,用户登录失败次数会重新从零计数。

【举例】

# 配置Login用户登录失败的最大次数为5次。

<Sysname> system-view

[Sysname] attack-defense login max-attempt 5

【相关命令】

·     attack-defense login enable

1.1.13  attack-defense login reauthentication-delay

attack-defense login reauthentication-delay命令用来配置Login用户登录失败后重新进行认证的等待时长。

undo attack-defense login reauthentication-delay命令用来恢复缺省情况。

【命令】

attack-defense login reauthentication-delay seconds

undo attack-defense login reauthentication-delay

【缺省情况】

Login用户登录失败后重新进行认证不需要等待。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

seconds:设备管理用户登录失败后重新进行认证的等待时长,取值范围为4~60,单位为秒。

【使用指导】

Login用户登录失败后,若设备上配置了重新进行认证的等待时长,则系统将会延迟一定的时长之后再允许用户进行认证,可以避免设备受到字典式攻击。

Login用户延迟认证功能与Login用户攻击防范功能无关,只要配置了延迟认证等待时间,即可生效。

【举例】

# 配置Login用户登录失败后重新进行认证的等待时长为5秒钟。

<Sysname> system-view

[Sysname] attack-defense login reauthentication-delay 5

1.1.14  attack-defense malformed-packet defend enable

attack-defense malformed-packet defend enable命令用来开启畸形报文检测与防范功能。

undo attack-defense malformed-packet defend enable命令用来关闭畸形报文检测与防范功能。

【命令】

attack-defense malformed-packet defend enable

undo attack-defense malformed-packet defend enable

【缺省情况】

畸形报文检测与防范功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

畸形报文检测与防范功能用于提高单包攻击的检测与防范效率。开启该功能后,设备将提前对部分单包攻击报文进行检测和丢弃。目前设备支持对如下畸形报文进行检测和丢弃:TCP ALL flags、TCP FIN only flags、TCP Invalid flags、TCP NULL flags、TCP SYN&FIN flags、Land、Winnuke、UDP Fraggle、UDP Bomb、UDP Snork。

对于无法进行畸形报文检测的单包攻击类型,可执行signature detect命令开启相应的单包攻击检测功能。

【举例】

# 开启畸形报文检测与防范功能。

<Sysname> system-view

[Sysname] attack-defense malformed-packet defend enable

【相关命令】      

·     signature detect

1.1.15  attack-defense policy

attack-defense policy命令用来创建一个攻击防范策略,并进入攻击防范策略视图。如果指定的攻击防范策略已经存在,则直接进入攻击防范策略视图。

undo attack-defense policy命令用来删除指定的攻击防范策略。

【命令】

attack-defense policy policy-name

undo attack-defense policy policy-name

【缺省情况】

不存在任何攻击防范策略。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:攻击防范策略名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。

【使用指导】

注意

攻击防范的缺省触发阈值对于现网环境而言可能过小,这会导致用户上网慢或者网页打不开等情况,请根据实际网络环境配置合理的触发阈值。

 

【举例】

# 创建攻击防范策略atk-policy-1,并进入攻击防范策略视图。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1]

【相关命令】

·     attack-defense apply policy

·     display attack-defense policy

1.1.16  attack-defense signature log non-aggregate

attack-defense signature log non-aggregate命令用来指定对单包攻击防范日志非聚合输出。

undo attack-defense signature log non-aggregate命令用来恢复缺省情况。

【命令】

attack-defense signature log non-aggregate

undo attack-defense signature log non-aggregate

【缺省情况】

单包攻击防范的日志信息经系统聚合后再输出。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对日志进行聚合输出是指,在一定时间内,对在同一个安全域上检测到的相同攻击类型、相同攻击防范动作、相同的源/目的地址以及属于相同VPN的单包攻击的所有日志聚合成一条日志输出。通常不建议开启单包攻击防范的日志非聚合输出功能,因为在单包攻击较为频繁的情况下,它会导致大量日志信息输出,占用控制台的显示资源。

【举例】

# 开启对单包攻击防范日志的非聚合输出功能。

<Sysname> system-view

[Sysname] attack-defense signature log non-aggregate

【相关命令】

·     signature detect

1.1.17  attack-defense top-attack-statistics enable

attack-defense top-attack-statistics enable命令用来开启攻击排名的Top统计功能。

undo attack-defense top-attack-statistics enable命令用来关闭攻击排名的Top统计功能。

【命令】

attack-defense top-attack-statistics enable

undo attack-defense top-attack-statistics enable

【缺省情况】

攻击排名的Top统计功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

可以通过display attack-defense top-attack-statistics命令查看攻击数目的Top排名统计信息。

【举例】

# 开启攻击排名的Top统计功能。

<Sysname> system-view

[Sysname] attack-defense top-attack-statistics enable

【相关命令】

·     display attack-defense top-attack-statistics

1.1.18  blacklist destination-ip

blacklist destination-ip命令用来添加目的IPv4黑名单表项。

undo blacklist destination-ip命令用来删除指定的目的IPv4黑名单表项。

【命令】

blacklist destination-ip destination-ip-address [ vpn-instance vpn-instance-name ] [ timeout minutes ]

undo blacklist destination-ip destination-ip-address [ vpn-instance vpn-instance-name ]

【缺省情况】

不存在目的IPv4黑名单表项。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

destination-ip-address:黑名单的IPv4地址,用于匹配报文的目的IP地址。

vpn-instance vpn-instance-name:黑名单所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该黑名单属于公网。

timeout minutes:黑名单表项的老化时间。其中,minutes表示老化时间,取值范围为1~10080,单位为分钟。若未指定本参数,则表示该黑名单表项永不老化,除非用户手动将其删除。

【使用指导】

通过执行undo blacklist destination-ip命令可以删除用户手工添加的目的IPv4黑名单表项,动态生成的目的IPv4黑名单表项需通过执行reset blacklist destination-ip命令删除。指定了老化时间的目的黑名单表项不会被保存在配置文件中,且保存配置重启后会被删除。可通过执行display blacklist destination-ip命令查看当前所有生效的目的IPv4黑名单表项。

【举例】

# 将IP地址192.168.1.2加入目的IPv4黑名单,指定其老化时间为20分钟。

<Sysname> system-view

[Sysname] blacklist ip 192.168.1.2 timeout 20

【相关命令】

·     blacklist enable

·     blacklist global enable

·     display blacklist destination-ip

1.1.19  blacklist destination-ipv6

blacklist destination-ipv6命令用来添加目的IPv6黑名单表项。

undo blacklist destination-ipv6命令用来删除指定的目的IPv6黑名单表项。

【命令】

blacklist destination-ipv6 destination-ipv6-address [ vpn-instance vpn-instance-name ] [ timeout minutes ]

undo blacklist destination-ipv6 destination-ipv6-address [ vpn-instance vpn-instance-name ]

【缺省情况】

不存在目的IPv6黑名单表项。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

destination-ipv6-address:黑名单的IPv6地址,用于匹配报文的目的IPv6地址。

vpn-instance vpn-instance-name:黑名单所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该黑名单属于公网。

timeout minutes:黑名单表项的老化时间。其中,minutes表示老化时间,取值范围为1~10080,单位为分钟。若未指定本参数,则表示该黑名单表项永不老化,除非用户手动将其删除。

【使用指导】

通过执行undo blacklist destination-ipv6命令可以删除用户手工添加的目的IPv6黑名单表项,动态生成的目的IPv6黑名单表项需通过执行reset blacklist ipv6命令删除。指定了老化时间的目的黑名单表项不会被保存在配置文件中,且保存配置重启后会被删除。可通过执行display blacklist destination-ipv6命令查看当前所有生效的目的IPv6黑名单表项。

【举例】

# 将IPv6地址2012::12:25加入目的IPv6黑名单,指定其老化时间为10分钟。

<Sysname> system-view

[Sysname] blacklist ipv6 2012::12:25 timeout 10

【相关命令】

·     blacklist enable

·     blacklist global enable

·     blacklist destination-ipv6

1.1.20  blacklist enable

blacklist enable命令用来开启安全域上的黑名单过滤功能。

undo blacklist enable命令用来关闭安全域上的黑名单过滤功能。

【命令】

blacklist enable

undo blacklist enable

【缺省情况】

安全域上的黑名单过滤功能处于关闭状态。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

若全局的黑名单过滤功能处于开启状态,则所有安全域上的黑名单过滤功能均处于开启状态。若全局的黑名单过滤功能处于关闭状态,则安全域上的黑名单过滤功能由本命令决定是否开启。

【举例】

# 开启安全域Untrust上的黑名单过滤功能。

<Sysname> system-view

[Sysname] security-zone name untrust

[Sysname-security-zone-Untrust] blacklist enable

【相关命令】

·     blacklist ip

·     blacklist ipv6

1.1.21  blacklist global enable

blacklist global enable命令用来开启全局黑名单过滤功能。

undo blacklist global enable命令用来关闭全局黑名单过滤功能。

【命令】

blacklist global enable

undo blacklist global enable

【缺省情况】

全局黑名单过滤功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

使能全局黑名单过滤功能表示开启所有安全域上的黑名单过滤功能。

【举例】

# 开启全局黑名单过滤功能。

<Sysname> system-view

[Sysname] blacklist global enable

【相关命令】

·     blacklist enable

·     blacklist ip

1.1.22  blacklist ip

blacklist ip命令用来添加源IPv4黑名单表项。

undo blacklist ip命令用来删除指定的源IPv4黑名单表项。

【命令】

blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ] [ timeout minutes ]

undo blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ]

【缺省情况】

不存在源IPv4黑名单表项。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

source-ip-address:源黑名单的IPv4地址,用于匹配报文的源IP地址。

vpn-instance vpn-instance-name:源黑名单所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该源黑名单属于公网。

ds-lite-peer ds-lite-peer-address:源黑名单所属的DS-Lite隧道对端地址。其中,ds-lite-peer-address表示源黑名单的IPv4地址所属的DS-Lite隧道B4端IPv6地址。

timeout minutes:源黑名单表项的老化时间。其中,minutes表示老化时间,取值范围为1~10080,单位为分钟。若未指定本参数,则表示该源黑名单表项永不老化,除非用户手动将其删除。

【使用指导】

通过执行undo blacklist ip命令可以删除用户手工添加的源黑名单表项,动态生成的源黑名单表项需通过执行reset blacklist ip命令删除。指定了老化时间的源黑名单表项不会被保存在配置文件中,且保存配置重启后会被删除。可通过执行display blacklist ip命令查看当前所有生效的源IPv4黑名单表项。

【举例】

# 将IP地址192.168.1.2加入源黑名单,指定其老化时间为20分钟。

<Sysname> system-view

[Sysname] blacklist ip 192.168.1.2 timeout 20

【相关命令】

·     blacklist enable

·     blacklist global enable

·     display blacklist ip

1.1.23  blacklist ipv6

blacklist ipv6命令用来添加源IPv6黑名单表项。

undo blacklist ipv6命令用来删除指定的源IPv6黑名单表项。

【命令】

blacklist ipv6 source-ipv6-address [ vpn-instance vpn-instance-name ] [ timeout minutes ]

undo blacklist ipv6 source-ipv6-address [ vpn-instance vpn-instance-name ]

【缺省情况】

不存在源IPv6黑名单表项。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

source-ipv6-address:源黑名单的IPv6地址,用于匹配报文的源IP地址。

vpn-instance vpn-instance-name:源黑名单所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该源黑名单属于公网。

timeout minutes:源黑名单表项的老化时间。其中,minutes表示老化时间,取值范围为1~10080,单位为分钟。若未指定本参数,则表示该源黑名单表项永不老化,除非用户手动将其删除。

【使用指导】

通过执行undo blacklist ipv6命令可以删除用户手工添加的源黑名单表项,动态生成的源黑名单表项需通过执行reset blacklist ipv6命令删除。指定了老化时间的源黑名单表项不会被保存在配置文件中,且保存配置重启后会被删除。可通过执行display blacklist ipv6命令查看当前所有生效的源IPv6黑名单表项。

【举例】

# 将IPv6地址2012::12:25加入源黑名单,指定其老化时间为10分钟。

<Sysname> system-view

[Sysname] blacklist ipv6 2012::12:25 timeout 10

【相关命令】

·     blacklist enable

·     blacklist global enable

·     blacklist ip

1.1.24  blacklist logging enable

blacklist logging enable命令用来使能黑名单日志功能。

undo blacklist logging enable命令用来关闭黑名单日志功能。

【命令】

blacklist logging enable

undo blacklist logging enable

【缺省情况】

黑名单日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启黑名单日志功能后,当增加黑名单、删除黑名单、扫描攻击防范动态添加黑名单、黑名单老化被删除时会有相应的日志输出,日志的内容主要包括黑名单的源IP地址、DS-Lite隧道对端地址、VPN实例名称、添加或删除的原因以及老化时间等。

设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 开启黑名单日志功能,并配置一条黑名单后,输出如下日志信息。

<Sysname> system-view

[Sysname] blacklist logging enable

[Sysname] blacklist ip 192.168.100.12

%Mar 13 03:47:49:736 2013 Sysname BLS/5/BLS_ENTRY_ADD:SrcIPAddr(1003)=192.168.100.12; DSLiteTunnelPeer(1040)=--; RcvVPNInstance(1041)=--; TTL(1051)=; Reason(1052)=Configuration.

# 删除一条黑名单后,输出如下日志信息。

[Sysname] undo blacklist ip 192.168.100.12

%Mar 13 03:49:52:737 2013 Sysname BLS/5/BLS_ENTRY_DEL:SrcIPAddr(1003)=192.168.100.12; DSLiteTunnelPeer(1040)=--; RcvVPNInstance(1041)=--; Reason(1052)=Configuration.

【相关命令】

·     blacklist ip

·     blacklist ipv6

1.1.25  blacklist object-group

blacklist object-group命令通过引用地址对象组配置黑名单。

undo blacklist object-group命令用来恢复缺省情况。

【命令】

blacklist object-group object-group-name

undo blacklist object-group

【缺省情况】

未引用地址对象组。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:地址对象组名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

本命令需要和地址对象组功能配合使用,有关地址对象组功能的详细介绍,请参见“安全配置指导”中的“对象组”。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 通过引用地址对象组object-group1配置黑名单。

<Sysname> system-view

[Sysname] blacklist object-group object-group1

1.1.26  blacklist user

blacklist user命令用来添加用户黑名单表项。

undo blacklist user命令用来删除指定用户的黑名单表项。

【命令】

blacklist user user-name [ domain domain-name ] [ timeout minutes ]

undo blacklist user user-name [ domain domain-name ]

【缺省情况】

不存在用户黑名单表项。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

user-name:表示用户的名称,为1~55个字符的字符串,区分大小写。

domain domain-name:表示用户所属的身份识别域。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括字符“?”。若不指定此参数,则表示用户不属于任何身份识别域。

timeout minutes:用户黑名单表项的老化时间。其中,minutes表示老化时间,取值范围为1~1000,单位为分钟。若未指定本参数,则表示该用户黑名单表项永不老化,除非手动将其删除。

【使用指导】

用户黑名单功能需要配合用户身份识别功能使用,有关用户身份识别功能的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

【举例】

# 将用户usera加入用户黑名单,老化时间为20分钟。

<Sysname> system-view

[Sysname] blacklist user usera timeout 20

# 添加一个用户黑名单表项,用户名为usera,域名为domaina。

<Sysname> system-view

[Sysname] blacklist user usera domain domaina timeout 20

【相关命令】

·     blacklist global enable

·     display blacklist user

1.1.27  client-verify dns enable

client-verify dns enable命令用来在安全域上开启DNS客户端验证功能。

undo client-verify dns enable命令用来关闭安全域上的DNS客户端验证功能。

【命令】

client-verify dns enable

undo client-verify dns enable

【缺省情况】

安全域上的DNS客户端验证功能处于关闭状态。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

该功能一般应用在设备连接外部网络的安全域上,用来保护内部网络的DNS服务器免受外部网络中非法客户端发起的DNS flood攻击。当设备监测到某服务器受到了DNS flood攻击时,会根据配置的攻击防范处理行为启动相应的防范措施。若防范处理行为配置为对攻击报文进行客户端验证(指定参数为client-verify),则设备会将该服务器IP地址添加到受保护IP表项中(可通过display client-verify dns protected ip命令查看),对后续新建DNS query请求连接的协商报文进行合法性检查,过滤非法客户端发起的DNS query请求报文。

【举例】

# 在安全域DMZ上开启DNS客户端验证功能。

<Sysname> system-view

[Sysname] security-zone name DMZ

[Sysname-security-zone-DMZ] client-verify dns enable

【相关命令】

·     client-verify dns protected ip

·     display client-verify dns protected ip

1.1.28  client-verify dns-reply enable

client-verify dns-reply enable命令用来在安全域上开启DNS reply验证功能。

undo client-verify dns-reply enable命令用来关闭安全域上的DNS reply验证功能。

【命令】

client-verify dns-reply enable

undo client-verify dns-reply enable

【缺省情况】

安全域上的DNS reply验证功能处于关闭状态。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

该功能一般应用在设备连接外部网络的安全域上,用来保护内部网络的DNS客户端免受外部网络中非法服务器发起的DNS reply flood攻击。当设备监测到某客户端受到了DNS reply flood攻击时,会根据配置的攻击防范处理行为启动相应的防范措施。若防范处理行为配置为对攻击报文进行DNS reply验证(指定参数为client-verify),则设备会将该客户端IP地址添加到受保护IP表项中(可通过display client-verify dns-reply protected ip命令查看),对后续DNS reply报文进行源探测,过滤非法的DNS reply报文。

【举例】

# 在安全域dmz上开启DNS reply验证功能。

<Sysname> system-view

[Sysname] security-zone name dmz

[Sysname-security-zone-DMZ] client-verify dns-reply enable

【相关命令】

·     client-verify dns-reply protected ip

·     display client-verify dns-reply protected ip

1.1.29  client-verify http enable

client-verify http enable命令用来在安全域上开启HTTP客户端验证功能。

undo client-verify http enable命令用来关闭安全域上的HTTP客户端验证功能。

【命令】

client-verify http enable

undo client-verify http enable

【缺省情况】

安全域上的HTTP客户端验证功能处于关闭状态。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

该功能一般应用在设备连接外部网络的安全域上,用来保护内部网络的服务器免受外部网络中非法客户端发起的HTTP flood攻击。当设备监测到某服务器受到了HTTP flood攻击时,会根据配置的攻击防范处理行为启动相应的防范措施。若防范处理行为配置为对攻击报文进行客户端验证(指定参数为client-verify),则设备会将该服务器IP地址添加到受保护IP表项中(可通过display client-verify http protected ip命令查看),对后续新建HTTP get请求连接的协商报文进行合法性检查,过滤非法客户端发起的HTTP get请求报文。

【举例】

# 在安全域DMZ上开启HTTP客户端验证功能。

<Sysname> system-view

[Sysname] security-zone name DMZ

[Sysname- security-zone-DMZ] client-verify http enable

【相关命令】

·     client-verify http protected ip

·     display client-verify http protected ip

1.1.30  client-verify sip enable

client-verify sip enable命令用来在安全域上开启SIP客户端验证功能。

undo client-verify sip enable命令用来关闭安全域上的SIP客户端验证功能。

【命令】

client-verify sip enable

undo client-verify sip enable

【缺省情况】

安全域上的SIP客户端验证功能处于关闭状态。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

该功能一般应用在设备连接外部网络的安全域上,用来保护内部网络的DNS服务器免受外部网络中非法客户端发起的SIP flood攻击。当设备监测到某IP地址受到了SIP flood攻击时,会根据配置的攻击防范处理行为启动相应的防范措施。若防范处理行为配置为对攻击报文进行客户端验证(指定参数为client-verify),则设备会将该服务器IP地址添加到受保护IP表项中(可通过display client-verify sip protected ip命令查看),对后续新建SIP INVITE请求报文进行合法性检查,过滤非法客户端发起的SIP INVITE请求报文。

【举例】

# 在安全域DMZ上开启SIP客户端验证功能。

<Sysname> system-view

[Sysname] security-zone name DMZ

[Sysname-security-zone-DMZ] client-verify sip enable

【相关命令】

·     client-verify sip protected ip

·     display client-verify sip protected ip

1.1.31  client-verify protected ip

client-verify protected ip命令用来配置IPv4类型客户端验证的受保护IP地址。

undo client-verify protected ip命令用来删除指定的受保护IP地址。

【命令】

client-verify { dns | dns-reply | http | sip | tcp } protected ip destination-ip-address [ vpn-instance vpn-instance-name ] [ port port-number ]

undo client-verify { dns | dns-reply | http | sip | tcp } protected ip destination-ip-address [ vpn-instance vpn-instance-name ] [ port port-number ]

【缺省情况】

不存在任何IPv4类型客户端验证受保护IP地址,即客户端验证功能未保护任何IPv4地址。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

dns:指定DNS客户端验证功能。

dns-reply:指定DNS reply验证功能。

http:指定HTTP客户端验证功能。

sip:指定SIP客户端验证功能。

tcp:指定TCP客户端验证功能。

destination-ip-address:指定受客户端验证保护的IPv4地址,即会对向该目的地址发送的连接请求进行代理。

vpn-instance vpn-instance-name:受客户端验证保护的IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该受保护IP地址属于公网。

port port-number:指定受客户端验证保护的端口号,取值范围为1~65535。若未指定本参数,对于DNS客户端验证的受保护IP,则表示对端口53的DNS query连接请求做代理;对于DNS reply验证的受保护IP,则表示对端口53的DNS reply连接请求做代理;对于HTTP客户端验证的受保护IP,则表示对端口80的HTTP GET连接请求做代理;对于SIP客户端验证的受保护IP,则表示对端口5060的SIP INVITE连接请求做代理;对于TCP客户端验证的受保护IP,则表示对所有端口的TCP连接请求做代理。

【使用指导】

可通过多次执行本命令添加多个IPv4类型客户端验证受保护IP地址。

【举例】

# 配置一个TCP客户端验证受保护IPv4地址为2.2.2.5、受保护端口号为25。

<Sysname> system-view

[Sysname] client-verify tcp protected ip 2.2.2.5 port 25

# 配置一个DNS客户端验证受保护IPv4地址为2.2.2.5、受保护端口号为50。

<Sysname> system-view

[Sysname] client-verify dns protected ip 2.2.2.5 port 50

【相关命令】

·     display client-verify protected ip

1.1.32  client-verify protected ipv6

client-verify protected ipv6命令用来配置IPv6类型客户端验证的受保护IP地址。

undo client-verify protected ipv6命令用来删除指定的受保护IP地址。

【命令】

client-verify { dns | dns-reply | http | sip | tcp } protected ipv6 destination-ipv6-address [ vpn-instance vpn-instance-name ] [ port port-number ]

undo client-verify { dns | dns-reply | http | sip | tcp } protected ipv6 destination-ipv6-address [ vpn-instance vpn-instance-name ] [ port port-number ]

【缺省情况】

不存在任何IPv6类型客户端验证受保护IP地址,即客户端验证功能未保护任何IPv6地址。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

dns:指定DNS客户端验证功能。

dns-reply:指定DNS reply验证功能。

http:指定HTTP客户端验证功能。

sip:指定SIP客户端验证功能。

tcp:指定TCP客户端验证功能。

destination-ipv6-address:指定受客户端验证保护的IPv6地址,即会对向该目的地址发送的连接请求进行代理。对于受TCP客户端验证保护的IPv6地址,发送的是TCP连接请求;对于受DNS客户端验证保护的IPv6地址,发送的是DNS query请求;对于受HTTP客户端验证保护的IPv6地址,发送的是HTTP get连接请求。

vpn-instance vpn-instance-name:受客户端验证保护的IPv6地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该受保护IP地址属于公网。

port port-number:指定受客户端验证保护的端口号,取值范围为1~65535。若未指定本参数,对于DNS客户端验证的受保护IP,则表示对端口53的DNS query连接请求做代理;对于DNS reply验证的受保护IP,则表示对端口53的DNS reply连接请求做代理;对于HTTP客户端验证的受保护IP,则表示对端口80的HTTP GET连接请求做代理;对于SIP客户端验证的受保护IP,则表示对端口5060的SIP INVITE连接请求做代理;对于TCP客户端验证的受保护IP,则表示对所有端口的TCP连接请求做代理。

【使用指导】

可通过多次执行本命令添加多个IPv6类型客户端验证受保护IP地址。

【举例】

# 配置一个TCP客户端验证受保护IPv6地址为2013::12、受保护端口号为23。

<Sysname> system-view

[Sysname] client-verify tcp protected ipv6 2013::12 port 23

# 配置一个HTTP客户端验证受保护IPv6地址为2013::12。

<Sysname> system-view

[Sysname] client-verify http protected ipv6 2013::12

【相关命令】

·     display client-verify protected ipv6

1.1.33  client-verify tcp enable

client-verify tcp enable命令用来在安全域上开启TCP客户端验证功能。

undo client-verify tcp enable命令用来关闭安全域上的TCP客户端验证功能。

【命令】

client-verify tcp enable [ mode { syn-cookie | safe-reset } ]

undo client-verify tcp enable

【缺省情况】

安全域上的TCP客户端验证功能处于关闭状态。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【参数】

mode:指定TCP客户端验证的工作模式。不指定该参数时,则表示工作模式为syn-cookie

syn-cookie:指定TCP客户端验证的工作模式为syn-cookie,即开启TCP客户端验证双向代理。

safe-reset:指定TCP客户端验证的工作模式为safe-reset,即开启TCP客户端验证单向代理。

【使用指导】

该功能一般应用在设备连接外部网络的安全域上,用来保护内部网络的服务器免受外部网络中非法客户端发起的SYN flood、SYN-ACK flood、RST flood、FIN flood、ACK flood攻击。当设备监测到某服务器受到了SYN flood、SYN-ACK flood、RST flood、FIN flood、ACK flood攻击时,会根据配置的攻击防范处理行为启动相应的防范措施。若防范处理行为配置为对攻击报文进行客户端验证(指定参数为client-verify),则设备会将该服务器IP地址添加到受保护IP表项中(可通过display client-verify tcp protected ip命令查看),并按照指定的单向或双向工作模式,对后续新建TCP连接的协商报文进行合法性检查,过滤非法客户端发起的TCP连接报文。TCP客户端验证功能支持两种代理模式:

·     单向代理模式(safe-reset):是指仅对TCP连接的正向报文进行处理。

·     双向代理模式(syn-cookie):是指对TCP连接的正向和反向报文都进行处理。

用户可以根据实际的组网情况选择不同的代理模式。若从客户端发出的报文经过使能了TCP客户端验证功能的设备时,而从服务器端发出的报文不经过该设备,此时只能使用单向代理模式;从客户端发出的报文经和从服务器端发出的报文都经过使能了TCP客户端验证功能的设备时,此时可以使用单向代理模式,也可以使用双向代理模式;代理只适合在入安全域上使能,否则无法建立正常连接。

【举例】

# 在安全域DMZ上开启TCP客户端验证功能,并指定工作模式为单向代理。

<Sysname> system-view

[Sysname] security-zone name dmz

[Sysname-security-zone-DMZ] client-verify tcp enable mode safe-reset

【相关命令】

·     client-verify tcp protected ip

·     display client-verify tcp protected ip

1.1.34  display attack-defense cpu-core flow info

display attack-defense cpu-core flow info命令用来显示CPU核受到攻击流的相关信息。

【命令】

display attack-defense cpu-core flow info slot slot-number

本命令的支持情况与设备型号有关,请以设备的实际情况为准。

系列

型号

说明

F50X0系列

F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S

不支持

F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-M、F5000-A

支持

F5000-CN系列

F5000-CN30、F5000-CN60

支持

F5000-AI系列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V系列

F5000-V30

支持

F1000-AI系列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55

不支持

F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L系列

F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L

不支持

F10X0系列

F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080

不支持

F1090

支持

F1000-V系列

F1000-V50、F1000-V70

不支持

F1000-V60、F1000-V90

支持

F1000-SASE系列

F1000-SASE100、F1000-SASE200

不支持

F1000-AK系列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9210

不支持

F1000-AK1215、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9190

支持

插卡

LSUM1FWCEAB0、LSCM1FWDSD0、LSCM2FWDSD0、LSX1FWCEA1、LSXM1FWDF1、LSUM1FWDEC0、IM-NGFWX-IV、LSQM1FWDSC0、LSWM1FWD0、LSPM6FWD、LSPM6FWDB、LSQM2FWDSC0、LSU3FWCEA0

支持

vFW系列

vFW1000、vFW2000、vFW-E-Cloud

不支持

 

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。

【举例】

# 显示Slot 2,CPU 1上CPU核受到攻击流的相关信息。

<Sysname> display attack-defense cpu-core flow info slot 2 cpu 1

Is Hardware Buffer Full: Full

TimeStamp: 2018-09-19 08:59:07

CPU ID: 10

SMAC: 02:1c:2b:3c:4d:5f DMAC: 0a:bc:2c:3d:4f:5e

VLAN ID: 0 Interface: GiabitEthernet1/0/1

SIP: 1.1.1.1 DIP: 2.2.2.2

Pro: 17

SPort: 1223 DPort: 2668

CPU Usage: 60% IfIsolate: true

 

SMAC: 03:11:22:33:44:55 DMAC: 04:aa:bb:cc:dd:5e

VLAN ID: 0 Interface: GiabitEthernet1/0/1

SIP: 1::1 DIP: 2::2

Pro: 132

CPU Usage: 40% IfIsolate: false

 

TimeStamp: 2018-09-19 08:59:07

CPU ID: 12

SMAC: 02:1c:2b:3c:4d:5f DMAC: 0a:bc:2c:3d:4f:5e

VLAN ID: 0 Interface: GiabitEthernet1/0/1

SIP: 1.1.1.1 DIP: 2.2.2.2

Pro: 17

SPort: 1223 DPort: 2668

CPU Usage: 70% IfIsolate: false

 

SMAC: 03:11:22:33:44:55 DMAC: 04:aa:bb:cc:dd:5e

VLAN ID: 0 Interface: GiabitEthernet1/0/1

SIP: 1::1 DIP: 2::2

Pro: 132

CPU Usage: 30% IfIsolate: false

表1-1 display core-attack flow info 命令显示信息描述表

字段

描述

Is Hardware Buffer Full

驱动公共硬件队列是否已满,其取值包括如下取值为:

·     Full:表示已满

·     Free:表示没有丢包

Time

当前信息收集结束的时间

CPU ID

流量上送的CPU核的ID

SMAC

攻击流的源MAC地址

DMAC

攻击流的目的MAC地址

VLAN ID

攻击流的VLAN ID

Interface

攻击流的入接口

SIP

攻击流的源IP地址

DIP

攻击流的目的IP地址

Pro

攻击流的协议类型

SPort

攻击流源端口(只有TCP/UDP协议支持显示端口)

DPort

攻击流目的端口(只有TCP/UDP协议支持显示端口)

CPU Usage

当前的攻击流所消耗CPU的百分比

IfIsolate

隔离表项是否成功下发硬件,其取值包括如下:

·     True:表示下发成功

·     False:表示下发失败

 

【相关命令】

·     attack-defense cpu-core action

1.1.35  display attack-defense flood statistics ip

display attack-defense flood statistics ip命令用来显示IPv4 flood攻击防范统计信息。

【命令】

display attack-defense { ack-flood | dns-flood | dns-reply-flood | fin-flood | flood | icmp-flood | rst-flood | sip-flood | syn-flood | syn-ack-flood | udp-flood } statistics ip [ ip-address [ vpn vpn-instance-name ] ] [ security-zone zone-name ] [ slot slot-number ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ack-flood:显示ACK flood攻击防范统计信息。

dns-flood:显示DNS flood攻击防范统计信息。

dns-reply-flood:显示DNS reply flood攻击防范统计信息。

fin-flood:显示FIN flood攻击防范统计信息。

flood:显示所有类型的IPv4 flood攻击防范统计信息。

http-flood:显示HTTP flood攻击防范统计信息。

icmp-flood:显示ICMP flood攻击防范统计信息。

rst-flood:显示RST flood攻击防范统计信息。

sip-flood:显示SIP flood攻击防范统计信息。

syn-ack-flood:显示SYN-ACK flood攻击防范统计信息。

syn-flood:显示SYN flood攻击防范统计信息。

udp-flood:显示UDP flood攻击防范统计信息。

ip-address:显示指定目的IPv4地址的flood攻击防范统计信息。若未指定本参数,则显示所有目的IPv4地址的flood攻击防范统计信息。

vpn vpn-instance-name:指定IPv4地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该IPv4地址属于公网。

security-zone zone-name:显示指定安全域的flood攻击防范统计信息,zone-name表示安全域名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。

slot slot-number:显示指定成员设备上的flood攻击防范统计信息,slot-number表示设备在IRF中的成员编号。若未指定本参数,则表示显示所有成员设备上的flood攻击防范统计信息。

count:仅显示符合指定条件的被进行flood攻击检测的IPv4地址数目。

【使用指导】

由于flood攻击不关心源地址,因此本命令显示的是对指定目的IPv4地址的攻击防范统计信息。

【举例】

# 显示所有类型的IPv4 flood攻击防范统计信息。

<Sysname> display attack-defense flood statistics ip

Slot 1:

Dest IP         VPN         Detected on  Detect type   State    PPS    Dropped

201.55.7.45     --          Trust1       SYN-ACK-FLOOD Normal   1000   111111111

192.168.11.5    --          Trust2       ACK-FLOOD     Normal   1000   222222222

Src IP          VPN         Detected on  Detect type   State    PPS    Dropped

10.118.21.14    --          Trust4       SIP-FLOOD     Normal   1000   265387945

Slot 2:

Dest IP         VPN         Detected on  Detect type   State    PPS    Dropped

201.55.1.10     --          Trust1       ACK-FLOOD     Normal   1000   222222222

Src IP          VPN         Detected on  Detect type   State    PPS    Dropped

192.168.100.30  --          Trust3       DNS-FLOOD     Normal   1000   333333333

192.168.100.66  --          Trust4       SYN-ACK-FLOOD Normal   1000   165467998

# 显示所有类型的flood攻击检测的IPv4地址数目。

<Sysname> display attack-defense flood statistics ip count

Slot 1:

Totally 2 flood destination entries.

Totally 1 flood source entries.

Slot 2:

Totally 1 flood destination entries.

Totally 2 flood source entries.

表1-2 display attack-defense flood statistics ip命令显示信息描述表

字段

描述

Dest IP

被检测的目的IPv4地址

Src IP

被检测的源IPv4地址

VPN

目的IPv4地址所属的MPLS L3VPN实例名称,属于公网时显示为“--”

Detect type

检测的flood攻击类型,包括:

·     ACK flood

·     DNS flood

·     DNS reply flood

·     FIN flood

·     ICMP flood

·     ICMPv6 flood

·     SYN flood

·     SYN-ACK flood

·     UDP flood

·     RST flood

·     HTTP flood

·     SIP flood

Detected on

进行攻击检测的位置

State

安全域是否处于攻击状态,可包括以下取值:

·     Attacked:受攻击状态

·     Normal:正常状态(当前并未受到攻击)

PPS

指定的目的IPv4地址收到报文的速率(单位为报文每秒)

Dropped

安全域丢弃的flood攻击报文数目

Totally 2 flood destination entries

被检测的IPv4目的地址表项数目

Totally 2 flood source entries

被检测的IPv4源地址表项数目

 

1.1.36  display attack-defense flood statistics ipv6

display attack-defense flood statistics ipv6命令用来显示IPv6 flood攻击防范统计信息。

【命令】

display attack-defense { ack-flood | dns-flood | dns-reply-flood | fin-flood |flood | http-flood | icmpv6-flood | rst-flood | sip-flood | syn-flood | syn-ack-flood | udp-flood } statistics ipv6 [ ipv6-address [ vpn vpn-instance-name ] ] [ security-zone zone-name ] [ slot slot-number ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ack-flood:显示指定ACK flood类型统计信息。

dns-flood:显示指定DNS flood类型统计信息。

dns-reply-flood:显示DNS reply flood攻击防范统计信息。

fin-flood:显示指定FIN flood类型统计信息。

flood:显示所有类型的IPv6 flood攻击防范统计信息。

http-flood:显示HTTP flood攻击防范统计信息。

icmpv6-flood:显示指定ICMPv6 flood类型统计信息。

rst-flood:显示指定RST flood类型统计信息。

sip-flood:显示指定SIP flood类型统计信息。

syn-flood:显示指定SYN flood类型统计信息。

udp-flood:显示指定UDP flood类型统计信息。

ipv6-address:显示指定目的IPv6地址的flood攻击防范统计信息。若未指定本参数,则显示所有目的IPv6地址的flood攻击防范统计信息。

vpn vpn-instance-name:指定IPv6地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该IPv6地址属于公网。

security-zone zone-name:显示指定安全域的flood攻击防范统计信息,zone-name表示安全域名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。

slot slot-number:显示指定成员设备上的flood攻击防范统计信息,slot-number表示设备在IRF中的成员编号。若未指定本参数,则表示显示所有成员设备上的flood攻击防范统计信息。

count:仅显示符合指定条件的被进行flood攻击检测的IPv6地址数目。

【使用指导】

由于flood攻击不关心源地址,因此本命令显示的是对指定目的IPv6地址的攻击防范统计信息。

【举例】

# 显示所有类型的IPv6 flood攻击防范统计信息。

<Sysname> display attack-defense flood statistics ipv6

Slot 1:

Dest IPv6       VPN         Detected on  Detect type   State    PPS    Dropped

1::2            --          Trust1       DNS-FLOOD     Normal   1000   111111111

1::3            --          Trust2       SYN-ACK-FLOOD Normal   1000   222222222

Src IPv6        VPN         Detected on  Detect type   State    PPS    Dropped

17::14          --          Trust4       SIP-FLOOD     Normal   1000   266649789

Slot 2:

Dest IPv6       VPN         Detected on  Detect type   State    PPS    Dropped

1::2            --          Trust1       SYN-FLOOD Normal   1000   468792363

1::5            --          Trust2       ACK-FLOOD     Normal   1000   452213396

Src IPv6        VPN         Detected on  Detect type   State    PPS    Dropped

1::6            --          Trust4       DNS-FLOOD     Normal   1000   12569985

# 显示所有类型的flood攻击检测的IPv6地址数目。

<Sysname> display attack-defense flood statistics ipv6 count

Slot 1:

Totally 1 flood destination entries.

Totally 2 flood source entries

Slot 2:

Totally 2 flood destination entries.

Totally 1 flood source entries

表1-3 display attack-defense flood statistics ipv6命令显示信息描述表

字段

描述

Dest IPv6

被检测的目的IPv6地址

Src IPv6

被检测的源IPv6地址

VPN

目的IPv6地址所属的MPLS L3VPN实例名称,属于公网时显示为“--”

Detect type

检测的flood攻击类型,包括:

·     ACK flood

·     DNS flood

·     DNS reply flood

·     FIN flood

·     ICMPv6 flood

·     SYN flood

·     SYN-ACK flood

·     UDP flood

·     RST flood

·     HTTP flood

·     SIP flood

Detected on

进行攻击检测的位置

State

安全域是否处于攻击状态,可包括以下取值:

·     Attacked:受攻击状态

·     Normal:正常状态(当前并未受到攻击)

PPS

指定的目的IPv6地址收到报文的速率(单位为报文每秒)

Dropped

安全域丢弃的flood攻击报文数目

Totally 2 flood destination entries

被检测的IPv6目的地址表项数目

Totally 2 flood source entries

被检测的IPv6源地址表项数目

 

1.1.37  display attack-defense http-slow-attack statistics ip

display attack-defense http-slow-attack statistics ip命令用来显示IPv4慢速攻击防范统计信息。

【命令】

display attack-defense http-slow-attack statistics ip [ ip-address [ vpn-instance vpn-instance-name ] ] [ [ interface { interface-type interface-number | interface-name } | local ] [ slot slot-number ] ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ip-address:显示指定目的IPv4地址的慢速攻击防范统计信息。若未指定本参数,则显示指定接口或本机上的所有慢速攻击防范统计信息。

vpn-instance vpn-instance-name:指定IPv4地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该IPv4地址属于公网。

interface { interface-type interface-number | interface-name }:显示指定接口的慢速攻击防范统计信息,interface-type表示接口类型,interface-number接口编号,interface-name表示接口名称。

local:显示本机上进行检测的慢速攻击防范统计信息。

slot slot-number:显示指定成员设备上的慢速攻击防范统计信息,slot-number表示设备在IRF中的成员编号。该参数仅在指定本机或指定全局接口(例如VLAN接口、Tunnel接口)时可见。若未指定本参数,则表示显示本机上所有成员设备或指定全局接口在所有成员设备上的慢速攻击防范统计信息。

count:显示受到慢速攻击的IPv4地址的数目。

【使用指导】

若未指定interfacelocal参数,则显示所有接口以及本机上的慢速攻击防范统计信息。

【举例】

# 显示IPv4 慢速攻击防范统计信息。

<Sysname> display attack-defense http-slow-attack statistics ip

Slot 1:

IP address       VPN              Detected on           State

192.168.11.4     asd              Local                 Normal

201.55.7.44      --               GE1/0/2               Normal

Slot 2:

IP address       VPN              Detected on           State

192.168.11.4     asd              Local                 Normal

201.55.7.44      --               GE1/0/2               Normal

# 显示受到慢速攻击的IPv4地址的数目。

<Sysname> display attack-defense http-slow-attack statistics ip count

Slot 1:

Totally 2 HTTP slow attack entries.

Slot 2:

Totally 1 HTTP slow attack entries.

# 显示受到慢速攻击的IPv4地址的数目。

<Sysname> display attack-defense http-slow-attack statistics ip count

Slot 1:

Totally 2 HTTP slow attack entries.

Slot 2:

Totally 3 HTTP slow attack entries.

表1-4 display attack-defense http-slow-attack statistics ip命令显示信息描述表

字段

描述

IP address

被检测的目的IPv4地址

VPN

目的IPv4地址所属的MPLS L3VPN实例名称,属于公网时显示为“--”

Detected on

进行攻击检测的位置,包括接口和本机(Local)

State

接口或本机是否处于攻击状态,可包括以下取值:

·     Attacked:受攻击状态

·     Normal:正常状态(当前并未受到攻击)

Totally 2 http slow attack entries

被检测的IPv4源地址表项数目

 

1.1.38  display attack-defense http-slow-attack statistics ip

display attack-defense http-slow-attack statistics ip命令用来显示IPv4慢速攻击防范统计信息。

【命令】

display attack-defense http-slow-attack statistics ip [ ip-address [ vpn-instance vpn-instance-name ] ] [ security-zone zone-name ] [ slot slot-number ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ip-address:显示指定目的IPv4地址的慢速攻击防范统计信息。

vpn-instance vpn-instance-name:指定IPv4地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该IPv4地址属于公网。

security-zone zone-name:显示指定安全域的慢速攻击防范统计信息,zone-name表示安全域名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。

slot slot-number:显示指定成员设备上的慢速攻击防范统计信息,slot-number表示设备在IRF中的成员编号。若未指定本参数,则表示显示指定安全域在所有成员设备上的慢速攻击防范统计信息。

count:显示受到慢速攻击的IPv4地址的数目。

【举例】

# 显示慢速攻击防范统计信息。

<Sysname> display attack-defense http-slow-attack statistics ip

Slot 1:

IP address       VPN              Detected on           State

192.168.11.4     asd              Trust1                Normal

201.55.7.44      --               Trust4                Normal

Slot 2:

IP address       VPN              Detected on           State

192.168.11.4     asd              Trust1                Normal

201.55.7.44      --               Trust4                Normal

# 显示受到慢速攻击的IPv4地址的数目。

<Sysname> display attack-defense http-slow-attack statistics ip count

Slot 1:

Totally 2 HTTP slow attack entries.

Slot 2:

Totally 1 HTTP slow attack entries.

表1-5 display attack-defense http-slow-attack statistics ip命令显示信息描述表

字段

描述

IP address

被检测的目的IPv4地址

VPN

目的IPv4地址所属的MPLS L3VPN实例名称,属于公网时显示为“--”

Detected on

进行攻击检测的位置

State

安全域是否处于攻击状态,可包括以下取值:

·     Attacked:受攻击状态

·     Normal:正常状态(当前并未受到攻击)

Totally 2 HTTP slow attack entries

被检测的IPv4源地址表项数目

 

1.1.39  display attack-defense http-slow-attack statistics ipv6

display attack-defense http-slow-attack statistics ipv6命令用来显示IPv6慢速攻击防范统计信息。

【命令】

display attack-defense http-slow-attack statistics ipv6 [ ipv6-address [ vpn-instance vpn-instance-name ] ] [ [ interface { interface-type interface-number | interface-name } | local ] [ slot slot-number ] ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ipv6-address:显示指定目的IPv6地址的慢速攻击防范统计信息。若未指定本参数,则显示指定接口或本机上的所有慢速攻击防范统计信息。

vpn-instance vpn-instance-name:指定IPv6地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该IPv6地址属于公网。

interface { interface-type interface-number | interface-name }:显示指定接口的慢速攻击防范统计信息,interface-type表示接口类型,interface-number接口编号,interface-name表示接口名称。

local:显示本机上进行检测的慢速攻击防范统计信息。

slot slot-number:显示指定成员设备上的慢速攻击防范统计信息,slot-number表示设备在IRF中的成员编号。该参数仅在指定本机或指定全局接口(例如VLAN接口、Tunnel接口)时可见。若未指定本参数,则表示显示本机上所有成员设备或指定全局接口在所有成员设备上的慢速攻击防范统计信息。

count:显示受到慢速攻击的IPv6地址的数目。

【使用指导】

若未指定interfacelocal参数,则显示所有接口以及本机上的慢速攻击防范统计信息。

【举例】

# 显示慢速攻击防范统计信息。

<Sysname> display attack-defense http-slow-attack statistics ipv6

Slot 1:

IPv6 address     VPN              Detected on           State

1::5             asd              Local                 Normal

17::14           --               GE1/0/2               Normal

Slot 2:

IPv6 address     VPN              Detected on           State

1::5             asd              Local                 Normal

17::14           --               GE1/0/2               Normal

# 显示受到慢速攻击的IPv6地址的数目。

<Sysname> display attack-defense http-slow-attack statistics ipv6 count

Slot 1:

Totally 5 HTTP slow attack entries.

Slot 2:

Totally 3 HTTP slow attack entries.

表1-6 display attack-defense http-slow-attack statistics ipv6命令显示信息描述表

字段

描述

IPv6 address

被检测的目的IPv6地址

VPN

目的IPv6地址所属的MPLS L3VPN实例名称,属于公网时显示为“--”

Detected on

进行攻击检测的位置,包括接口和本机(Local)

State

接口或本机是否处于攻击状态,可包括以下取值:

·     Attacked:受攻击状态

·     Normal:正常状态(当前并未受到攻击)

Totally 2 HTTP slow attack entries

被检测的IPv6源地址表项数目

 

1.1.40  display attack-defense http-slow-attack statistics ipv6

display attack-defense http-slow-attack statistics ipv6命令用来显示IPv6慢速攻击防范统计信息。

【命令】

display attack-defense http-slow-attack statistics ipv6 [ ipv6-address [ vpn-instance vpn-instance-name ] ] [ security-zone zone-name ] [ slot slot-number ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ipv6-address:显示指定目的IPv6地址的慢速攻击防范统计信息。

vpn-instance vpn-instance-name:指定IPv6地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该IPv6地址属于公网。

security-zone zone-name:显示指定安全域的慢速攻击防范统计信息,zone-name表示安全域名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。

slot slot-number:显示指定成员设备上的慢速攻击防范统计信息,slot-number表示设备在IRF中的成员编号。若未指定本参数,则表示显示指定安全域在所有成员设备上的慢速攻击防范统计信息。

count:显示受到慢速攻击的IPv6地址的数目。

【举例】

# 显示慢速攻击防范统计信息。

<Sysname> display attack-defense http-slow-attack statistics ipv6

Slot 1:

IPv6 address     VPN              Detected on           State

2000::1011       asd              Trust1                Normal

1::4             --               Trust4                Normal

Slot 2:

IPv6 address     VPN              Detected on           State

2000::1011       asd              Trust1                Normal

1::4             --               Trust4                Normal

# 显示受到慢速攻击的IPv6地址的数目。

<Sysname> display attack-defense http-slow-attack statistics ipv6 count

Slot 1:

Totally 5 HTTP slow attack entries.

Slot 2:

Totally 3 HTTP slow attack entries.

表1-7 display attack-defense http-slow-attack statistics ipv6命令显示信息描述表

字段

描述

IPv6 address

被检测的目的IPv6地址

VPN

目的IPv6地址所属的MPLS L3VPN实例名称,属于公网时显示为“--”

Detected on

进行攻击检测的位置

State

安全域是否处于攻击状态,可包括以下取值:

·     Attacked:受攻击状态

·     Normal:正常状态(当前并未受到攻击)

Totally 5 HTTP slow attack entries

被检测的IPv6源地址表项数目

 

1.1.41  display attack-defense malformed-packet statistics

display attack-defense malformed-packet statistics命令用来显示畸形报文统计信息。

【命令】

display attack-defense malformed-packet statistics [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

slot slot-number:显示指定成员设备上的畸形报文统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的畸形报文统计信息。

【举例】

# 显示畸形报文统计信息。

<Sysname> display attack-defense malformed-packet statistics

Slot 1:

Malformed packets dropped: 10000

Slot 2:

Malformed packets dropped: 1000

表1-8 display attack-defense malformed-packet statistics命令显示信息描述表

字段

描述

Malformed packets dropped

丢弃的畸形报文总数

 

【相关命令】

·     reset attack-defense malformed-packet statistics

1.1.42  display attack-defense policy

display attack-defense policy用来显示攻击防范策略的配置信息。

【命令】

display attack-defense policy [ policy-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

policy-name:攻击防范策略名称,为1~31个字符的字符串,包括英文大/小写字母、数字、下划线和连字符,不区分大小写。若未指定本参数,则表示显示所有攻击防范策略的摘要信息。

【使用指导】

本命令显示的内容主要包括各类型攻击防范的使能情况、对攻击报文的处理方式和相关的阈值参数。

【举例】

# 显示指定攻击防范策略abc的配置信息。

<Sysname> display attack-defense policy abc

          Attack-defense Policy Information

--------------------------------------------------------------------------

Policy name                        : abc

Applied list                       : Trust

--------------------------------------------------------------------------

Exempt IPv4 ACL:                  : Not configured

Exempt IPv6 ACL:                  : vip

--------------------------------------------------------------------------

  Actions: CV-Client verify  BS-Block source  L-Logging  D-Drop  N-None

 

Signature attack defense configuration:

Signature name                     Defense      Level             Actions

Fragment                           Enabled      Info              L

Impossible                         Enabled      Info              L

Teardrop                           Disabled     Info              L

Tiny fragment                      Disabled     Info              L

IP option abnormal                 Disabled     Info              L

Smurf                              Disabled     Info              N

Traceroute                         Disabled     Medium            L,D

Ping of death                      Disabled     Low               L

Large ICMP                         Disabled     Medium            L,D

  Max length                       4000 bytes

Large ICMPv6                       Disabled     Low               L

  Max length                       4000 bytes

TCP invalid flags                  Disabled     medium            L,D

TCP null flag                      Disabled     Low               L

TCP all flags                      Enabled      Info              L

TCP SYN-FIN flags                  Disabled     Info              L

TCP FIN only flag                  Enabled      Info              L

TCP Land                           Disabled     Info              L

Winnuke                            Disabled     Info              L

UDP Bomb                           Disabled     Info              L

UDP Snork                          Disabled     Info              L

UDP Fraggle                        Enabled      Info              L

IP option record route             Disabled     Info              L

IP option internet timestamp       Enabled      Info              L

IP option security                 Disabled     Info              L

IP option loose source routing     Enabled      Info              L

IP option stream ID                Disabled     Info              L

IP option strict source routing    Disabled     Info              L

IP option route alert              Disabled     Info              L

ICMP echo request                  Disabled     Info              L

ICMP echo reply                    Disabled     Info              L

ICMP source quench                 Disabled     Info              L

ICMP destination unreachable       Enabled      Info              L

ICMP redirect                      Enabled      Info              L

ICMP time exceeded                 Enabled      Info              L

ICMP parameter problem             Disabled     Info              L

ICMP timestamp request             Disabled     Info              L

ICMP timestamp reply               Disabled     Info              L

ICMP information request           Disabled     Info              L

ICMP information reply             Disabled     Medium            L,D

ICMP address mask request          Disabled     Medium            L,D

ICMP address mask reply            Disabled     Medium            L,D

ICMPv6 echo request                Enabled      Medium            L,D

ICMPv6 echo reply                  Disabled     Medium            L,D

ICMPv6 group membership query      Disabled     Medium            L,D

ICMPv6 group membership report     Disabled     Medium            L,D

ICMPv6 group membership reduction  Disabled     Medium            L,D

ICMPv6 destination unreachable     Enabled      Medium            L,D

ICMPv6 time exceeded               Enabled      Medium            L,D

ICMPv6 parameter problem           Disabled     Medium            L,D

ICMPv6 packet too big              Disabled     Medium            L,D

IPv6 extension header abnormal     Disabled     Info              L

IPv6 extension header exceeded     Disabled     Info              L

  Limit                            7

 

Scan attack defense configuration:

  Preset defense:

  Defense: Disabled

  User-defined defense:

    Port scan defense: Enabled

    Port scan defense threshold: 5000 packets

    IP sweep defense: Enabled

    IP sweep defense threshold: 8000 packets

    Period: 100s

    Actions: L

 

Flood type  Global dest/src thres(pps)  Global actions Service ports  Non-specific

DNS flood         1000/1000             -              53             Disabled

DNS reply flood   1000/1000             -              -              Disabled

HTTP flood        1000/1000             80             -              Disabled

SIP flood         1000/1000             50             -              Enabled

SYN flood         1000/1000             -              -              Disabled

ACK flood         1000/1000             -              -              Disabled

SYN-ACK flood     1000/1000             -              -              Disabled

RST flood         1000/1000             -              -              Disabled

FIN flood         1000/1000             -              -              Disabled

UDP flood         1000/1000             -              -              Disabled

ICMP flood        1000/1000             -              -              Disabled

ICMPv6 flood      1000/1000             -              -              Enabled

 

Flood attack defense for protected IP addresses:

 Address                 VPN instance Flood type    Thres(pps)  Actions Ports

 1::1                    --           FIN-FLOOD     10          L,D     -

 192.168.1.1             --           SYN-ACK-FLOOD 10          -       -

 1::1                    --           FIN-FLOOD     -           L       -

 2013:2013:2013:2013:    --           DNS-FLOOD     100         L,CV    53

 2013:2013:2013:2013

 10::13:13               A0123458589  SIP-FLOOD     100         L,CV    5060

 

HTTP slow attack defense configuration:

  Non-specific: Enabled

  Global threshold:

    Alert-number: 1200000

    Content-length: 100000000

    Payload-length: 1000

    Packet-number: 1000

  Global period: 1200 seconds

  Global action: L, BS (1000)

  Ports: 80, 8000 to 8001

 

Threshold: AN-Alert number, CL-Content length, PL-Payload length, PN-Packet number

HTTP slow attack defense configuration for protected IP addresses:

Address          VPN instance  Threshold (AN/CL/PL/PN)      Period  Actions  Ports

1111:2222:3333:4 abcdefghigkl 1200000,100000000,1000,1000  1000    L,BS(10) 80

444::8888        mnopqrstuvwx

                 yz

 

表1-9 display attack-defense policy命令显示信息描述表

字段

描述

Policy name

攻击防范策略名称

Applied list

攻击防范策略应用的对象列表

Exempt IPv4 ACL

IPv4例外列表

Exempt IPv6 ACL

IPv6例外列表

Actions

攻击防范的处理行为,包括以下取值:

·     CV:启用客户端验证

·     BS:添加黑名单(老化时间,单位为分钟)

·     L:输出告警日志

·     D:丢弃报文

·     N:不采用任何处理行为

Signature attack defense configuration

单包攻击防范配置信息

Signature name

单包的类型

Defense

攻击防范的开启状态,包括以下取值:

·     Enabled:开启

·     Disabled:关闭

Level

单包攻击的级别,包括以下取值:

·     Info: 提示级别

·     low:低级别

·     medium:中级别

·     high:高级别(目前暂无实例)

Actions

单包攻击防范的处理行为,包括以下取值:

·     L:输出告警日志

·     D:丢弃报文

·     N:不采用任何处理行为

IP option record  route

IP选项record route攻击

IP option security

IP选项security攻击

IP option stream ID

IP选项stream identifier攻击

IP option internet timestamp

IP选项 internet timestamp攻击

IP option loose source routing

IP选项loose source routing攻击

IP option strict source routing

IP选项strict source routing攻击

IP option abnormal

IP选项异常攻击

IP option route alert

IP选项route alert攻击

Fragment

IP分片异常攻击

IP impossible

IP impossible攻击

Tiny fragment

IP tiny fragment攻击

Teardrop

IP teardrop攻击,又称IP overlapping fragments

Large ICMP

Large ICMP攻击

Max length

ICMP报文所允许的最大长度

Smurf

Smurf攻击

Traceroute

Traceroute攻击

Ping of death

Ping of death攻击

ICMP echo request

ICMP echo request攻击

ICMP echo reply

ICMP echo reply攻击

ICMP source quench

ICMP source quench攻击

ICMP redirect

ICMP redirect攻击

ICMP parameter problem

ICMP parameter problem攻击

ICMP timestamp request

ICMP timestamp request攻击

ICMP timestamp reply

ICMP timestamp reply攻击

ICMP information request

ICMP information request攻击

ICMP information reply

ICMP information reply攻击

ICMP address mask request

ICMP address mask request攻击

ICMP address mask reply

ICMP address mask reply攻击

ICMP destination unreachable

ICMP destination  unreachable攻击

ICMP time exceeded

ICMP time exceeded攻击

Large ICMPv6

Large ICMPv6攻击

ICMPv6 echo request

ICMPv6 echo request攻击

ICMPv6 echo reply

ICMPv6 echo reply攻击

ICMPv6 group membership query

ICMPv6 group membership query攻击

ICMPv6 group membership report

ICMPv6 group membership report攻击

ICMPv6 group membership reduction

ICMPv6 group membership reduction攻击

ICMPv6 destination unreachable

ICMPv6 destination unreachable攻击

ICMPv6 time exceeded

ICMPv6 time exceeded攻击

ICMPv6 parameter problem

ICMPv6 parameter problem攻击

ICMPv6 packet too big

ICMPv6 packet too big攻击

IPv6 extension header abnormal

IPv6扩展头异常攻击

IPv6 extension header exceeded

IPv6扩展头数目超限攻击

Limit

IPv6扩展头数目上限

Winnuke

Winnuke攻击

TCP Land

Land攻击

TCP NULL flag

TCP NULL flag攻击

TCP invalid flags

TCP invalid flags攻击

TCP all flags

TCP所有标志位均被置位攻击,又称圣诞树攻击

TCP SYN-FIN flags

TCP SYN和FIN被同时置位攻击

TCP FIN only flag

TCP 只有FIN被置位的攻击

Fraggle

Fraggle攻击,又称UDP chargen DoS attack

UDP Bomb

UDP Bomb攻击

Snork

Snork攻击

Scan attack defense configuration

扫描攻击防范配置信息

Preset defense

预定义扫描攻击防范配置信息

 

Defense

扫描攻击防范的开启状态

Level

扫描攻击的级别,包括以下取值:

·     low:低级别

·     medium:中级别

·     high:高级别

User-defined defense

用户自定义扫描攻击防范配置信息

 

Port scan defense

端口扫描攻击防范状态:

·     Enabled:开启

·     Disabled:关闭

 

Port scan defense threshold

端口扫描防范检测阈值

 

IP sweep defense

IP地址扫描攻击防范状态:

·     Enabled:开启

·     Disabled:关闭

 

IP sweep defense threshold

IP地址扫描防范检测阈值

 

Period

扫描攻击防范检测周期

 

Actions

扫描攻击防范的处理行为,包括以下取值:

·     BS:添加黑名单(老化时间,单位为分钟)

·     D:丢弃报文

·     L:输出告警日志

Flood attack defense configuration

flood攻击防范配置信息

Flood type

flood攻击类型,包括以下取值:

·     ACK flood

·     DNS flood

·     DNS reply flood

·     FIN flood

·     ICMP flood

·     ICMPv6 flood

·     SYN flood

·     SYN-ACK flood

·     UDP flood

·     RST flood

·     HTTP flood

·     SIP flood

Global dest/src thres(pps)

flood攻击防范基于目的地址检测和源地址检测的全局触发阈值,单位为每秒报文数,缺省值为1000pps

Global actions

flood攻击防范的全局处理行为,包括以下取值:

·     D:丢弃报文

·     L:输出告警日志,

·     CV:启用客户端验证

·     -:未配置

Service ports

flood攻击防范的全局检测端口号。该字段只对DNS flood攻击防范和HTTP flood攻击防范生效,对于其它flood攻击防范,显示为“-”

Non-specific

对非受保护IP地址开启SYN flood攻击防范检测的状态

Flood attack defense for protected IP addresses

对受保护IP地址的flood攻击防范配置

Address

指定的IP地址

VPN instance

所属的VPN实例名称,未配置时显示为空

Thres(pps)

攻击防范检测的触发阈值,单位为报文每秒,未配置时显示为“1000”

Actions

对指定IP地址采用的攻击防范处理行为,包括 取值:

·     CV:启用客户端验证

·     BS:添加黑名单

·     L:输出告警日志

·     D:丢弃报文

·     N:不采用任何处理行为

Ports

flood攻击防范的检测端口号。该字段只对DNS flood攻击防范和HTTP flood攻击防范生效,对于其他攻击防范,显示为“-”

HTTP slow attack defense configuration

慢速攻击防范非保护IP配置信息

Non-specific

对非受保护IP地址开启慢速攻击防范检测的状态:

·     Enabled:开启

·     Disabled:关闭

Global threshold

对非受保护IP地址配置的阈值。包括:

Alert-number:触发慢速攻击检查的HTTP并发连接数,未配置时显示为“5000”。

Content-length:Content-Length字段阈值,未配置时显示为“10000”。

Payload-length:报文实际载荷阈值,未配置时显示为“50”。

Packet-number:异常报文的防范阈值,未配置时显示为“10”。

Global period

慢速攻击防范非受保护IP地址的检测周期

Global action

慢速攻击防范非受保护IP地址的处理动作,包括以下取值:

·     BS:添加黑名单(老化时间,单位为分钟)

·     L:输出告警日志

Ports

慢速攻击防范非受保护IP地址的检测端口。未配置时显示为“80”

HTTP slow attack defense configuration for protected IP addresses

对受保护IP地址的慢速攻击防范配置

Address

慢速攻击防范指定的IP地址

VPN instance

慢速攻击防范指定的VPN实例名称,未配置时显示为空

Threshold (AN/CL/PL/PN)

对受保护IP地址配置的阈值,其中AN-Alert number,CL-Content length,PL-Payload length,PN-Packet number。

四项阈值均未配置时,显示为非受保护IP的对应阈值。如部分配置四项阈值,则其余未配置的阈值显示为非受保护IP对应该阈值的缺省值。

Period

慢速攻击防范受保护IP地址的检测周期。未配置时,显示为非受保护IP的检测周期。

Actions

慢速攻击防范受保护IP地址采用的处理动作,包括以下取值:

·     BS:添加黑名单(老化时间,单位为分钟)

·     L:输出告警日志

未配置时,显示为非受保护IP的处理动作。

Ports

慢速攻击防范受保护IP的检测端口。未配置时显示为非受保护IP的检测端口。

 

# 显示所有攻击防范策略的概要配置信息。

<Sysname> display attack-defense policy

           Attack-defense Policy Brief Information

------------------------------------------------------------

Policy Name                        Applied list

Atk-policy-1                       Trust1

P2                                 Trust2

P123                               Trust3

表1-10 display attack-defense policy命令显示信息描述表

字段

描述

Policy Name

攻击防范策略名称

Applied list

攻击防范策略应用的对象列表

 

【相关命令】

·     attack-defense policy

1.1.43  display attack-defense policy ip

display attack-defense policy ip命令用来显示flood攻击防范的IPv4类型的受保护IP表项。

【命令】

display attack-defense policy policy-name { ack-flood | dns-flood | dns-reply-flood | fin-flood | flood | http-flood | icmp-flood | rst-flood | sip-flood | syn-ack-flood | syn-flood | udp-flood } ip [ ip-address [ vpn vpn-instance-name ] ] [ slot slot-number ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

policy-name:攻击防范策略名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。

ack-flood:显示ACK flood攻击防范受保护IP表项。

dns-flood:显示DNS flood攻击防范受保护IP表项。

dns-reply-flood:显示DNS reply flood攻击防范受保护IP表项。

fin-flood:显示FIN flood攻击防范受保护IP表项。

flood:显示所有类型的flood攻击防范受保护IP表项。

http-flood:显示HTTP flood攻击防范受保护IP表项。

icmp-flood:显示ICMP flood攻击防范受保护IP表项。

rst-flood:显示RST flood攻击防范受保护IP表项。

sip-flood:显示SIP flood攻击防范受保护IP表项。

syn-ack-flood:显示SYN-ACK flood攻击防范受保护IP表项。

syn-flood:显示SYN flood攻击防范受保护IP表项。

udp-flood:显示UDP flood攻击防范受保护IP表项。

ip ip-address:显示指定IPv4地址的受保护IP表项。若未指定ip-address参数,则表示显示所有IPv4类型的受保护IP表项。

vpn-instance vpn-instance-name:显示指定VPN实例的受保护IP表项。其中vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示显示指公网的受保护IP表项。

slot slot-number:显示指定成员设备上的受保护IP表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的受保护IP表项。

count:显示符合指定条件的flood受保护IP表项的数目。

【举例】

# 显示指定攻击防范策略abc中所有flood攻击防范的IPv4类型受保护IP表项的信息。

<Sysname> display attack-defense policy abc flood ip

Slot 1:

IP address      VPN instance     Type Rate threshold(PPS) Dropped

123.123.123.123 --               SYN-ACK-FLOOD 100                 4294967295

201.55.7.45     --               ICMP-FLOOD    100                 10

192.168.11.5    --               DNS-FLOOD 23                  100

10.168.200.5    --               SIP-FLOOD     100                 102556

Slot 2:

IP address      VPN instance     Type Rate threshold(PPS) Dropped

123.123.123.123 --               SYN-ACK-FLOOD 100                 2543

201.55.7.45     --               ICMP-FLOOD    100                 122

192.168.11.5    --               DNS-FLOOD     23                  0

# 显示指定攻击防范策略abc中所有IPv4类型flood受保护IP表项的个数。

<Sysname> display attack-defense policy abc flood ip count

Slot 1:

Totally 3 flood protected IP addresses.

Slot 2:

Totally 0 flood protected IP addresses.

表1-11 display attack-defense flood ip命令显示信息描述表

字段

描述

Totally 3 flood protected IP addresses

IPv4类型受保护IP表项数目

IP address

受保护的IPv4地址

VPN instance

受保护的IPv4地址所属的MPLS L3VPN实例名称,未指定时显示为空

Type

flood攻击类型

Rate threshold(PPS)

配置的flood攻击防范触发阈值(单位为报文每秒),未配置时显示“1000”

Dropped

检测到flood攻击后的丢包数,若只输出日志该项显示为0

 

1.1.44  display attack-defense policy ipv6

display attack-defense policy ipv6命令用来显示flood攻击防范的IPv6类型的受保护IP表项。

【命令】

display attack-defense policy policy-name { ack-flood | dns-flood | dns-reply-flood | fin-flood | flood | http-flood | icmpv6-flood | rst-flood | sip-flood | syn-ack-flood | syn-flood | udp-flood } ipv6 [ ipv6-address [ vpn vpn-instance-name ] ] [ slot slot-number ] ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

policy-name:攻击防范策略名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。

ack-flood:显示ACK flood攻击防范受保护IP表项。

dns-flood:显示DNS flood攻击防范受保护IP表项。

dns-reply-flood:显示DNS reply flood攻击防范受保护IP表项。

fin-flood:显示FIN flood攻击防范受保护IP表项。

flood:显示所有类型的flood攻击防范受保护IP表项。

http-flood:显示HTTP flood攻击防范受保护IP表项。

icmpv6-flood:显示ICMPv6 flood攻击防范受保护IP表项。

rst-flood:显示RST flood攻击防范受保护IP表项。

sip-flood:显示SIP flood攻击防范受保护IP表项。

syn-ack-flood:显示SYN-ACK flood攻击防范受保护IP表项。

syn-flood:显示SYN flood攻击防范受保护IP表项。

udp-flood:显示UDP flood攻击防范受保护IP表项。

ipv6 ipv6-address:显示指定IPv6地址的受保护IP表项。若未指定ipv6-address参数,则表示所有IPv6类型的受保护IP表项。

vpn-instance vpn-instance-name:显示指定VPN实例的受保护IP表项。其中vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

slot slot-number:显示指定成员设备上的受保护IP表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的受保护IP表项。

count:显示符合指定条件的flood受保护IP表项的数目。

【举例】

# 显示指定攻击防范策略abc中所有flood攻击防范的IPv6类型受保护IP表项。

<Sysname> display attack-defense policy abc flood ipv6

Slot 1:

IPv6 address    VPN instance     Type Rate threshold(PPS) Dropped

2013::127f      --               SYN-ACK-FLOOD 100                 4294967295

2::5            --               ACK-FLOOD 100                 10

1::5            --               ACK-FLOOD 100                 23

10::15          --               SIP-FLOOD     100                 1002

Slot 2:

IPv6 address    VPN instance     Type Rate threshold(PPS) Dropped

2013::127f      --               SYN-ACK-FLOOD 100                 5465

2::5            --               ACK-FLOOD 100                 0

1::5            --               ACK-FLOOD 100                 122

# 显示指定攻击防范策略abc中所有flood攻击防范的IPv6类型受保护IP表项的个数。

<Sysname> display attack-defense policy abc flood ipv6 count

Slot 1:

Totally 3 flood protected IP addresses.

Slot 2:

Totally 0 flood protected IP addresses.

表1-12 display flood ipv6命令显示信息描述表

字段

描述

Totally 3 flood protected IP addresses

IPv6类型受保护IP表项数目

IPv6 address

受保护的IPv6地址

VPN instance

受保护的IPv6地址所属的MPLS L3VPN实例名称,未指定时显示为空

Type

flood攻击类型

Rate threshold(PPS)

配置的flood攻击防范触发阈值(单位为报文每秒),未配置时显示“1000”

Dropped

检测到flood攻击后的丢包数,若只输出日志该项显示为0

 

1.1.45  display attack-defense scan attacker ip

display attack-defense scan attacker ip命令用来显示扫描攻击者的IPv4地址表项。

【命令】

display attack-defense scan attacker ip [ security-zone zone-name [ slot slot-number ] ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

security-zone zone-name:显示指定安全域的扫描攻击者的IPv4地址表项,zone-name表示安全域名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。

slot slot-number:显示指定成员设备上的扫描攻击者的IPv4地址表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的扫描攻击者的IPv4地址表项。

count:仅显示符合指定条件的当前扫描攻击者的数目。

【使用指导】

若未指定任何参数,则表示显示所有扫描攻击者的IPv4地址表项。

【举例】

# 显示所有扫描攻击者的IPv4地址表项。

<Sysname> display attack-defense scan attacker ip

Slot 1:

IP addr(DslitePeer) VPN instance     Protocol         Detected on  Duration(min)

192.168.31.2(--)    --               TCP              DMZ          1284

2.2.2.3(--)         --               UDP              DMZ          23

Slot 2:

IP addr(DslitePeer) VPN instance     Protocol         Detected on  Duration(min)

192.168.1.100(--)   --               TCP              DMZ          1586

202.2.1.172(--)     --               UDP              DMZ          258

# 显示所有扫描攻击者的IPv4地址表项的个数。

<Sysname> display attack-defense scan attacker ip count

Slot 1:

Totally 3 attackers.

Slot 2:

Totally 0 attackers.

表1-13 display attack-defense scan attacker ip命令显示信息描述表

字段

描述

Total 3 attackers

攻击者的数目

IP addr(DslitePeer)

发起攻击的IP地址,DS-Lite组网DslitePeer显示为DS-Lite隧道源IPv6地址,否则显示“--”‌

VPN instance

所属的MPLS L3VPN实例名称,属于公网时显示为空

Protocol

协议名称

Detected on

进行攻击检测的位置

Duration(min)

检测到攻击的持续时间,单位为分钟

 

【相关命令】

·     scan detect

1.1.46  display attack-defense scan attacker ipv6

display attack-defense scan attacker ipv6命令用来显示扫描攻击者的IPv6地址表项。

【命令】

display attack-defense scan attacker ipv6 [ security-zone zone-name [ slot slot-number ] ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

security-zone zone-name:显示指定安全域的扫描攻击者的IPv6地址表项,zone-name表示安全域名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。

slot slot-number:显示指定成员设备上的扫描攻击者的IPv6地址表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的扫描攻击者的IPv6地址表项。

count:仅显示符合指定条件的当前扫描攻击者的数目。

【使用指导】

若未指定任何参数,则表示显示所有扫描攻击者的IPv6地址表项。

【举例】

# 显示扫描攻击者的IPv6地址表项。

<Sysname> display attack-defense scan attacker ipv6

Slot 1:

IPv6 address        VPN instance     Protocol         Detected on  Duration(min)

2013::2             --               TCP              DMZ          1234

1230::22            --               UDP              DMZ          10

Slot 2:

IPv6 address        VPN instance     Protocol         Detected on  Duration(min)

2004::4             --               TCP              DMZ          1122

1042::2             --               UDP              DMZ          24

# 显示扫描攻击者的IPv6地址表项的个数。

<Sysname> display attack-defense scan attacker ipv6 count

Slot 1:

Totally 3 attackers.

Slot 2:

Totally 0 attackers.

表1-14 display attack-defense scan attacker ipv6命令显示信息描述表

字段

描述

Totally 3 attackers

攻击者的数目

IPv6 address

发起攻击的IPv6地址

VPN instance

所属的MPLS L3VPN实例名称,属于公网时显示为空

Protocol

协议名称

Detected on

进行攻击检测的位置

Duration(min)

检测到攻击的持续时间,单位为分钟

 

【相关命令】

·     scan detect

1.1.47  display attack-defense statistics security-zone

display attack-defense statistics security-zone命令用来显示安全域上的攻击防范统计信息。

【命令】

display attack-defense statistics security-zone zone-name [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

zone-name:指定安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。

slot slot-number:显示指定成员设备上的攻击防范统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的攻击防范统计信息。

【举例】

# 显示指定Slot的Untrust上的攻击防范统计信息。

<Sysname> display attack-defense statistics security-zone untrust slot 1

Slot 1:

Attack policy name: abc

Scanning attack defense statistics:

 AttackType                          AttackTimes Dropped

 Port scan                           2           23

 IP sweep                            3           33

 Distribute port scan                1           10

Flood attack defense statistics:

 AttackType                          AttackTimes Dropped

 SYN flood                           1           0

 ACK flood                           1           0

 SYN-ACK flood                       3           5000

 RST flood                           2           0

 FIN flood                           2           0

 UDP flood                           1           0

 ICMP flood                          1           0

 ICMPv6 flood                        1           0

 DNS flood                           1           0

 DNS reply flood                     1           0

 HTTP flood                          1           0

 SIP flood                           1           1000

HTTP slow attack defense statistics:

AttackType                          AttackTimes

HTTP slow attack                    1

Signature attack defense statistics:

 AttackType                          AttackTimes Dropped

 IP option record route              1           100

 IP option security                  2           0

 IP option stream ID                 3           0

 IP option internet timestamp        4           1

 IP option loose source routing      5           0

 IP option strict source routing     6           0

 IP option route alert               3           0

 Fragment                            1           0

 Impossible                          1           1

 Teardrop                            1           1

 Tiny fragment                       1           0

 IP options abnormal                 3           0

 Smurf                               1           0

 Ping of death                       1           0

 Traceroute                          1           0

 Large ICMP                          1           0

 TCP NULL flag                       1           0

 TCP all flags                       1           0

 TCP SYN-FIN flags                   1           0

 TCP FIN only flag                   1           0

 TCP invalid flag                    1           0

 TCP Land                            1           0

 Winnuke                             1           0

 UDP Bomb                            1           0

 Snork                               1           0

 Fraggle                             1           0

 Large ICMPv6                        1           0

 ICMP echo request                   1           0

 ICMP echo reply                     1           0

 ICMP source quench                  1           0

 ICMP destination unreachable        1           0

 ICMP redirect                       2           0

 ICMP time exceeded                  3           0

 ICMP parameter problem              4           0

 ICMP timestamp request              5           0

 ICMP timestamp reply                6           0

 ICMP information request            7           0

 ICMP information reply              4           0

 ICMP address mask request           2           0

 ICMP address mask reply             1           0

 ICMPv6 echo request                 1           1

 ICMPv6 echo reply                   1           1

 ICMPv6 group membership query       1           0

 ICMPv6 group membership report      1           0

 ICMPv6 group membership reduction   1           0

 ICMPv6 destination unreachable      1           0

 ICMPv6 time exceeded                1           0

 ICMPv6 parameter problem            1           0

 ICMPv6 packet too big               1           0

 IPv6 extension header abnormal      1           0

 IPv6 extension header exceeded      1           0

表1-15 display attack-defense statistics security-zone命令显示信息描述表

字段

描述

AttackType

攻击类型

AttackTimes

受到攻击的次数

Dropped

丢弃报文的数目

SYN flood

SYN flood攻击,当AttackTimes 为0时,该列不显示

ACK flood

ACK flood攻击,当AttackTimes 为0时,该列不显示

SYN-ACK flood

SYN-ACK flood攻击,当AttackTimes 为0时,该列不显示

RST flood

RST flood攻击,当AttackTimes 为0时,该列不显示

FIN flood

FIN flood攻击,当AttackTimes 为0时,该列不显示

UDP flood

UDP flood 攻击,当AttackTimes 为0时,该列不显示

ICMP flood

ICMP flood攻击,当AttackTimes 为0时,该列不显示

ICMPv6 flood

ICMPv6 flood攻击,当AttackTimes 为0时,该列不显示

DNS flood

DNS flood攻击,当AttackTimes 为0时,该列不显示

DNS reply flood

DNS reply flood攻击,当AttackTimes为0时,该列不显示

HTTP flood

HTTP flood攻击,当AttackTimes 为0时,该列不显示

HTTP slow attack

HTTP slow attack攻击,当AttackTimes 为0时,显示为No HTTP slow attack detected

SIP flood

SIP flood攻击,当AttackTimes 为0时,该列不显示

Port scan

端口扫描攻击,当AttackTimes 为0时,该列不显示

IP Sweep

IP扫描攻击,当AttackTimes 为0时,该列不显示

Distribute port scan

分布式端口扫描攻击,当AttackTimes 为0时,该列不显示

IP option record  route

IP选项record route攻击,当AttackTimes 为0时,该列不显示

IP option security

IP选项security攻击,当AttackTimes 为0时,该列不显示

IP option stream ID

IP选项stream identifier攻击,当AttackTimes 为0时,该列不显示

IP option internet timestamp

IP选项 internet timestamp攻击,当AttackTimes 为0时,该列不显示

IP option loose source routing

IP选项loose source routing攻击,当AttackTimes 为0时,该列不显示

IP option strict source routing

IP选项strict source routing攻击,当AttackTimes 为0时,该列不显示

IP option route alert

IP选项strict source routing攻击,当AttackTimes 为0时,该列不显示

Fragment

IP分片异常攻击,当AttackTimes 为0时,该列不显示

Impossible

IP impossible攻击,当AttackTimes 为0时,该列不显示

Teardrop

IP teardrop攻击,又称IP overlapping fragments,当AttackTimes 为0时,该列不显示

Tiny fragment

IP tiny fragment攻击

IP option abnormal

IP选项异常攻击,当AttackTimes 为0时,该列不显示

Smurf

Smurf攻击,当AttackTimes 为0时,该列不显示

Ping of death

Ping of death攻击,当AttackTimes 为0时,该列不显示

Traceroute

Traceroute攻击,当AttackTimes 为0时,该列不显示

Large ICMP

Large ICMP攻击,当AttackTimes 为0时,该列不显示

TCP NULL flag

TCP NULL flag攻击,当AttackTimes 为0时,该列不显示

TCP all flags

TCP所有标志位均被置位攻击,又称圣诞树攻击,当AttackTimes 为0时,该列不显示

TCP SYN-FIN flags

TCP SYN和FIN被同时置位攻击,当AttackTimes 为0时,该列不显示

TCP FIN only flag

TCP 只有FIN被置位的攻击,当AttackTimes 为0时,该列不显示

TCP invalid flag

TCP 非法标志位攻击,当AttackTimes 为0时,该列不显示

TCP Land

TCP Land攻击,当AttackTimes 为0时,该列不显示

Winnuke

Winnuke攻击,当AttackTimes 为0时,该列不显示

UDP Bomb

UDP Bomb攻击,当AttackTimes 为0时,该列不显示

Snork

UDP snork攻击,当AttackTimes 为0时,该列不显示

Fraggle

Fraggle攻击,又称UDP chargen DoS attack,当AttackTimes 为0时,该列不显示

Large ICMPv6

Large ICMPv6攻击,当AttackTimes 为0时,该列不显示

ICMP echo request

ICMP echo request攻击,当AttackTimes 为0时,该列不显示

ICMP echo reply

ICMP echo reply攻击,当AttackTimes 为0时,该列不显示

ICMP source quench

ICMP source quench攻击,当AttackTimes 为0时,该列不显示

ICMP destination unreachable

ICMP destination unreachable攻击,当AttackTimes 为0时,该列不显示

ICMP redirect

ICMP redirect攻击,当AttackTimes 为0时,该列不显示

ICMP time exceeded

ICMP time exceeded攻击,当AttackTimes 为0时,该列不显示

ICMP parameter problem

ICMP parameter problem攻击,当AttackTimes 为0时,该列不显示

ICMP timestamp request

ICMP timestamp request攻击,当AttackTimes 为0时,该列不显示

ICMP timestamp reply

ICMP timestamp reply攻击,当AttackTimes 为0时,该列不显示

ICMP information request

ICMP information request攻击,当AttackTimes 为0时,该列不显示

ICMP information reply

ICMP information reply攻击,当AttackTimes 为0时,该列不显示

ICMP address mask request

ICMP address mask request攻击,当AttackTimes 为0时,该列不显示

ICMP address mask reply

ICMP address mask reply攻击,当AttackTimes 为0时,该列不显示

ICMPv6 echo request

ICMPv6 echo request攻击,当AttackTimes 为0时,该列不显示

ICMPv6 echo reply

ICMPv6 echo reply攻击,当AttackTimes 为0时,该列不显示

ICMPv6 group membership query

ICMPv6 group membership query攻击,当AttackTimes 为0时,该列不显示

ICMPv6 group membership report

ICMPv6 group membership report攻击,当AttackTimes 为0时,该列不显示

ICMPv6 group membership reduction

ICMPv6 group membership reduction攻击,当AttackTimes 为0时,该列不显示

ICMPv6 destination unreachable

ICMPv6 destination unreachable攻击,当AttackTimes 为0时,该列不显示

ICMPv6 time exceeded

ICMPv6 time exceeded攻击,当AttackTimes 为0时,该列不显示

ICMPv6 parameter problem

ICMPv6 parameter problem攻击,当AttackTimes 为0时,该列不显示

ICMPv6 packet too big

ICMPv6 packet too big攻击,当AttackTimes 为0时,该列不显示

IPv6 extension header abnormal

IPv6扩展头异常攻击,当AttackTimes 为0时,该列不显示

IPv6 extension header exceeded

IPv6扩展头数目超限攻击,当AttackTimes 为0时,该列不显示

 

【相关命令】

·     reset attack-defense statistics security-zone

1.1.48  display attack-defense top-attack-statistics

display attack-defense top-attack-statistics命令用来显示Top10的攻击排名统计信息。

【命令】

display attack-defense top-attack-statistics { last-1-hour | last-24-hours | last-30-days } [ by-attacker | by-type | by-victim ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

last-1-hour:显示最近1小时的统计信息。

last-24-hours:显示最近24小时的统计信息。

last-30-days:显示最近30天的统计信息。

by-attacker:显示基于攻击者IP地址的Top10排名统计信息。

by-type:显示基于攻击类型的统计信息。

by-victim:显示基于被攻击者IP地址的Top10排名统计信息。

【使用指导】

若未指定[ by-attacker | by-type | by-victim ]参数,则同时显示基于攻击者IP地址、被攻击者IP地址和攻击类型的统计信息。

【举例】

# 显示最近1小时的Top10排名统计信息

<Sysname> display attack-defense top-attack-statistics last-1-hour

Top attackers:

No.     VPN instance   Attacker IP         Attacks

1                      200.200.200.55 21

2                      200.200.200.21 16

3                      200.200.200.133 12

4                      200.200.200.19      10

5                      200.200.200.4       8

6                      200.200.200.155 8

7                      200.200.200.93 5

8                      200.200.200.67      3

9                      200.200.200.70 1

10                     200.200.200.23      1

 

Top victims:

No.     VPN instance   Victim IP            Attacks

1       --             201.200.200.12       21

2       --             201.200.200.32       16

3       --             201.200.200.14       12

4       --             201.200.200.251      12

5       --             201.200.200.10       7

6       --             201.200.200.77       6

7       --             201.200.200.96       2

8       --             201.200.200.22       2

9       --             201.200.200.154      2

10      --             201.200.200.18       1

 

Top attack types:

Attack type       Attacks

Scan              155

Syn               155

表1-16 display attack-defense top-attack-statistics命令显示信息描述表

字段

描述

Top attackers

基于攻击者IP地址的Top10排名统计信息

No.

Top10排名

VPN instance

所属的VPN实例名称,属于公网时显示为空

Attacker IP

攻击者的IP地址

Attacks

攻击次数

Top victims

基于被攻击者IP地址的Top10排名统计信息

Victim IP

被攻击者的IP地址

Top attack types

基于攻击类型的统计信息

Attack type

攻击类型

 

【相关命令】

·     attack-defense top-attack-statistics enable

1.1.49  display blacklist destination-ip

display blacklist destination-ip命令用来显示目的IPv4黑名单表项。

【命令】

display blacklist destination-ip [ destination-ip-address [ vpn-instance vpn-instance-name ] ] [ slot slot-number ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

destination-ip-address:显示指定IPv4地址的目的IPv4黑名单表项。

vpn-instance vpn-instance-name:显示指定VPN实例的目的IPv4黑名单表项。其中vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。

slot slot-number:显示指定成员设备上的目的IPv4黑名单表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的目的IPv4黑名单表项。

count:显示符合指定条件的目的IPv4黑名单个数。

【使用指导】

若未指定任何参数,则表示显示所有的目的IPv4黑名单表项。

【举例】

 # 显示所有目的IPv4黑名单表项的信息。

<Sysname> display blacklist destination-ip

Slot 1:

IP address      VPN instance   Type    Aging (sec)  Dropped

192.168.11.5    --             Dynamic 10           353452

123.123.123.123 --             Dynamic 123          4294967295

201.55.7.45     --             Manual  Never        14478

Slot 2:

IP address      VPN instance   Type    Aging (sec)  Dropped

123.55.123.7    --             Dynamic 123          164698

201.55.7.33     --             Manual  Never        845969

# 显示所有目的IPv4黑名单表项的个数。

<Sysname> display blacklist destination-ip count

Slot 1:

Totally 3 blacklist entries.

Slot 2:

Totally 2 blacklist entries.

表1-17 display blacklist destination-ip命令显示信息描述表

字段

描述

IP address

黑名单表项的IP地址

VPN instance

‌VPN实例名称,属于公网时显示为空

Type

黑名单表项的添加方式,包括:

·     Dynamic:动态生成

·     Manual:手工配置

Aging (sec)

黑名单表项的剩余老化时间,单位为秒。若未指定老化时间,则显示“Never”

Dropped

丢弃的发往该IP地址的报文数目

Totally 3 blacklist entries.

黑名单表项数目

 

【相关命令】

·     blacklist destination-ip

1.1.50  display blacklist destination-ipv6

display blacklist destination-ipv6命令用来显示目的IPv6黑名单表项。

【命令】

display blacklist destination-ipv6 [ destination-ipv6-address [ vpn-instance vpn-instance-name ] ] [ slot slot-number ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

destination-ipv6-address:显示指定目的IPv6地址的黑名单表项。

vpn-instance vpn-instance-name:显示指定VPN实例的目的IPv6黑名单表项。其中vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。

slot slot-number:显示指定成员设备上的目的IPv6黑名单表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的目的IPv6黑名单表项。

count:仅显示符合指定条件的目的IPv6黑名单个数。

【使用指导】

若未指定任何参数,则表示显示所有的目的IPv6黑名单表项。

【举例】

# 显示所有目的IPv6黑名单表项的信息。

<Sysname> display blacklist ipv6

Slot 1:

IPv6 address         VPN instance      Type    Aging (sec)  Dropped

1::4                 --                Manual  Never        14478

1::5                 --                Dynamic 10           353452

2013:fe07:221a:4011: --                Dynamic 123          4294967295

2013:fe07:221a:4011

Slot 2:

IPv6 address         VPN instance      Type    Aging (sec)  Dropped

1::3                 --                Manual  Never        74679

20::33               --                Dynamic 10           1697898

# 显示所有目的IPv6黑名单表项的个数。

<Sysname> display blacklist ipv6 count

Slot 1:

Totally 3 blacklist entries.

Slot 2:

Totally 2 blacklist entries.

表1-18 display blacklist destination-ipv6命令显示信息描述表

字段

描述

IPv6 address

黑名单表项的IPv6地址

VPN instance

‌VPN实例名称,属于公网时显示为空

Type

黑名单表项的添加方式,包括:

·     Dynamic:动态生成

·     Manual:手工配置

Aging (sec)

黑名单表项的剩余老化时间,单位为秒。若未指定老化时间,则显示“Never”

Dropped

丢弃的发往该IPv6地址的报文数目

Totally 3 blacklist entries.

黑名单表项数目

 

【相关命令】

·     blacklist destination-ipv6

1.1.51  display blacklist ip

display blacklist ip命令用来显示源IPv4黑名单表项。

【命令】

display blacklist ip [ source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ] ] [ slot slot-number  ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

source-ip-address:显示指定IPv4地址的源黑名单表项。

vpn-instance vpn-instance-name:显示指定VPN实例的源IPv4黑名单表项。其中vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。

ds-lite-peer ds-lite-peer-address:显示指定DS-Lite隧道对端地址的源IPv4黑名单表项。其中,ds-lite-peer-address表示源黑名单的IPv4地址所属的DS-Lite隧道B4端IPv6地址。

slot slot-number:显示指定成员设备上的源IPv4黑名单表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的源IPv4黑名单表项。

count:显示符合指定条件的源IPv4黑名单个数。

【使用指导】

若未指定任何参数,则表示显示所有的源IPv4黑名单表项。

【举例】

 # 显示所有源IPv4黑名单表项的信息。

<Sysname> display blacklist ip

Slot 1:

IP address      VPN instance   DS-Lite tunnel peer  Type    TTL(sec) Dropped

192.168.11.5    --             --                   Dynamic 10       353452

123.123.123.123 --             2013::fe07:221a:4011 Dynamic 123      4294967295

201.55.7.45     --             2013::1              Manual  Never    14478

Slot 2:

IP address      VPN instance   DS-Lite tunnel peer  Type    TTL(sec) Dropped

123.55.123.7    --             --                   Dynamic 123      164698

201.55.7.33     --             --                   Manual  Never    845969

# 显示所有源IPv4黑名单表项的个数。

<Sysname> display blacklist ip count

Slot 1:

Totally 3 blacklist entries.

Slot 2:

Totally 2 blacklist entries.

表1-19 display blacklist ip命令显示信息描述表

字段

描述

IP address

源黑名单表项的IP地址

VPN instance

‌VPN实例名称,属于公网时显示为空

DS-Lite tunnel peer

‌DS-Lite隧道对端地址 。DS-Lite组网下,若本设备为AFTR,此列表示报文来自具体的哪个B4,如果不在DS-Lite组网或本设备不为AFTR,则该字段无意义,显示为“--”

Type

源黑名单表项的添加方式,包括:

·     Dynamic:动态生成

·     Manual:手工配置

TTL(sec)

源黑名单表项的剩余老化时间,单位为秒。若未指定老化时间,则显示“Never”

Dropped

丢弃的来自该IP地址的报文数目

Totally 3 blacklist entries.

源黑名单表项数目

 

【相关命令】

·     blacklist ip

1.1.52  display blacklist ipv6

display blacklist ipv6命令用来显示源IPv6黑名单表项。

【命令】

display blacklist ipv6 [ source-ipv6-address [ vpn-instance vpn-instance-name ] ] [ slot slot-number ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

source-ipv6-address:显示指定源IPv6地址的黑名单表项。

vpn-instance vpn-instance-name:显示指定VPN实例的源IPv6黑名单表项。其中vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。

slot slot-number:显示指定成员设备上的源IPv6黑名单表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的源IPv6黑名单表项。

count:仅显示符合指定条件的源IPv6黑名单个数。

【使用指导】

若未指定任何参数,则表示显示所有的源IPv6黑名单表项。

【举例】

# 显示所有源IPv6黑名单表项的信息。

<Sysname> display blacklist ipv6

Slot 1:

IPv6 address         VPN instance      Type    TTL(sec) Dropped

1::4                 --                Manual  Never    14478

1::5                 --                Dynamic 10       353452

2013:fe07:221a:4011: --                Dynamic 123      4294967295

2013:fe07:221a:4011

Slot 2:

IPv6 address         VPN instance      Type    TTL(sec) Dropped

1::3                 --                Manual  Never    74679

20::33               --                Dynamic 10       1697898

# 显示所有源IPv6黑名单表项的个数。

<Sysname> display blacklist ipv6 count

Slot 1:

Totally 3 blacklist entries.

Slot 2:

Totally 2 blacklist entries.

表1-20 display blacklist ipv6命令显示信息描述表

字段

描述

IPv6 address

源黑名单表项的IPv6地址

VPN instance

VPN实例名称,属于公网时显示为空

Type

源黑名单表项的添加方式,包括:

·     Dynamic:动态生成

·     Manual:手工配置

TTL(sec)

源黑名单表项的剩余老化时间,单位为秒。若未指定老化时间,则显示“Never”

Dropped

丢弃的来自该IPv6地址的报文数目

Totally 3 blacklist entries.

源黑名单表项数目

 

【相关命令】

·     blacklist ipv6

1.1.53  display blacklist user

display blacklist user命令用来显示用户黑名单表项。

【命令】

display blacklist user [ user-name ] [ domain domain-name ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

user-name:表示用户的名称,为1~55个字符的字符串,区分大小写。如果不指定该参数,则表示显示所有用户黑名单表项。

domain domain-name:显示指定身份识别域的用户黑名单表项。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括字符“?”。若不指定此参数,则显示不属于任何身份识别域的用户黑名单表项。

count:显示用户黑名单表项的个数。

【举例】

# 显示所有用户黑名单表项的信息。

<Sysname> display blacklist user

User name    Domain name      Type       TTL(sec)  Dropped

Alex         domaina          Manual     10        353452

Bob                           Manual     123       4294967295

Cary                          Manual     Never     14478

# 显示属于身份识别域domaina的指定用户黑名单表项。

<Sysname> display blacklist user Alex domain domaina

User name   Domain name      Type       TTL(sec)   Dropped

Alex        domaina          Manual     10         353452

# 显示用户黑名单表项的个数。

<Sysname> display blacklist user count

Totally 3 blacklist entries.

表1-21 display blacklist user命令显示信息描述表

字段

描述

Username

黑名单表项的用户名称

Domain name

黑名单表项的用户身份识别域

Type

黑名单表项的添加方式,仅支持手工配置“Manual”

TTL(sec)

黑名单表项的剩余老化时间,单位为秒。若未指定老化时间,则显示“Never”

Dropped

丢弃该用户的报文数目

Totally 3 blacklist entries.

用户黑名单表项的数目

 

【相关命令】

·     blacklist global enable

·     blacklist user

1.1.54  display client-verify protected ip

display client-verify protected ip命令用来显示客户端验证的IPv4类型的受保护IP表项。

【命令】

display client-verify { dns | dns-reply | http | sip | tcp } protected ip [ ip-address [ vpn vpn-instance-name ] ] [ port port-number ] [ slot slot-number ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

dns:指定DNS客户端验证功能。

dns-reply:指定DNS reply验证功能。

http:指定HTTP客户端验证功能。

sip:指定SIP客户端验证功能。

tcp:指定TCP客户端验证功能。

ip-address:显示指定IPv4地址的受保护IP表项。若未指定本参数,则显示所有IPv4类型的受保护IP表项。

vpn-instance vpn-instance-name:显示指定VPN实例的受保护IP表项。其中vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示显示公网中的受保护IP地址。

port port-number:显示指定端口号的受保护IP表项,port-number的取值范围为1~65535。若未指定本参数,对于DNS客户端验证的受保护IP,则表示端口53;对于HTTP客户端验证的受保护IP,则表示端口80;对于TCP客户端验证的受保护IP,则表示所有端口。

slot slot-number:显示指定成员设备上的受保护IP表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的受保护IP表项。

count:显示符合指定条件的客户端验证受保护IP表项。

【举例】

# 显示所有IPv4类型TCP客户端验证的受保护IP表项。

<Sysname> display client-verify tcp protected ip

Slot 1:

IP address           VPN instance     Port  Type    Requested   Trusted

192.168.11.5         --               23    Dynamic 353452      555

123.123.123.123      --               65535 Dynamic 4294967295  15151

201.55.7.45          --               10    Manual  15000       222

Slot 2:

IP address           VPN instance     Port  Type    Requested   Trusted

192.168.11.5         --               23    Dynamic 46790       78578

201.55.7.45          --               10    Dynamic 2368        7237

123.123.123.123      --               65535 Manual  24587       1385

# 显示所有IPv4类型TCP客户端验证的受保护IP表项的个数。

<Sysname> display client-verify tcp protected ip count

Slot 1:

Totally 3 protected IP addresses.

Slot 2:

Totally 0 protected IP addresses.

表1-22 display client-verify protected ip命令显示信息描述表

字段

描述

Totally 3 protected IP addresses.

IPv4类型受保护IP表项数目

IP address

受保护IPv4地址

VPN instance

受保护IP地址所属的MPLS L3VPN实例名称,属于公网时显示为空

Port

TCP连接的目的端口

any表示对该IP地址的所有端口的TCP连接请求都做代理

Type

受保护IP地址的添加方式,取值包括Dynamic和Manual

Requested

收到的匹配该受保护IP地址的报文数目

Trusted

通过验证的TCP连接请求报文数目

 

【相关命令】

·     client-verify protected ip

1.1.55  display client-verify protected ipv6

display client-verify protected ipv6命令用来显示客户端验证的IPv6类型的受保护IP表项。

【命令】

display client-verify { dns | dns-reply | http | sip | tcp } protected ipv6 [ ipv6-address [ vpn vpn-instance-name ] ] [ port port-number ] [ slot slot-number ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

dns:指定DNS客户端验证功能。

dns-reply:指定DNS reply验证功能。

http:指定HTTP客户端验证功能。

sip:指定SIP客户端验证功能。

tcp:指定TCP客户端验证功能。

ipv6-address:显示指定IPv6地址的受保护IP表项。若未指定本参数,则显示所有IPv6类型的受保护IP表项。

vpn-instance vpn-instance-name:显示指定VPN实例的受保护IP表项。其中vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示显示公网中的受保护IP地址。

port port-number:显示指定端口号的受保护IP表项,port-number的取值范围为1~65535。若未指定本参数,对于DNS客户端验证的受保护IP,则表示端口53;对于HTTP客户端验证的受保护IP,则表示端口80;对于TCP客户端验证的受保护IP,则表示所有端口。

slot slot-number:显示指定成员设备上的受保护IP表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的受保护IP表项。

count:显示符合指定条件的客户端验证受保护IP表项个数。

【举例】

# 显示所有IPv6类型的TCP客户端验证的受保护IP表项。

<Sysname> display client-verify tcp protected ipv6

Slot 1:

IPv6 address         VPN instance     Port  Type    Requested   Trusted

1:2:3:4:5:6:7:8      --               100   Manual  14478       5501

1023::1123           --               65535 Dynamic 4294967295  15151

Slot 2:

IPv6 address         VPN instance     Port  Type    Requested   Trusted

1:2:3:4:5:6:7:8      --               100   Manual  4568        8798

1023::1123           --               65535 Dynamic 15969       4679

# 显示所有IPv6类型的TCP客户端验证的受保护IP表项的个数。

<Sysname> display client-verify tcp protected ip count

Slot 1:

Totally 3 protected IPv6 addresses.

Slot 2:

Totally 0 protected IPv6 addresses.

表1-23 display client-verify protected ipv6命令显示信息描述表

字段

描述

Totally 3 protected IPv6 addresses

IPv6类型受保护IP表项数目

IPv6 address

受保护IPv6地址

VPN instance

受保护IP地址所属的VPN实例名称,属于公网时显示为空

Port

TCP连接的目的端口

any表示对该IP地址的所有端口的TCP连接请求都做代理

Type

受保护IP地址的添加方式,取值包括Dynamic和Manual

Requested

收到的匹配该受保护IP地址的报文数目

Trusted

通过验证的TCP连接请求报文数目

 

【相关命令】

·     client-verify protected ipv6

1.1.56  display client-verify trusted ip

display client-verify trusted ip命令用来显示客户端验证的IPv4类型的信任IP表项。

【命令】

display client-verify { dns | dns-reply | http | sip | tcp } trusted ip [ ip-address [ vpn vpn-instance-name ] ] [ slot slot-number ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

dns:指定DNS客户端验证功能。

dns-reply:指定DNS reply验证功能。

http:指定HTTP客户端验证功能。

sip:指定SIP客户端验证功能。

tcp:指定TCP客户端验证功能。

ip-address:显示指定IPv4地址的信任IP表项。若未指定本参数,则显示所有IPv4类型的信任IP表项。

vpn-instance vpn-instance-name:显示指定VPN实例的信任IP表项。其中vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示信任IP表项位于公网。

slot slot-number:显示指定成员设备上的信任IP表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的信任IP表项。

count:仅显示符合指定条件的信任IP表项的个数。

【举例】

# 显示所有IPv4类型DNS 客户端验证的信任IP表项。

<Sysname> display client-verify dns trusted ip

Slot 1:

IP address      VPN instance        DS-Lite tunnel peer    TTL(sec)

11.1.1.2        --                  --                     3600

123.123.123.123 --                  --                     3550

Slot 2:

IP address      VPN instance        DS-Lite tunnel peer    TTL(sec)

11.1.1.3        --                  --                     1200

# 显示所有IPv4类型DNS 客户端验证的信任IP表项的个数。

<Sysname> display client-verify dns trusted ip count

Slot 1:

Totally 3 trusted IP addresses.

Slot 2:

Totally 0 trusted IP addresses.

表1-24 display client-verify trusted ip命令显示信息描述表

字段

描述

Totally 3 trusted IP addresses

IPv4类型信任IP表项的个数

IP address

信任IPv4地址

VPN instance

信任IP地址所属的MPLS L3VPN实例名称,属于公网时显示为空

DS-Lite tunnel peer

DS-Lite隧道对端地址。DS-Lite组网下,若本设备为AFTR,此列表示报文来自具体的哪个B4,如果不在DS-Lite组网或本设备不为AFTR,则该字段无意义,显示为“--”

TTL(sec)

信任IP地址的剩余老化时间,单位为秒。

 

1.1.57  display client-verify trusted ipv6

display client-verify trusted ipv6命令用来显示客户端验证的IPv6类型的信任IP表项。

【命令】

display client-verify { dns | dns-reply | http | sip | tcp } trusted ipv6 [ ipv6-address [ vpn vpn-instance-name ] ] [ slot slot-number ] ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

dns:指定DNS客户端验证功能。

dns-reply:指定DNS reply验证功能。

http:指定HTTP客户端验证功能。

sip:指定SIP客户端验证功能。

tcp:指定TCP客户端验证功能。

ipv6-address:显示指定IPv6地址的信任IP表项。若未指定本参数,则显示所有IPv6类型的信任IP表项。

vpn-instance vpn-instance-name:显示指定VPN实例的信任IP表项。其中vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示信任IP表项位于公网。

slot slot-number:显示指定成员设备上的信任IP表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的信任IP表项。

count:仅显示符合指定条件的信任IP地址的个数。

【举例】

# 显示所有IPv6类型的DNS客户端验证的信任IP表项。

<Sysname> display client-verify dns trusted ipv6

Slot 1:

IPv6 address                            VPN instance     TTL(sec)

1::3                                    --               1643

1234::1234                              --               1234

Slot 2:

IPv6 address                            VPN instance     TTL(sec)

1::3                                    --               1643

# 显示所有IPv6类型的DNS客户端验证的信任IP表项的个数。

<Sysname> display client-verify dns trusted ipv6 count

Slot 1:

Totally 3 trusted IPv6 addresses.

Slot 2:

Totally 0 trusted IPv6 addresses.

表1-25 display client-verify trusted ipv6命令显示信息描述表

字段

描述

Totally 3 trusted IPv6 addresses

IPv6类型信任IP表项的个数

IPv6 address

信任IPv6地址

VPN instance

VPN实例名称,属于公网时显示为空

TTL(sec)

信任IP地址的剩余老化时间,单位为秒。

 

1.1.58  display whitelist object-group

display whitelist object-group命令用来显示白名单引用的地址对象组的报文统计信息。

【命令】

display whitelist object-group [ object-group-name ] [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

object-group-name:显示白名单引用的地址对象组的报文统计信息,为1~63个字符的字符串,不区分大小写。如果不指定该参数,则表示显示白名单引用的所有地址对象组的报文统计信息。

slot slot-number:显示指定成员设备上的白名单引用的地址对象组的报文统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的白名单引用的地址对象组的报文统计信息。

【使用指导】

若未指定任何参数,则表示显示白名单引用的所有地址对象组的报文统计信息。

【举例】

# 显示白名单引用的所有地址对象组的报文统计信息。

<Sysname> display whitelist object-group

Slot 1:

Object group               Type          Matching Packets

objgrp-1                   IPv4          15696

objgrp-2                   IPv4          855864455

Slot 2:

Object group               Type          Matching Packets

objgrp-1                   IPv4          353452

表1-26 display whitelist object-group命令显示信息描述表

字段

描述

Object group

白名单引用的地址对象组

Type

白名单引用的地址对象组类型

Matching packets

当前统计到的报文数量

 

【相关命令】

·     reset whitelist statistics

·     whitelist object-group

1.1.59  dns-flood action

dns-flood action命令用来配置对DNS flood攻击防范的全局处理行为。

undo dns-flood action命令用来恢复缺省情况。

【命令】

dns-flood action { client-verify | drop | logging } *

undo dns-flood action

【缺省情况】

不对检测到的DNS flood攻击采取任何措施。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

client-verify:表示自动将受到攻击的IP地址添加到DNS客户端验证的受保护IP列表中。若客户端验证功能已使能,则对客户端与受保护IP地址之间的连接进行代理。本参数对基于源IP统计的泛洪攻击不生效。

drop:表示丢弃攻击报文。对于基于源IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃源自攻击者的后续所有DNS报文;对于基于目的IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃向被攻击者发送的后续所有DNS报文。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

本命令中client-verify参数的使用需要和TCP客户端验证功能配合。开启了DNS客户端验证的安全域检测到DNS flood攻击时,若本命令中指定了client-verify参数,则设备会将受攻击的IP地址动态添加到相应客户端验证的受保护IP列表中,并对与这些IP地址建立的连接进行代理。若安全域上未开启相应的代理功能,则不会对任何连接进行代理。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中配置对DNS flood攻击防范的全局处理行为是丢弃后续报文。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] dns-flood action drop

【相关命令】

·     client-verify dns enable

·     dns-flood detect

·     dns-flood detect non-specific

·     dns-flood port

·     dns-flood source-threshold

·     dns-flood threshold

1.1.60  dns-flood detect

dns-flood detect命令用来开启对指定IP地址的攻击防范检测,并配置DNS flood攻击防范检测的触发阈值和对DNS flood攻击的处理行为。

undo dns-flood detect命令用来关闭对指定IP地址的DNS flood攻击防范检测。

【命令】

dns-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]

undo dns-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未对任何指定IP地址配置DNS flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为255.255.255.255或0.0.0.0。

ipv6 ipv6-address:指定要保护的IPv6地址。该IPv6地址不能为组播地址或::。

vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。

port port-list:指定开启DNS flood攻击防范检测的端口列表,表示方式为{ start-port-number [ to end-port-number ] } &<1-24>&<1-24>表示前面的参数最多可以输入24次。end-port-number必须大于或等于start-port-number。若未指定本参数,则表示使用全局配置的检测端口列表。

threshold threshold-value:指定DNS flood攻击防范基于目的IP统计的触发阈值。其中,threshold-value为向指定IP地址每秒发送的DNS报文数目,取值范围为1~1000000。

action:设置对DNS flood攻击的处理行为。若未指定本参数,则表示采用DNS flood攻击防范的全局处理行为。

client-verify:表示自动将受到攻击的IP地址添加到DNS客户端验证的受保护IP列表中。若客户端验证功能已使能,则对客户端与受保护IP地址之间的连接进行代理。

drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有DNS报文都会被丢弃。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

none:表示不采取任何动作。

【使用指导】

使能DNS flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送DNS报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了DNS flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

每个攻击防范策略下可以同时对多个IP地址配置DNS flood攻击防范检测。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的DNS flood攻击防范检测,并指定检测端口为53、触发阈值为2000。当设备监测到向该IP地址的53端口每秒发送的DNS报文数持续达到或超过2000时,启动DNS flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] dns-flood detect ip 192.168.1.2 port 53 threshold 2000

【相关命令】

·     dns-flood action

·     dns-flood detect non-specific

·     dns-flood port

·     dns-flood threshold

1.1.61  dns-flood detect non-specific

dns-flood detect non-specific命令用来对所有非受保护IP地址开启DNS flood攻击防范检测。

undo dns-flood detect non-specific命令用来关闭对所有非受保护IP地址的DNS flood攻击防范检测。

【命令】

dns-flood detect non-specific

undo dns-flood detect non-specific

【缺省情况】

未对任何非受保护IP地址开启DNS flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对所有非受保护IP地址开启DNS flood攻击防范检测后,设备将采用全局的阈值设置(由dns-flood thresholddns-flood source-threshold命令设置)和处理行为(由dns-flood action命令配置)对这些IP地址进行保护或防御。

【举例】

# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启DNS flood攻击防范检测。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] dns-flood detect non-specific

【相关命令】

·     dns-flood action

·     dns-flood detect

·     dns-flood port

·     dns-flood source-threshold

·     dns-flood threshold

1.1.62  dns-flood port

dns-flood port命令用来配置DNS flood攻击防范的全局检测端口号。

undo dns-flood port命令用来恢复缺省情况。

【命令】

dns-flood port port-list

undo dns-flood port

【缺省情况】

DNS flood攻击防范的全局检测端口号为53。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

port-list:指定开启DNS flood攻击防范检测的端口列表,表示方式为{ start-port-number [ to end-port-number ] } &<1-32>&<1-32>表示前面的参数最多可以输入32次。end-port-number必须大于或等于start-port-number

【使用指导】

设备只对指定检测端口上收到的报文进行DNS flood攻击检测。

对于所有非受保护IP地址,或未指定检测端口的受保护IP地址,设备采用全局的检测端口进行DNS flood攻击检测。对于所有指定检测端口的受保护IP地址,设备针对为每个受保护IP地址指定的端口进行DNS flood攻击检测。

【举例】

# 在攻击防范策略atk-policy-1中配置DNS flood攻击防范的全局检测端口为53与61000,当设备检测到访问53端口或61000端口的DNS flood攻击时,启动攻击防范措施。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] dns-flood port 53 61000

【相关命令】

·     dns-flood action

·     dns-flood detect

·     dns-flood detect non-specific

·     dns-flood source-threshold

·     dns-flood threshold

1.1.63  dns-flood threshold

dns-flood threshold命令用来配置DNS flood攻击防范基于目的IP统计的全局触发阈值。

undo dns-flood threshold命令用来恢复缺省情况。

【命令】

dns-flood threshold threshold-value

undo dns-flood threshold

【缺省情况】

DNS flood攻击防范基于目的IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定向某IP地址每秒发送的DNS报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于目的IP地址的DNS flood攻击防范。

【使用指导】

使能DNS flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送DNS报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了DNS flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

对于未专门配置DNS flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(DNS服务器)的DNS报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。

【举例】

# 在攻击防范策略atk-policy-1中配置DNS flood攻击防范的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的DNS报文数持续达到或超过100时,启动攻击防范措施。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] dns-flood threshold 100

【相关命令】

·     dns-flood action

·     dns-flood detect ip

·     dns-flood detect non-specific

·     dns-flood port

1.1.64  dns-flood source-threshold

dns-flood source-threshold命令用来配置DNS flood攻击防范基于源IP统计的全局触发阈值。

undo dns-flood source-threshold命令用来恢复缺省情况。

【命令】

dns-flood source-threshold threshold-value

undo dns-flood source-threshold

【缺省情况】

DNS flood攻击防范基于源IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定每秒接收到从某IP地址发出的DNS报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于源IP统计的DNS flood攻击防范。

【使用指导】

使能DNS flood攻击防范后,设备处于攻击检测状态,当它监测到某IP地址发送DNS报文的速率持续达到或超过了该触发阈值时,即认为该IP地址发起了DNS flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到该IP地址发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

【举例】

# 在攻击防范策略atk-policy-1中配置DNS flood攻击防范基于源IP统计的全局触发阈值为100,即当设备监测到某IP地址每秒发送的DNS报文数持续达到或超过100时,启动攻击防范措施。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] dns-flood source-threshold 100

【相关命令】

·     dns-flood action

·     dns-flood detect ip

·     dns-flood detect non-specific

·     dns-flood port

1.1.65  dns-reply-flood action

dns-reply-flood action命令用来配置对DNS reply flood攻击防范的全局处理行为。

undo dns-reply-flood action命令用来恢复缺省情况。

【命令】

dns-reply-flood action { client-verify | drop | logging } *

undo dns-reply-flood action

【缺省情况】

不对检测到的DNS reply flood攻击采取任何措施。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

client-verify:表示自动将受到攻击的IP地址添加到DNS reply验证的受保护IP列表中。若DNS reply验证功能已使能,则对DNS reply源端与受保护IP地址之间的连接进行代理。本参数对基于源IP统计的泛洪攻击不生效。

drop:表示丢弃攻击报文。对于基于源IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃源自攻击者的后续所有DNS reply报文;对于基于目的IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃向被攻击者发送的后续所有DNS reply报文。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

本命令中client-verify参数的使用需要和DNS reply验证功能配合。开启了DNS reply验证的接口或安全域检测到DNS reply flood攻击时,若本命令中指定了client-verify参数,则设备会将受攻击的IP地址动态添加到相应DNS reply验证的受保护IP列表中,并对与这些IP地址建立的连接进行代理。若接口或安全域上未开启相应的代理功能,则不会对任何连接进行代理。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中配置对DNS reply flood攻击防范的全局处理行为是丢弃后续报文。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood action drop

【相关命令】

·     client-verify dns-reply enable

·     dns-reply-flood detect

·     dns-reply-flood detect non-specific

·     dns-reply-flood source-threshold

·     dns-reply-flood threshold

1.1.66  dns-reply-flood detect

dns-reply-flood detect命令用来开启对指定IP地址的攻击防范检测,并配置DNS reply flood攻击防范检测的触发阈值和对DNS reply flood攻击的处理行为。

undo dns-reply-flood detect命令用来关闭对指定IP地址的DNS reply flood攻击防范检测。

【命令】

dns-reply-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]

undo dns-reply-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未对任何指定IP地址配置DNS reply flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为255.255.255.255或0.0.0.0。

ipv6 ipv6-address:指定要保护的IPv6地址。

vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。

port port-list:指定开启DNS reply flood攻击防范检测的端口列表,表示方式为{ start-port-number [ to end-port-number ] } &<1-24>&<1-24>表示前面的参数最多可以输入24次。end-port-number必须大于或等于start-port-number。若未指定本参数,则表示使用全局配置的检测端口列表。

threshold threshold-value:指定DNS flood攻击防范基于目的IP统计的触发阈值。其中,threshold-value为向指定IP地址每秒发送的DNS reply报文数目,取值范围为1~1000000,缺省为1000。

action:设置对DNS reply flood攻击的处理行为。

client-verify:表示自动将受到攻击的IP地址添加到DNS reply源端验证的受保护IP列表中。若DNS reply验证功能已使能,则对DNS reply源端与受保护IP地址之间的连接进行代理。

drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有DNS reply报文都会被丢弃。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

none:表示不采取任何动作。

【使用指导】

每个攻击防范策略下可以同时对多个IP地址配置DNS reply flood攻击防范检测。

开启DNS reply flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送DNS reply报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了DNS reply flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该IP地址发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的DNS reply flood攻击防范检测,并指定检测端口为53、触发阈值为2000。当设备监测到向该IP地址的53端口每秒发送的DNS reply报文数持续达到或超过2000时,启动DNS reply flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood detect ip 192.168.1.2 port 53 threshold 2000

【相关命令】

·     dns-reply-flood action

·     dns-reply-flood detect non-specific

·     dns-reply-flood port

·     dns-reply-flood threshold

1.1.67  dns-reply-flood detect non-specific

dns-reply-flood detect non-specific命令用来对所有非受保护IP地址开启DNS reply flood攻击防范检测。

undo dns-reply-flood detect non-specific命令用来关闭对所有非受保护IP地址的DNS reply flood攻击防范检测。

【命令】

dns-reply-flood detect non-specific

undo dns-reply-flood detect non-specific

【缺省情况】

未对任何非受保护IP地址开启DNS reply-flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对所有非受保护IP地址开启DNS reply flood攻击防范检测后,设备将采用全局的阈值设置(由dns-reply-flood thresholddns-reply-flood source-threshold命令设置)和处理行为(由dns-reply-flood action命令配置)对这些IP地址进行保护或防御。

【举例】

# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启DNS reply-flood攻击防范检测。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood detect non-specific

【相关命令】

·     dns-reply-flood action

·     dns-reply-flood detect

·     dns-reply-flood port

·     dns-reply-flood source-threshold

·     dns-reply-flood threshold

1.1.68  dns-reply-flood port

dns-reply-flood port命令用来配置DNS reply flood攻击防范的全局检测端口号。

undo dns-reply-flood port命令用来恢复缺省情况。

【命令】

dns-reply-flood port port-list

undo dns-reply-flood port

【缺省情况】

DNS reply-flood攻击防范的全局检测端口号为53。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

port-list:指定开启DNS reply flood攻击防范检测的端口列表,表示方式为{ start-port-number [ to end-port-number ] } &<1-32>&<1-32>表示前面的参数最多可以输入32次。end-port-number必须大于或等于start-port-number

【使用指导】

设备只对指定检测端口上收到的报文进行DNS reply flood攻击检测。

对于所有非受保护IP地址,或未指定检测端口的受保护IP地址,设备采用全局的检测端口进行DNS reply flood攻击检测。对于所有指定检测端口的受保护IP地址,设备针对为每个受保护IP地址指定的端口进行DNS reply flood攻击检测。

【举例】

# 在攻击防范策略atk-policy-1中配置DNS reply flood攻击防范的全局检测端口为53与61000,当设备检测到访问53端口或61000端口的DNS flood攻击时,启动攻击防范措施。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood port 53 61000

【相关命令】

·     dns-reply-flood action

·     dns-reply-flood detect

·     dns-reply-flood detect non-specific

·     dns-reply-flood source-threshold

·     dns-reply-flood threshold

1.1.69  dns-reply-flood threshold

dns-reply-flood threshold命令用来配置DNS reply flood攻击防范基于目的IP统计的全局触发阈值。

undo dns-reply-flood threshold命令用来恢复缺省情况。

【命令】

dns-reply-flood threshold threshold-value

undo dns-reply-flood threshold

【缺省情况】

DNS reply flood攻击防范基于目的IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定向某IP地址每秒发送的DNS reply报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于目的IP地址的DNS reply flood攻击防范。

【使用指导】

开启DNS reply flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送DNS reply 报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了DNS reply flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。

对于未专门配置DNS reply flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(DNS客户端)的DNS reply报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。

【举例】

# 在攻击防范策略atk-policy-1中配置DNS reply flood攻击防范的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的DNS reply报文数持续达到或超过100时,启动攻击防范措施。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood threshold 100

【相关命令】

·     dns-reply-flood action

·     dns-reply-flood detect ip

·     dns-reply-flood detect non-specific

·     dns-reply-flood port

1.1.70  dns-reply-flood source-threshold

dns-reply-flood source-threshold命令用来配置DNS reply flood攻击防范基于源IP统计的全局触发阈值。

undo dns-reply-flood source-threshold命令用来恢复缺省情况。

【命令】

dns-reply-flood source-threshold threshold-value

undo dns-reply-flood source-threshold

【缺省情况】

DNS reply flood攻击防范基于源IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定每秒接收到从某IP地址发出的DNS reply报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于源IP统计的DNS reply flood攻击防范。

【使用指导】

开启DNS reply flood攻击防范后,设备处于攻击检测状态,当它监测到某IP地址发送DNSreply 报文的速率持续达到或超过了该触发阈值时,即认为该IP地址发起了DNS reply flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到该IP地址发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

【举例】

# 在攻击防范策略atk-policy-1中配置DNS reply flood攻击防范基于源IP统计的全局触发阈值为100,即当设备监测到某IP地址每秒发送的DNS reply报文数持续达到或超过100时,启动攻击防范措施。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] dns-reply-flood source-threshold 100

【相关命令】

·     dns-reply-flood action

·     dns-reply-flood detect ip

·     dns-reply-flood detect non-specific

·     dns-reply-flood port

1.1.71  exempt acl

exempt acl命令用来配置攻击防范例外列表。

undo exempt acl命令用来恢复缺省情况。

【命令】

exempt acl [ ipv6 ] { acl-number | name acl-name }

undo exempt acl [ ipv6 ]

【缺省情况】

未配置攻击防范例外列表。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6:指定IPv6 ACL。如果未指定本参数,则表示IPv4 ACL。

acl-number:表示ACL的编号,取值范围及其代表的ACL类型如下:

·     2000~2999:表示基本ACL。

·     3000~3999:表示高级ACL。

name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。

【使用指导】

通过配置例外列表,使用ACL过滤不需要进行攻击防范检测的主机报文。当安全域上收到的报文与攻击防范例外列表引用的ACL中的permit规则匹配时,设备不对其进行攻击防范检测。该配置用于过滤某些被信任的安全主机发送的报文,可以有效的减小误报率,并提高服务器处理效率。

例外列表引用的ACL的permit规则中仅源地址、目的地址、源端口、目的端口、协议号、L3VPN和非首片分片标记参数用于匹配报文。

如果配置的攻击防范例外列表中引用的ACL不存在,或引用的ACL中未定义任何规则,例外列表不会生效。

【举例】

# 在攻击防范策略atk-policy-1中配置例外列表ACL 2001,过滤来自主机1.1.1.1的报文,不对其进行攻击防范检测。

<Sysname> system-view

[Sysname] acl basic 2001

[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0

[Sysname-acl-ipv4-basic-2001] quit

[Sysname] attack-defense policy atk-policy-1

[attack-defense-policy-atk-policy-1] exempt acl 2001

【相关命令】

·     attack-defense policy

1.1.72  fin-flood action

fin-flood action命令用来配置对FIN flood攻击防范的全局处理行为。

undo fin-flood action命令用来恢复缺省情况。

【命令】

fin-flood action { client-verify | drop | logging } *

undo fin-flood action

【缺省情况】

不对检测到的FIN flood攻击采取任何处理行为。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

client-verify:表示自动将受到攻击的IP地址添加到TCP客户端验证的受保护IP列表中。若客户端验证功能已使能,则对客户端与受保护IP地址之间的连接进行代理。本参数对基于源IP统计的泛洪攻击不生效。

drop:表示丢弃攻击报文。对于基于源IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃源自攻击者的后续所有FIN报文;对于基于目的IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃向被攻击者发送的后续所有FIN报文。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

本命令中client-verify参数的使用需要和TCP客户端验证功能配合。开启了TCP客户端验证的安全域检测到FIN flood攻击时,若本命令中指定了client-verify参数,则设备会将受攻击的IP地址动态添加到相应客户端验证的受保护IP列表中,并对与这些IP地址建立的连接进行代理。若安全域上未开启相应的代理功能,则不会对任何连接进行代理。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

#在攻击防范策略atk-policy-1配置对FIN flood攻击防范的全局处理行为是丢弃后续报文。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] fin-flood action drop

【相关命令】

·     client-verify tcp enable

·     fin-flood detect

·     fin-flood detect non-specific

·     fin-flood source-threshold

·     fin-flood threshold

1.1.73  fin-flood detect

fin-flood detect命令用来开启对指定IP地址的FIN flood攻击防范检测,并配置FIN flood攻击防范检测的触发阈值和对FIN flood攻击的处理行为。

undo fin-flood detect命令用来关闭对指定IP地址的FIN flood攻击防范检测。

【命令】

fin-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]

undo fin-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未对任何指定IP地址配置FIN flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为255.255.255.255或0.0.0.0。

ipv6 ipv6-address:指定要保护的IPv6地址。该IPv6地址不能为组播地址或::。

vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。

threshold threshold-value:指定FIN flood攻击防范基于目的IP统计的触发阈值。其中,threshold-value为向指定IP地址每秒发送的FIN报文数目,取值范围为1~1000000。

action:设置对FIN flood攻击的处理行为。若未指定本参数,则表示采用FIN flood攻击防范的全局处理行为。

client-verify:表示自动将受到攻击的IP地址添加到TCP客户端验证的受保护IP列表中。若客户端验证功能使能,则对客户端与受保护IP地址之间的连接进行代理。

drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有FIN报文都会被丢弃。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

none:表示不采取任何动作。

【使用指导】

使能FIN flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送FIN报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了FIN flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

每个攻击防范策略下可以同时对多个IP地址配置FIN flood攻击防范检测。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的FIN flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的FIN报文数持续达到或超过2000时,启动FIN flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] fin-flood detect ip 192.168.1.2 threshold 2000

【相关命令】

·     fin-flood action

·     fin-flood detect non-specific

·     fin-flood threshold

1.1.74  fin-flood detect non-specific

fin-flood detect non-specific命令用来对所有非受保护IP地址开启FIN flood攻击防范检测。

undo fin-flood detect non-specific命令用来关闭对所有非受保护IP地址的FIN flood攻击防范检测。

【命令】

fin-flood detect non-specific

undo fin-flood detect non-specific

【缺省情况】

未对任何非受保护IP地址开启FIN flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对所有非受保护IP地址开启FIN flood攻击防范检测后,设备将采用全局的阈值设置(由fin-flood thresholdfin-flood source-threshold命令设置)和处理行为(由fin-flood action命令配置)对这些IP地址进行保护或防御。

【举例】

# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启FIN flood攻击防范检测。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] fin-flood detect non-specific

【相关命令】

·     fin-flood action

·     fin-flood detect

·     fin-flood source-threshold

·     fin-flood threshold

1.1.75  fin-flood threshold

fin-flood threshold命令用来配置FIN flood攻击防范基于目的IP统计的全局触发阈值。

undo fin-flood threshold命令用来恢复缺省情况。

【命令】

fin-flood threshold threshold-value

undo fin-flood threshold

【缺省情况】

FIN flood攻击防范基于目的IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定向某IP地址每秒发送的FIN报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于目的IP地址的FIN flood攻击防范。

【使用指导】

使能FIN flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送FIN报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了FIN flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

对于未专门配置FIN flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的FIN报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。

【举例】

# 在攻击防范策略atk-policy-1中配置FIN flood攻击防范检测的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的FIN报文数持续达到或超过100时,启动FIN flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] fin-flood threshold 100

【相关命令】

·     fin-flood action

·     fin-flood detect

·     fin-flood detect non-specific

1.1.76  fin-flood source-threshold

fin-flood source-threshold命令用来配置FIN flood攻击防范基于源IP统计的全局触发阈值。

undo fin-flood source-threshold命令用来恢复缺省情况。

【命令】

fin-flood source-threshold threshold-value

undo fin-flood source-threshold

【缺省情况】

FIN flood攻击防范基于源IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定每秒接收到从某IP地址发出的FIN报文数目,取值范围为0~1000000,取值范围为0~1000000,当设置为0时,表示关闭基于源IP统计的FIN flood攻击防范。

【使用指导】

使能FIN flood攻击防范后,设备处于攻击检测状态,当它监测到某IP地址发送FIN报文的速率持续达到或超过了该触发阈值时,即认为该IP地址发起了FIN flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到该IP地址发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

【举例】

# 在攻击防范策略atk-policy-1中配置FIN flood攻击防范检测基于源IP统计的全局触发阈值为100,即当设备监测到某IP地址每秒发送的FIN报文数持续达到或超过100时,启动FIN flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] fin-flood source-threshold 100

【相关命令】

·     fin-flood action

·     fin-flood detect

·     fin-flood detect non-specific

1.1.77  http-flood action

http-flood action命令用来配置对HTTP flood攻击防范的全局处理行为。

undo http-flood action命令用来恢复缺省情况。

【命令】

http-flood action { client-verify | drop | logging } *

undo http-flood action

【缺省情况】

不对检测到的HTTP flood攻击采取任何处理行为。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

client-verify:表示自动将受到攻击的IP地址添加到HTTP客户端验证的受保护IP列表中。若客户端验证功能已使能,则对客户端与受保护IP地址之间的连接进行代理。本参数对基于源IP统计的泛洪攻击不生效。

drop:表示丢弃攻击报文。对于基于源IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃源自攻击者的后续所有HTTP报文;对于基于目的IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃向被攻击者发送的后续所有HTTP报文。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

本命令中client-verify参数的使用需要和HTTP客户端验证功能配合。开启了HTTP客户端验证的安全域检测到HTTP flood攻击时,若本命令中指定了client-verify参数,则设备会将受攻击的IP地址动态添加到相应客户端验证的受保护IP列表中,并对与这些IP地址建立的连接进行代理。若安全域上未开启相应的代理功能,则不会对任何连接进行代理。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中配置对HTTP flood攻击防范的全局处理行为是丢弃后续报文。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] http-flood action drop

【相关命令】

·     client-verify http enable

·     http-flood detect non-specific

·     http-flood detect

·     http-flood source-threshold

·     http-flood threshold

1.1.78  http-flood detect

http-flood detect命令用来开启对指定IP地址的HTTP flood攻击防范检测,并配置HTTP flood攻击防范的触发阈值和对HTTP flood攻击的处理行为。

undo http-flood detect命令用来关闭对指定IP地址的HTTP flood攻击防范检测。

【命令】

http-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]

undo http-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未对任何指定IP地址配置HTTP flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为255.255.255.255或0.0.0.0。

ipv6 ipv6-address:指定要保护的IPv6地址。该IPv6地址不能为组播地址或::。

vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。

port port-list:指定开启HTTP flood攻击防范检测的端口列表,表示方式为{ start-port-number [ to end-port-number ] } &<1-24>&<1-24>表示前面的参数最多可以输入24次。end-port-number必须大于或等于start-port-number。若未指定本参数,则表示使用全局配置的检测端口列表。

threshold threshold-value:指定HTTP flood攻击防范基于目的IP统计的触发阈值。其中,threshold-value为向指定IP地址每秒发送的HTTP报文数目,取值范围为1~1000000。

action:设置对HTTP flood攻击的处理行为。若未指定本参数,则表示采用HTTP flood攻击防范的全局处理行为。

client-verify:表示自动将受到攻击的IP地址添加到HTTP客户端验证的受保护IP列表中。若客户端验证功能已使能,则对客户端与受保护IP地址之间的连接进行代理。

drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有HTTP报文都会被丢弃。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

none:表示不采取任何动作。

【使用指导】

使能HTTP flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送HTTP报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了HTTP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

每个攻击防范策略下可以同时对多个IP地址配置HTTP flood攻击防范检测。

告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的HTTP flood攻击防范检测,并指定检测端口为80与8080、触发阈值为2000。当设备监测到向该IP地址的80或8080端口每秒发送的HTTP报文数持续达到或超过2000时,启动HTTP flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] http-flood detect ip 192.168.1.2 port 80 8080 threshold 2000

【相关命令】

·     http-flood action

·     http-flood detect non-specific

·     http-flood port

·     http-flood threshold

1.1.79  http-flood detect non-specific

http-flood detect non-specific命令用来对所有非受保护IPv4地址开启HTTP flood攻击防范检测。

undo http-flood detect non-specific命令用来关闭对所有非受保护IPv4地址的HTTP flood攻击防范检测。

【命令】

http-flood detect non-specific

undo http-flood detect non-specific

【缺省情况】

未对任何非受保护IP地址开启HTTP flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对所有非受保护IP地址开启HTTP flood攻击防范检测后,设备将采用全局的阈值设置(由http-flood thresholdhttp-flood source-threshold命令设置)和处理行为(由http-flood action命令配置)对这些IP地址进行保护或防御。

【举例】

# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启HTTP flood攻击防范检测。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] http-flood detect non-specific

【相关命令】

·     http-flood action

·     http-flood detect

·     http-flood source-threshold

·     http-flood threshold

1.1.80  http-flood port

http-flood port命令用来配置HTTP flood攻击防范的全局检测端口号。

undo http-flood port命令用来恢复缺省情况。

【命令】

http-flood port port-list

undo http-flood port

【缺省情况】

HTTP flood攻击防范的全局检测端口号为80。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

port-list:指定开启HTTP flood攻击防范检测的端口列表,表示方式为{ start-port-number [ to end-port-number ] } &<1-32>&<1-32>表示前面的参数最多可以输入32次。end-port-number必须大于或等于start-port-number

【使用指导】

设备只对指定检测端口上收到的报文进行HTTP flood攻击检测。

对于所有非受保护IP地址,或未指定检测端口的受保护IP地址,设备采用全局的检测端口进行HTTP flood攻击检测。对于所有指定检测端口的受保护IP地址,设备针对为每个受保护IP地址指定的端口进行HTTP flood攻击检测。

【举例】

# 在攻击防范策略atk-policy-1中配置DNS flood攻击防范的全局检测端口为80与8080,当设备检测到访问80端口或8080端口的HTTP flood攻击时,启动攻击防范措施。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] http-flood port 80 8080

【相关命令】

·     http-flood action

·     http-flood detect

·     http-flood detect non-specific

·     http-flood source-threshold

·     http-flood threshold

1.1.81  http-flood threshold

http-flood threshold命令用来配置HTTP flood攻击防范基于目的IP统计的全局触发阈值。

undo http-flood threshold命令用来恢复缺省情况。

【命令】

http-flood threshold threshold-value

undo http-flood threshold

【缺省情况】

HTTP flood攻击防范基于目的IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定向某IP地址每秒发送的HTTP报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于目的IP地址的HTTP flood攻击防范。

【使用指导】

使能HTTP flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送HTTP报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了HTTP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

对于未专门配置HTTP flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器)的HTTP报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。

【举例】

# 在攻击防范策略atk-policy-1中配置HTTP flood攻击防范的全局触发阈值为100, 即当设备监测到向某IP地址每秒发送的HTTP报文数持续达到或超过100时,启动HTTP flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] http-flood threshold 100

【相关命令】

·     http-flood action

·     http-flood detect

·     http-flood detect non-specific

·     http-flood port

1.1.82  http-flood source-threshold

http-flood source-threshold命令用来配置HTTP flood攻击防范基于源IP统计的全局触发阈值。

undo http-flood source-threshold命令用来恢复缺省情况。

【命令】

http-flood source-threshold threshold-value

undo http-flood source-threshold

【缺省情况】

HTTP flood攻击防范基于源IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定每秒接收到从某IP地址发出的HTTP报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于源IP统计的HTTP flood攻击防范。

【使用指导】

使能HTTP flood攻击防范后,设备处于攻击检测状态,当它监测到某IP地址发送HTTP报文的速率持续达到或超过了该触发阈值时,即认为该IP地址发起了HTTP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到该IP地址发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

【举例】

# 在攻击防范策略atk-policy-1中配置HTTP flood攻击防范基于源IP统计的全局触发阈值为100, 即当设备监测到某IP地址每秒发送的HTTP报文数持续达到或超过100时,启动HTTP flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] http-flood source-threshold 100

【相关命令】

·     http-flood action

·     http-flood detect

·     http-flood detect non-specific

·     http-flood port

1.1.83  http-slow-attack action

http-slow-attack action命令用来配置HTTP慢速攻击防范的全局处理行为。

undo http-slow-attack action命令用来恢复缺省情况。

【命令】

http-slow-attack action { block-source [ timeout minutes ] | logging } *

undo http-slow-attack action

【缺省情况】

不对检测到的HTTP慢速攻击采取任何措施。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

block-source:表示阻断并丢弃来自该IP地址的后续报文。具体实现是,当设备检测到攻击发生后,会自动将发起攻击的源IP地址添加到IP黑名单动态表项中,当安全域上的黑名单过滤功能处于开启状态时,来自该IP地址的报文将被丢弃。

timeout minutes:动态添加的黑名单表项的老化时间。其中,minutes表示老化时间,取值范围为1~10080,单位为分钟,缺省为10。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

要使HTTP慢速攻击防范添加的IP黑名单动态表项生效,必须保证安全域上的黑名单过滤功能处于开启状态。

【举例】

# 在攻击防范策略atk-policy-1中配置HTTP慢速攻击防范的全局处理行为为输出告警日志和阻断并丢弃来自该IP地址的后续报文,并配置动态添加的黑名单表项的老化时间为10分钟。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack action logging block-source  timeout 10

【相关命令】

·     blacklist enable

·     blacklist global enable

·     http-slow-attack detect

·     http-slow-attack detect non-specific

·     http-slow-attack period

·     http-slow-attack port

·     http-slow-attack threshold

1.1.84  http-slow-attack detect

http-slow-attack detect命令用来开启对指定IP地址的HTTP慢速攻击防范检测,并配置HTTP慢速攻击防范检测的检测端口号、触发阈值、检测周期和对HTTP慢速攻击的处理行为。

undo http-slow-attack detect命令用来关闭对指定IP地址的HTTP慢速攻击防范检测。

【命令】

http-slow-attack detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port { start-port-number [ to end-port-number ] } &<1-16> ] [ threshold { alert-number alert-number | content-length content-length | payload-length payload-length | packet-number packet-number }* ] [ period period ] [ action { block-source [ timeout minutes ] | logging }* ]

undo http-slow-attack detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未对任何指定IP地址开启HTTP慢速攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为255.255.255.255或0.0.0.0。

ipv6 ipv6-address:指定要保护的IPv6地址。该IPv6地址不能为组播地址或::。

vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。

port port-list:指定开启慢速攻击防范检测的端口列表,表示方式为{ start-port-number [ to end-port-number ] } &<1-16>&<1-16>表示前面的参数最多可以输入16次。end-port-number必须大于或等于start-port-number。若未指定本参数,则表示使用全局配置的检测端口列表。

threshold:指定HTTP慢速攻击防范的阈值。若未指定本参数,则表示采用慢速攻击防范的全局阈值。

alert-number alert-number:指定触发慢速攻击检测的HTTP并发连接数,取值范围为1~1200000,缺省为5000。

content-length content-length:指定HTTP报文Content-Length字段的阈值,取值范围为100~100000000,缺省为10000。

payload-length payload-length:指定HTTP报文实际载荷的阈值,取值范围为1~1000,缺省为50。

packet-number packet-number:指定异常报文的防范阈值,取值范围为1~1000,缺省为10。

period period:攻击检测周期,取值范围为1~1200,单位为秒。若未指定本参数,则表示采用慢速攻击防范的全局检测周期。

action:设置对HTTP慢速攻击的处理行为。若未指定本参数,则表示采用慢速攻击防范的全局处理行为。

block-source:表示阻断并丢弃来自该IP地址的后续报文。具体实现是,当设备检测到攻击发生后,会自动将发起攻击的源IP地址添加到IP黑名单动态表项中,当安全域上的黑名单过滤功能处于开启状态时,来自该IP地址的报文将被丢弃。

timeout minutes:动态添加的黑名单表项的老化时间,取值范围为1~10080,单位为分钟,缺省值为10。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

要使HTTP慢速攻击防范添加的IP黑名单动态表项生效,必须保证安全域上的黑名单过滤功能处于开启状态。

若指定threshold关键字,而未指定alert-numbercontent-lengthpayload-lengthpacket-number参数中的一个或多个,未指定的参数采用缺省值,而不采用全局阈值。

【举例】

# 在攻击防范策略atk-policy-1中开启对IP地址1.1.1.1的HTTP慢速攻击检测,并指定检测端口为80和8080,指定HTTP慢速攻击检测的触发阈值为3000,HTTP报文首部Content-Length字段大于10000且负载长度小于20时,则认为该报文异常。当异常报文个数超过10后,将该源IP地址加入动态黑名单。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack detect ip 1.1.1.1 port 80 8080 threshold alert-number 3000 content-length 10000 payload-length 20 packet-number 10  action block-source

【相关命令】

·     blacklist enable

·     blacklist global enable

·     http-slow-attack action

·     http-slow-attack detect non-specific

·     http-slow-attack period

·     http-slow-attack port

·     http-slow-attack threshold

1.1.85  http-slow-attack detect non-specific

http-slow-attack detect non-specific命令用来对所有非受保护IP地址开启HTTP慢速攻击防范检测。

undo http-slow-attack detect non-specific命令用来关闭对所有非受保护IP地址的HTTP慢速攻击防范检测。

【命令】

http-slow-attack detect non-specific

undo http-slow-attack detect non-specific

【缺省情况】

未对任何非受保护IP地址开启HTTP慢速攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对所有非受保护IP地址开启HTTP慢速攻击防范检测后,设备将采用全局的阈值设置(由http-slow-attack threshold命令配置)、周期设置(由http-slow-attack period命令配置)、端口设置(由http-slow-attack port命令配置)和处理行为(由http-slow-attack action命令配置)对这些IP地址进行保护。

【举例】

# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启HTTP慢速攻击防范检测。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack detect non-specific

【相关命令】

·     http-slow-attack action

·     http-slow-attack detect

·     http-slow-attack period

·     http-slow-attack port

·     http-slow-attack threshold

1.1.86  http-slow-attack period

http-slow-attack period命令用来配置HTTP慢速攻击防范的检测周期。

undo http-slow-attack period命令用来恢复缺省情况。

【命令】

http-slow-attack period period

undo http-slow-attack period

【缺省情况】

HTTP慢速攻击检测周期为60秒。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

period period:攻击检测周期,取值范围为1~1200,缺省值为60,单位为秒。

【举例】

# 在攻击防范策略atk-policy-1中配置HTTP慢速攻击检测周期为10秒。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack period 10

【相关命令】

·     http-slow-attack action

·     http-slow-attack detect

·     http-slow-attack detect non-specific

·     http-slow-attack port

·     http-slow-attack threshold

1.1.87  http-slow-attack port

http-slow-attack port命令用来配置慢速攻击防范的全局检测端口号。

undo http-slow-attack port命令用来恢复缺省情况。

【命令】

http-slow-attack port port-list &<1-32>

undo http-slow-attack port

【缺省情况】

慢速攻击防范的全局检测端口号为80。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

port-list:指定开启慢速攻击防范检测的端口列表,表示方式为{ start-port-number [ to end-port-number ] } &<1-32>&<1-32>表示前面的参数最多可以输入32次。end-port-number必须大于或等于start-port-number

【使用指导】

设备只对指定检测端口的报文进行慢速攻击检测。

对于所有非受保护IP地址,或未指定检测端口的受保护IP地址,设备采用全局的检测端口进行慢速攻击检测。对于所有指定检测端口的受保护IP地址,设备针对为每个受保护IP地址指定的端口进行慢速攻击检测。

一般情况下,建议尽量使用缺省端口号80作为慢速攻击防范的全局检测端口号。如果需要通过本命令指定非缺省端口作为慢速攻击防范的全局检测端口号,需确保配置的端口号为HTTP协议的通信端口号。否则会给设备带来大量无效的HTTP慢速攻击检测,耗费大量系统资源。

【举例】

# 在攻击防范策略atk-policy-1中配置慢速攻击防范的全局检测端口为80与8000,设备统计目的端口为80或8000的并发连接数,超过阈值后启动慢速攻击报文检测。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack port 80 8000

【相关命令】

·     http-slow-attack action

·     http-slow-attack detect

·     http-slow-attack detect non-specific

·     http-slow-attack period

·     http-slow-attack threshold

1.1.88  http-slow-attack threshold

http-slow-attack threshold命令用来配置HTTP慢速攻击防范的全局触发阈值。

undo http-slow-attack threshold命令用来恢复缺省情况。

【命令】

http-slow-attack threshold [ alert-number alert-number | content-length content-length | payload-length payload-length | packet-number packet-number ]*

undo http-slow-attack threshold

【缺省情况】

当HTTP报文连接数超过5000时,触发HTTP慢速攻击检测功能。当HTTP报文首部Content-Length字段的值大于10000,并且HTTP报文负载长度小于50时,则认为设备受到了HTTP慢速攻击。当检测周期内,异常报文个数超过10个,则执行相应的HTTP慢速攻击防范处理行为。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

alert-number alert-number:指定触发慢速攻击检查的HTTP每秒并发连接数,取值范围为1~1200000,缺省为5000。

content-length content-length:指定HTTP报文Content-Length字段的阈值,取值范围为100~100000000,缺省为10000。

payload-length payload-length:指定报文实际载荷的阈值,取值范围为1~1000,缺省为50。

packet-number packet-number:指定异常报文的防范阈值,取值范围为1~1000,缺省为10。

【使用指导】

当设备的HTTP并发连接数超过HTTP慢速攻击检测的触发阈值时,触发HTTP慢速攻击检测功能。之后,若设备收到的HTTP报文首部Content-Length字段的值大于content-length,并且HTTP报文负载长度小于payload-length,则认为设备受到了HTTP慢速攻击。当设备收到报文的数目超过配置的异常报文防范阈值,则执行相应的HTTP慢速攻击防范处理行为。

阈值参数可选配,如未配置,则默认为缺省值。

多次命令行配置以最后一次为准。

【举例】

# 在攻击防范策略atk-policy-1中配置HTTP慢速攻击检测,配置HTTP慢速攻击检测的触发阈值为3000,HTTP报文首部Content-Length字段的阈值为10000,HTTP报文实际载荷阈值为20,异常报文的防范阈值为10。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] http-slow-attack  threshold alert-number 3000 content-length 10000 payload-length 20 packet-number 10

【相关命令】

·     http-slow-attack action

·     http-slow-attack detect

·     http-slow-attack detect non-specific

·     http-slow-attack period

·     http-slow-attack port

1.1.89  icmp-flood action

icmp-flood action命令用来配置对ICMP flood攻击防范的全局处理行为。

undo icmp-flood action命令用来恢复缺省情况。

【命令】

icmp-flood action { drop | logging } *

undo icmp-flood action

【缺省情况】

不对检测到的ICMP flood攻击采取任何措施。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

drop:表示丢弃攻击报文。对于基于源IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃源自攻击者的后续所有ICMP报文;对于基于目的IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃向被攻击者发送的后续所有ICMP报文。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中配置对ICMP flood攻击防范的全局处理行为是丢弃后续报文。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] icmp-flood action drop

【相关命令】

·     icmp-flood detect non-specific

·     icmp-flood detect ip

·     icmp-flood source-threshold

·     icmp-flood threshold

1.1.90  icmp-flood detect ip

icmp-flood detect ip命令用来开启对指定IP地址的ICMP flood攻击防范检测,并配置ICMP flood攻击防范检测的触发阈值和对ICMP flood攻击的处理行为。

undo icmp-flood detect ip命令用来关闭对指定IP地址的ICMP flood攻击防范检测。

【命令】

icmp-flood detect ip ip-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]

undo icmp-flood detect ip ip-address [ vpn-instance vpn-instance-name ]

【缺省情况】

未对任何指定IP地址配置ICMP flood 攻击防范触发阈值。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip ip-address:指定要保护的IP地址。该IP地址不能为255.255.255.255或0.0.0.0。

vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。

threshold threshold-value:指定ICMP flood攻击防范基于目的IP统计的触发阈值。其中,threshold-value为向指定IP地址每秒发送的ICMP报文数目,取值范围为1~1000000。

action:设置对ICMP flood攻击的处理行为。若未指定本参数,则表示采用ICMP flood攻击防范的全局处理行为。

drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有ICMP报文都会被丢弃。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

none:表示不采取任何动作。

【使用指导】

使能ICMP flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送ICMP报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了ICMP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

每个攻击防范策略下可以同时对多个IP地址配置ICMP flood攻击防范检测。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的ICMP flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的ICMP报文数持续达到或超过2000时,启动ICMP flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] icmp-flood detect ip 192.168.1.2 threshold 2000

【相关命令】

·     icmp-flood action

·     icmp-flood detect non-specific

·     icmp-flood threshold

1.1.91  icmp-flood detect non-specific

icmp-flood detect non-specific命令用来对所有非受保护IPv4地址开启ICMP flood攻击防范检测。

undo icmp-flood detect non-specific命令用来关闭对所有非受保护IPv4地址的ICMP flood攻击防范检测。

【命令】

icmp-flood detect non-specific

undo icmp-flood detect non-specific

【缺省情况】

未对任何非受保护IPv4地址开启ICMP flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对任何非受保护IPv4地址开启ICMP flood攻击防范检测后,设备将采用全局的阈值设置(由icmp-flood thresholdicmp-flood source-threshold命令设置)和处理行为(由icmp-flood action命令配置)对这些IP地址进行保护或防御。

【举例】

# 在攻击防范策略atk-policy-1中,对所有非受保护IPv4地址开启ICMP flood攻击防范检测。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] icmp-flood detect non-specific

【相关命令】

·     icmp-flood action

·     icmp-flood detect ip

·     icmp-flood source-threshold

·     icmp-flood threshold

1.1.92  icmp-flood threshold

icmp-flood threshold命令用来配置ICMP flood攻击防范基于目的IP统计的全局触发阈值。

undo icmp-flood threshold命令用来恢复缺省情况。

【命令】

icmp-flood threshold threshold-value

undo icmp-flood threshold

【缺省情况】

ICMP flood攻击防范基于目的IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定向某IP地址每秒发送的ICMP报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于目的IP地址的ICMP flood攻击防范。

【使用指导】

使能ICMP flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送ICMP报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了ICMP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

对于未专门配置ICMP flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的ICMP报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。

【举例】

# 在攻击防范策略atk-policy-1中配置ICMP flood攻击防范检测的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的ICMP报文数持续达到或超过100时,启动ICMP flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] icmp-flood threshold 100

【相关命令】

·     icmp-flood action

·     icmp-flood detect

·     icmp-flood detect non-specific

1.1.93  icmp-flood source-threshold

icmp-flood source-threshold命令用来配置ICMP flood攻击防范基于源IP统计的全局触发阈值。

undo icmp-flood source-threshold命令用来恢复缺省情况。

【命令】

icmp-flood source-threshold threshold-value

undo icmp-flood source-threshold

【缺省情况】

ICMP flood攻击防范基于源IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定每秒接收到从某IP地址发出的ICMP报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于源IP统计的ICMP flood攻击防范。

【使用指导】

使能ICMP flood攻击防范后,设备处于攻击检测状态,当它监测到某IP地址发送ICMP报文的速率持续达到或超过了该触发阈值时,即认为该IP地址发起了ICMP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该IP发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

【举例】

# 在攻击防范策略atk-policy-1中配置ICMP flood攻击防范检测基于源IP统计的全局触发阈值为100,即当设备监测到某IP地址每秒发送的ICMP报文数持续达到或超过100时,启动ICMP flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] icmp-flood source-threshold 100

【相关命令】

·     icmp-flood action

·     icmp-flood detect

·     icmp-flood detect non-specific

1.1.94  icmpv6-flood action

icmpv6-flood action命令用来配置对ICMPv6 flood攻击防范的全局处理行为。

undo icmpv6-flood action命令用来恢复缺省情况。

【命令】

icmpv6-flood action { drop | logging } *

undo icmpv6-flood action

【缺省情况】

不对检测到的ICMPv6 flood攻击采取任何防范措施。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

drop:表示丢弃攻击报文。对于基于源IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃源自攻击者的后续所有ICMPv6报文;对于基于目的IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃向被攻击者发送的后续所有ICMPv6报文。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中配置对ICMPv6 flood攻击防范的全局处理行为是丢弃后续报文。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood action drop

【相关命令】

·     icmpv6-flood detect ipv6

·     icmpv6-flood detect non-specific

·     icmpv6-flood source-threshold

·     icmpv6-flood threshold

1.1.95  icmpv6-flood detect ipv6

icmpv6-flood detect ipv6命令用来开启对指定IPv6地址的ICMPv6 flood攻击防范检测,并配置ICMPv6 flood攻击防范检测的触发阈值和对ICMPv6 flood攻击的处理行为。

undo icmpv6-flood detect ipv6命令用来关闭对指定IPv6地址的ICMPv6 flood攻击防范检测。

【命令】

icmpv6-flood detect ipv6 ipv6-address [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]

undo icmpv6-flood detect ipv6 ipv6-address [ vpn-instance vpn-instance-name ]

【缺省情况】

未对任何指定IPv6地址配置ICMPv6 flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-address:指定要保护的IPv6地址。该IPv6地址不能为组播地址或::。

vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。

threshold threshold-value:指定ICMPv6 flood攻击防范基于目的IP统计的触发阈值。其中,threshold-value为向指定IP地址每秒发送的ICMPv6报文数目,取值范围为1~1000000。

action:设置对ICMPv6 flood攻击的处理行为。若未指定本参数,则表示采用ICMPv6 flood攻击防范的全局处理行为。

drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有ICMPv6报文都会被丢弃。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

none:表示不采取任何动作。

【使用指导】

使能ICMPv6 flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送ICMPv6报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了ICMPv6 flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

每个攻击防范策略下可以同时对多个IPv6地址配置ICMPv6 flood攻击防范检测。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中开启对IP地址2012::12的ICMPv6 flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的ICMP报文数持续达到或超过2000时,启动ICMPv6 flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood detect ipv6 2012::12 threshold 2000

【相关命令】

·     icmpv6-flood action

·     icmpv6-flood detect non-specific

·     icmpv6-flood threshold

1.1.96  icmpv6-flood detect non-specific

icmpv6-flood detect non-specific命令用来对所有非受保护IPv6地址开启ICMPv6 flood攻击防范检测。

undo icmpv6-flood detect non-specific命令用来关闭对所有非受保护IPv6地址的ICMPv6 flood攻击防范检测。

【命令】

icmpv6-flood detect non-specific

undo icmpv6-flood detect non-specific

【缺省情况】

未对任何非受保护IPv6地址开启ICMPv6 flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对所有非受保护IPv6地址开启ICMPv6 flood攻击防范检测后,设备将采用全局的阈值设置(由icmpv6-flood thresholdicmpv6-flood source-threshold命令设置)和处理行为(由icmpv6-flood action命令配置)对这些IP地址进行保护或防御。

【举例】

# 在攻击防范策略atk-policy-1中,对所有非受保护IPv6地址开启ICMPv6 flood攻击防范检测。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood detect non-specific

【相关命令】

·     icmpv6-flood action

·     icmpv6-flood detect ipv6

·     icmpv6-flood source-threshold

·     icmpv6-flood threshold

1.1.97  icmpv6-flood threshold

icmpv6-flood threshold命令用来配置ICMPv6 flood攻击防范基于目的IP统计的全局触发阈值。

undo icmpv6-flood threshold命令用来恢复缺省情况。

【命令】

icmpv6-flood threshold threshold-value

undo icmpv6-flood threshold

【缺省情况】

ICMPv6 flood攻击防范基于目的IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定向某IPv6地址每秒发送的ICMPv6报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于目的IP地址的ICMPv6 flood攻击防范。

【使用指导】

使能ICMPv6 flood攻击防范后,设备处于攻击检测状态,当它监测到向某IPv6地址发送ICMPv6报文的速率持续达到或超过了该触发阈值时,即认为该IPv6地址受到了ICMPv6 flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

对于未专门配置ICMPv6 flood攻击防范检测的IPv6地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的ICMPv6报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。

【举例】

# 在攻击防范策略atk-policy-1中配置ICMPv6 flood攻击防范检测的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的ICMPv6报文数持续达到或超过100时,启动ICMPv6 flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood threshold 100

【相关命令】

·     icmpv6-flood action

·     icmpv6-flood detect

·     icmpv6-flood detect non-specific

1.1.98  icmpv6-flood source-threshold

icmpv6-flood source-threshold命令用来配置ICMPv6 flood攻击防范基于源IP统计的全局触发阈值。

undo icmpv6-flood source-source-threshold命令用来恢复缺省情况。

【命令】

icmpv6-flood source-threshold threshold-value

undo icmpv6-flood source-threshold

【缺省情况】

ICMPv6 flood攻击防范基于源IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定每秒接收到从某IP地址发出的ICMPv6报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于源IP统计的ICMPv6 flood攻击防范。

【使用指导】

使能ICMPv6 flood攻击防范后,设备处于攻击检测状态,当它监测到某IP地址发送ICMPv6报文的速率持续达到或超过了该触发阈值时,即认为该IP地址发起了ICMPv6 flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到该IP地址发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

【举例】

# 在攻击防范策略atk-policy-1中配置ICMPv6 flood攻击防范检测基于源IP统计的全局触发阈值为100,即当设备监测到某IP地址每秒发送的ICMPv6报文数持续达到或超过100时,启动ICMPv6 flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] icmpv6-flood source-threshold 100

【相关命令】

·     icmpv6-flood action

·     icmpv6-flood detect

·     icmpv6-flood detect non-specific

1.1.99  reset attack-defense malformed-packet statistics

reset attack-defense malformed-packet statistics命令用来清除畸形报文统计信息。

【命令】

reset attack-defense malformed-packet statistics

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

执行本命令后,将清空所有畸形报文统计信息。

【举例】

# 清除所有畸形报文统计信息。

<Sysname> reset attack-defense malformed-packet statistics

【相关命令】

·     display attack-defense malformed-packet statistics

1.1.100  reset attack-defense policy flood

reset attack-defense policy flood命令用来清除flood攻击防范受保护IP表项的统计信息。

【命令】

reset attack-defense policy policy-name flood protected { ip | ipv6 } statistics

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:攻击防范策略名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。

ip:指定IPv4类型的flood受保护IP表项。

ipv6:指定IPv6类型的flood受保护IP表项。

statistics:清除指定类型的flood受保护IP表项的统计信息。

【举例】

# 清除攻击防范策略abc中所有IPv4类型的flood保护IP表项的统计信息

<Sysname> reset attack-defense policy abc flood protected ip statistics

# 清除攻击防范策略abc中所有IPv6类型的flood保护IP表项的统计信息

<Sysname> reset attack-defense policy abc flood protected ipv6 statistics

【相关命令】

·     display attack-defense policy ip

·     display attack-defense policy ipv6

1.1.101  reset attack-defense statistics security-zone

reset attack-defense statistics security-zone命令用来清除安全域上的攻击防范的统计信息。

【命令】

reset attack-defense statistics security-zone zone-name

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

zone-name:指定安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。

【举例】

# 清除安全域DMZ上所有攻击防范的统计信息。

<Sysname> reset attack-defense statistics security-zone dmz

【相关命令】

·     display attack-defense policy

1.1.102  reset attack-defense top-attack-statistics

reset attack-defense top-attack-statistics命令用来清除Top10的攻击排名统计信息。

【命令】

reset attack-defense top-attack-statistics

【视图】

用户视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 清除Top10的攻击排名统计信息。

<Sysname> reset attack-defense top-attack-statistics

【相关命令】

·     attack-defense top-attack-statistics enable

·     display attack-defense top-attack-statistics

1.1.103  reset blacklist destination-ip

reset blacklist destination-ip命令用来清除目的IPv4动态黑名单表项。

【命令】

reset blacklist destination-ip { destination-ip-address [ vpn-instance vpn-instance-name ] | all }

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

destination-ip-address:清除指定IPv4地址的目的IPv4动态黑名单表项。其中destination-ip-address表示黑名单表项的IPv4地址。

vpn-instance vpn-instance-name:清除指定VPN实例的目的IPv4动态黑名单表项。其中vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示清除公网中的目的IPv4动态黑名单表项。

all:表示清除所有目的IPv4动态的黑名单表项。

【使用指导】

该命令仅用来清除动态生成的目的IPv4的黑名单表项。用户添加的目的IPv4黑名单表项需要通过undo blacklist destination-ip命令来删除。

【举例】

# 清除所有目的IPv4动态黑名单表项的信息。

<Sysname> reset blacklist destination-ip all

【相关命令】

·     display blacklist destination-ip

1.1.104  reset blacklist destination-ipv6

reset blacklist destination-ipv6命令用来清除目的IPv6动态黑名单表项。

【命令】

reset blacklist destination-ipv6{ destination-ipv6-address [ vpn-instance vpn-instance-name ] | all }

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

destination-ipv6-address :清除指定IPv6地址的目的IPv6动态黑名单表项。其中destination-ipv6-address 表示黑名单表项的IPv6地址。

vpn-instance vpn-instance-name:清除指定VPN实例的目的IPv6动态黑名单表项。其中vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示清除公网中的指定目的IPv6动态黑名单表项。

all:表示清除所有目的IPv6动态黑名单表项。

【使用指导】

该命令仅用来清除动态生成的目的IPv6黑名单表项。用户添加的目的IPv6黑名单表项需要通过undo blacklist destination-ipv6命令来删除。

【举例】

# 清除所有目的IPv6动态黑名单表项的信息。

<Sysname> reset blacklist destination-ipv6 all

【相关命令】

·     display blacklist ipv6

1.1.105  reset blacklist ip

reset blacklist ip命令用来清除IPv4动态黑名单表项。

【命令】

reset blacklist ip { source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ] | all }

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

source-ip-address:清除指定IPv4地址的动态黑名单表项。其中source-ip-address表示黑名单表项的IPv4地址。

vpn-instance vpn-instance-name:清除指定VPN实例的动态黑名单表项。其中vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示清除公网中的指定动态黑名单表项。

ds-lite-peer ds-lite-peer-address:清除黑名单所属的DS-Lite隧道对端地址。其中,ds-lite-peer-address表示黑名单的IPv4地址所属的DS-Lite隧道B4端IPv6地址。若未指定本参数,则表示清除公网中的指定动态黑名单表项。

all:表示清除所有动态IPv4的黑名单表项。

【使用指导】

该命令仅用来清除动态生成的IPv4的黑名单表项。用户添加的黑名单表项需要通过undo blacklist ip命令来删除。

【举例】

# 清除所有IPv4动态黑名单表项的信息。

<Sysname> reset blacklist ip all

【相关命令】

·     display blacklist ip

1.1.106  reset blacklist ipv6

reset blacklist ipv6命令用来清除IPv6动态黑名单表项。

【命令】

reset blacklist ipv6 { source-ipv6-address [ vpn-instance vpn-instance-name ] | all }

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

source-ipv6-address:清除指定IPv6地址的动态黑名单表项。其中source-ip-address表示黑名单表项的IPv6地址。

vpn-instance vpn-instance-name:清除指定VPN实例的动态黑名单表项。其中vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示清除公网中的指定动态黑名单表项。

all:表示清除所有动态IPv6的黑名单表项。

【使用指导】

该命令仅用来清除动态生成的IPv6的黑名单表项。用户添加的黑名单表项需要通过undo blacklist ipv6命令来删除。

【举例】

# 清除所有IPv6动态黑名单表项的信息。

<Sysname> reset blacklist ipv6 all

【相关命令】

·     display blacklist ipv6

1.1.107  reset blacklist statistics

reset blacklist statistics命令用来清除黑名单表项的统计信息。

【命令】

reset blacklist statistics

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

执行本命令后,将清空所有黑名单表项的丢包统计信息。

【举例】

# 清除所有黑名单表项的丢包统计信息。

<Sysname> reset blacklist statistics

【相关命令】

·     display blacklist ip

·     display blacklist ipv6

1.1.108  reset client-verify protected statistics

reset client-verify protected statistics命令用来清除客户端验证的受保护IP地址的统计信息。

【命令】

reset client-verify { dns| dns-reply | http | sip | tcp } protected { ip | ipv6 } statistics

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

dns:指定DNS客户端验证功能。

dns-reply:指定DNS reply验证功能。

http:指定HTTP客户端验证功能。

sip:指定SIP客户端验证功能。

tcp:指定TCP客户端验证功能。

ip:清除所有IPv4类型客户端验证的受保护IP地址的统计信息。

ipv6:清除所有IPv6类型客户端验证的受保护IP地址的统计信息。

【举例】

# 清除TCP客户端验证的受保护IP地址的统计信息。

<Sysname> reset client-verify tcp protected ip statistics

【相关命令】

·     display client-verify protected ip

·     display client-verify protected ipv6

1.1.109  reset client-verify trusted

reset client-verify trusted命令用来清除客户端验证的信任IP表项。

【命令】

reset client-verify { dns| dns-reply | http | sip | tcp } trusted { ip | ipv6 }

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

dns:指定DNS客户端验证功能。

dns-reply:指定DNS reply验证功能。

http:指定HTTP客户端验证功能。

sip:指定SIP客户端验证功能。

tcp:指定TCP客户端验证功能。

ip:清除所有IPv4类型客户端验证的信任IP表项。

ipv6:清除所有IPv6类型客户端验证的信任IP表项。

【举例】

# 清除所有IPv4类型DNS客户端验证的信任IP表项。

<Sysname> reset client-verify dns trusted ip

【相关命令】

·     display client-verify trusted ip

·     display client-verify trusted ipv6

1.1.110  reset whitelist statistics

reset whitelist statistics命令用来清除白名单引用的地址对象组的报文统计信息。

【命令】

reset whitelist statistics

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

执行本命令后,将清空白名单引用的所有地址对象组的报文统计信息。

【举例】

# 清除白名单引用的地址对象组的报文统计信息。

<Sysname> reset whitelist statistics

【相关命令】

·     display whitelist object-group

1.1.111  rst-flood action

rst-flood action命令用来配置对RST flood攻击防范的全局处理行为。

undo rst-flood action命令用来恢复缺省情况。

【命令】

rst-flood action { client-verify | drop | logging } *

undo rst-flood action

【缺省情况】

不对检测到的RST flood攻击采取任何措施。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

client-verify:表示自动将受到攻击的IP地址添加到TCP客户端验证的受保护IP列表中。若客户端验证功能已使能,则对客户端与受保护IP地址之间的连接进行代理。本参数对基于源IP统计的泛洪攻击不生效。

drop:表示丢弃攻击报文。对于基于源IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃源自攻击者的后续所有RST报文;对于基于目的IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃向被攻击者发送的后续所有RST报文。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

本命令中client-verify参数的使用需要和TCP客户端验证功能配合。使能了TCP客户端验证的安全域检测到RST flood攻击时,若本命令中指定了client-verify参数,则设备会将受攻击的IP地址动态添加到相应客户端验证的受保护IP列表中,并对与这些IP地址建立的连接进行代理。若安全域上未使能相应的代理功能,则不会对任何连接进行代理。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中配置对RST flood攻击防范的全局处理行为是丢弃后续报文。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] rst-flood action drop

【相关命令】

·     client-verify tcp enable

·     rst-flood detect

·     rst-flood detect non-specific

·     rst-flood source-threshold

·     rst-flood threshold

1.1.112  rst-flood detect

rst-flood detect命令用来开启对指定IP地址的RST flood攻击防范检测,并配置RST flood攻击防范的触发阈值和对RST flood攻击的处理行为。

undo rst-flood命令用来关闭对指定IP地址的RST flood攻击防范检测。

【命令】

rst-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]

undo rst-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未对任何指定IP地址配置RST flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为255.255.255.255或0.0.0.0。

ipv6 ipv6-address:指定要保护的IPv6地址。该IPv6地址不能为组播地址或::。

vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。

threshold threshold-value:指定RST flood攻击防范基于目的IP统计的触发阈值。其中,threshold-value为向指定IP地址每秒发送的RST报文数目,取值范围为1~1000000。

action:设置对RST flood攻击的处理行为。若未指定本参数,则表示采用RST flood攻击防范的全局处理行为。

client-verify:表示自动将受到攻击的IP地址添加到TCP客户端验证的受保护IP列表中。若客户端验证功能已使能,则对客户端与受保护IP地址之间的连接进行代理。

drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有RST报文都会被丢弃。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

none:表示不采取任何动作。

【使用指导】

使能RST flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送RST报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了RST flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

每个攻击防范策略下可以同时对多个IP地址配置RST flood攻击防范检测。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的RST flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的RST报文数持续达到或超过2000时,启动RST flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] rst-flood detect ip 192.168.1.2 threshold 2000

【相关命令】

·     rst-flood action

·     rst-flood detect non-specific

·     rst-flood threshold

1.1.113  rst-flood detect non-specific

rst-flood detect non-specific命令用来对所有非受保护IP地址开启RST flood攻击防范检测。

undo rst-flood detect non-specific命令用来关闭对所有非受保护IP地址的RST flood攻击防范检测。

【命令】

rst-flood detect non-specific

undo rst-flood detect non-specific

【缺省情况】

未对任何非受保护IP地址开启RST flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对所有非受保护IP地址开启RST flood攻击防范检测后,设备将采用全局的阈值设置(由rst-flood thresholdrst-flood source-threshold命令设置)和处理行为(由rst-flood action命令配置)对这些IP地址进行保护或防御。

【举例】

# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启RST flood攻击防范检测。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] rst-flood detect non-specific

【相关命令】

·     rst-flood action

·     rst-flood detect

·     rst-flood source-threshold

·     rst-flood threshold

1.1.114  rst-flood threshold

rst-flood threshold命令用来配置RST flood攻击防范基于目的IP统计的全局触发阈值。

undo rst-flood threshold命令用来恢复缺省情况。

【命令】

rst-flood threshold threshold-value

undo rst-flood threshold

【缺省情况】

RST flood攻击防范基于目的IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定向某IP地址每秒发送的RST报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于目的IP地址的RST flood攻击防范。

【使用指导】

使能RST flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送RST报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了RST flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

对于未专门配置RST flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的RST报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。

【举例】

# 在攻击防范策略atk-policy-1中配置RST flood攻击防范检测的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的RST报文数持续达到或超过100时,启动RST flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] rst-flood threshold 100

【相关命令】

·     rst-flood action

·     rst-flood detect

·     rst-flood detect non-specific

1.1.115  rst-flood source-threshold

rst-flood source-threshold命令用来配置RST flood攻击防范基于源IP统计的全局触发阈值。

undo rst-flood source-threshold命令用来恢复缺省情况。

【命令】

rst-flood source-threshold threshold-value

undo rst-flood source-threshold

【缺省情况】

RST flood攻击防范基于源IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定每秒接收到从某IP地址发出的RST报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于源IP统计的RST flood攻击防范。

【使用指导】

使能RST flood攻击防范后,设备处于攻击检测状态,当它监测到某IP地址发出RST报文的速率持续达到或超过了该触发阈值时,即认为该IP地址发起了RST flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

【举例】

# 在攻击防范策略atk-policy-1中配置RST flood攻击防范检测的基于源IP统计的全局触发阈值为100,即当设备监测到某IP地址每秒发送的RST报文数持续达到或超过100时,启动RST flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] rst-flood source-threshold 100

【相关命令】

·     rst-flood action

·     rst-flood detect

·     rst-flood detect non-specific

1.1.116  scan detect

scan detect命令用来配置开启指定级别的扫描攻击防范。

undo scan detect命令用来关闭指定级别的扫描攻击防范。

【命令】

scan detect level { { high | low | medium } | user-defined { port-scan-threshold threshold-value | ip-sweep-threshold threshold-value } * [ period period-value ] } action { { block-source [ timeout minutes ] | drop } | logging } *

undo scan detect

【缺省情况】

扫描攻击防范处于关闭状态。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

level:指定攻击防范的检测级别。

high:表示高防范级别,该级别能检测出大部分的扫描攻击,但对活跃主机误报率较高,即将可提供服务的主机的报文错误判断为攻击报文的概率比较高。该级别的扫描攻击检测周期为10秒,针对端口扫描的防范阈值为5000 packets,针对地址扫描的防范阈值为5000 packets。

low:表示低防范级别,该级别提供基本的扫描攻击检测,有很低的误报率,但对于一些扫描攻击类型不能检出。该级别的扫描攻击检测周期为10秒,针对端口扫描的防范阈值为100000 packets,针对地址扫描的防范阈值为100000 packets。

medium:表示中防范级别,该级别有适中的攻击检出率与误报率,通常能够检测出Filtered Scan等攻击。该级别的扫描攻击检测周期为10秒,针对端口扫描的防范阈值为40000 packets,针对地址扫描的防范阈值为40000 packets。

user-defined:表示用户自定义防范规则,用户可根据网络实际情况和需求指定端口扫描、地址扫描的防范阈值和检测周期。

port-scan-threshold threshold-value:指定端口扫描攻击防范的触发阈值。其中,threshold-value为源IP地址每个检测周期内发送的目的端口不同的报文数目,取值范围为1~1000000000。

ip-sweep-threshold threshold-value:指定地址扫描攻击防范的触发阈值。其中,threshold-value为源IP地址每个检测周期内发往不同目的IP地址的报文数目,取值范围为1~1000000000。

period period-value:表示检测周期,period-value的取值范围为1~1000000000,单位为秒,缺省值为10。

action:设置对扫描攻击的处理行为。

block-source:表示阻断并丢弃来自该IP地址的后续报文。具体实现是,当设备检测到攻击发生后,会自动将发起攻击的源IP地址添加到IP黑名单动态表项中,当安全域上的黑名单过滤功能处于开启状态时,来自该IP地址的报文将被丢弃。

timeout minutes:动态添加的黑名单表项的老化时间。其中,minutes表示老化时间,取值范围为1~10080,单位为分钟,缺省值为10。

drop:表示丢弃攻击报文,即设备检测到攻击发生后,由该攻击者发送的报文都将被丢弃。

logging:表示输出告警日志,即设备检测到攻击发生时,生成记录告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

要使扫描攻击防范添加的IP黑名单动态表项生效,必须保证安全域上的黑名单过滤功能处于开启状态。

对于扫描攻击防范动态添加的黑名单,需要配置其老化时间大于扫描攻击的统计周期。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中配置扫描攻击的检测级别为低级别,处理行为是丢弃后续报文。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] scan detect level low action drop

# 在攻击防范策略atk-policy-1中配置扫描攻击的检测级别为低级别,处理行为是发日志,阻断并丢弃来自该IP地址的后续报文,并设置添加的IP黑名单表项的老化时间为10分钟。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] scan detect level low action logging block-source timeout 10

# 在攻击防范策略atk-policy-1中配置扫描攻击的检测级别为用户自定义,端口扫描防范阈值是6000 packets,地址扫描防范阈值是80000 packets,检测周期是30秒,处理行为是发日志,阻断并丢弃来自该IP地址的后续报文,并设置添加的IP黑名单表项的老化时间为10分钟。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] scan detect level user-defined port-scan-threshold 6000 ip-sweep-threshold 80000 period 30 action logging block-source timeout 10

【相关命令】

·     blacklist enable

·     blacklist global enable

1.1.117  signature { large-icmp | large-icmpv6 } max-length

signature { large-icmp | large-icmpv6 } max-length命令用来配置启动Large ICMP攻击防范的ICMP报文长度的最大值。

undo signature { large-icmp | large-icmpv6 } max-length命令用来恢复缺省情况。

【命令】

signature { large-icmp | large-icmpv6 } max-length length

undo signature { large-icmp | large-icmpv6 } max-length

【缺省情况】

启动Large ICMP攻击防范的ICMP报文和ICMPv6报文长度的最大值均为4000字节。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

large-icmp:表示超大ICMP报文攻击防范。

large-icmpv6:表示超大ICMPv6报文攻击防范。

length:表示ICMP报文长度的最大值,ICMP报文取值范围为28~65534,ICMPv6报文取值范围为48~65534,单位为字节。

【举例】

# 在攻击防范策略atk-policy-1中配置启动Large ICMP攻击防范的ICMP报文长度的最大值为50000字节。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] signature large-icmp max-length 50000

【相关命令】

·     signature detect

1.1.118  signature detect

signature detect命令用来开启指定类型单包攻击报文的特征检测,并设置攻击防范的处理行为。

undo signature detect命令用来关闭对指定类型的单包攻击报文的特征检测。

【命令】

signature detect { fraggle | fragment | impossible | land | large-icmp | large-icmpv6 | smurf | snork | tcp-all-flags | tcp-fin-only | tcp-invalid-flags | tcp-null-flag | tcp-syn-fin | tiny-fragment | traceroute | udp-bomb | winnuke } [ action { { drop | logging } * | none } ]

undo signature detect { fraggle | fragment | impossible | land | large-icmp | large-icmpv6 | smurf | snork | tcp-all-flags | tcp-fin-only | tcp-invalid-flags | tcp-null-flag | tcp-syn-fin | tiny-fragment | traceroute | udp-bomb | winnuke }

signature detect { ip-option-abnormal | ping-of-death | teardrop } action { drop | logging } *

undo signature detect { ip-option-abnormal | ping-of-death | teardrop }

signature detect icmp-type { icmp-type-value | address-mask-reply | address-mask-request | destination-unreachable | echo-reply | echo-request | information-reply | information-request | parameter-problem | redirect | source-quench | time-exceeded | timestamp-reply | timestamp-request } [ action { { drop | logging } * | none } ]

undo signature detect icmp-type { icmp-type-value | address-mask-reply | address-mask-request | destination-unreachable | echo-reply | echo-request | information-reply | information-request | parameter-problem | redirect | source-quench | time-exceeded | timestamp-reply | timestamp-request }

signature detect icmpv6-type { icmpv6-type-value | destination-unreachable | echo-reply | echo-request | group-query | group-reduction | group-report | packet-too-big | parameter-problem | time-exceeded } [ action { { drop | logging } * | none } ]

undo signature detect icmpv6-type { icmpv6-type-value | destination-unreachable | echo-reply | echo-request | group-query | group-reduction | group-report | packet-too-big | parameter-problem | time-exceeded }

signature detect ip-option { option-code | internet-timestamp | loose-source-routing | record-route | route-alert | security | stream-id | strict-source-routing } [ action { { drop | logging } * | none } ]

undo signature detect ip-option { option-code | internet-timestamp | loose-source-routing | record-route | route-alert | security | stream-id | strict-source-routing }

signature detect ipv6-ext-header ext-header-value [ action { { drop | logging } * | none } ]

undo signature detect ipv6-ext-header next-header-value

signature detect ipv6-ext-header-abnormal [ action { { drop | logging } * | none } ]

undo signature detect ipv6-ext-header-abnormal

signature detect ipv6-ext-header-exceed [ limit limit-value ] [ action { { drop | logging } * | none } ]

undo signature detect ipv6-ext-header-exceed

【缺省情况】

所有类型的单包攻击报文的特征检测均处于关闭状态。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

fraggle:表示Fraggle类型的报文攻击。

fragment:表示IP分片报文攻击。

icmp-type:表示ICMP类型的报文攻击。可以指定报文的类型值,或者指定报文的类型关键字。

·     icmp-type-value:表示ICMP报文类型的数值,取值范围为0~255。

·     address-mask-reply:表示ICMP address mask reply类型的报文攻击。

·     address-mask-request:表示ICMP address mask request类型的报文攻击。

·     destination-unreachable:表示ICMP destination unreachable类型的报文攻击。

·     echo-reply:表示ICMP echo reply类型的报文攻击。

·     echo-request:表示ICMP echo request类型的报文攻击。

·     information-reply:表示ICMP information reply类型的报文攻击。

·     information-request:表示ICMP information request类型的报文攻击。

·     parameter-problem:表示ICMP para problem类型的报文攻击。

·     redirect:表示ICMP redirect类型的报文攻击。

·     source-quench:表示ICMP source quench类型的报文攻击。

·     time-exceeded:表示ICMP time exceeded类型的报文攻击。

·     timestamp-reply:表示ICMP timestamp reply类型的报文攻击。

·     timestamp-request:表示ICMP timestamp request类型的报文攻击。

icmpv6-type:表示ICMPv6类型的报文攻击。可以指定报文的类型值,或者指定报文的类型关键字。

·     icmpv6-type-value:表示ICMPv6报文类型的数值,取值范围为0~255。

·     destination-unreachable:表示ICMPv6 destination unreachable类型的报文攻击。

·     echo-reply:表示ICMPv6 echo reply类型的报文攻击。

·     echo-request:表示ICMPv6 echo request类型的报文攻击。

·     group-query:表示ICMPv6 group query类型的报文攻击。

·     group-reduction:表示ICMPv6 group reduction类型的报文攻击。

·     group-report:表示ICMPv6 group report类型的报文攻击。

·     packet-too-big:表示ICMPv6 packet too big类型的报文攻击。

·     parameter-problem:表示ICMPv6 para problem类型的报文攻击。

·     time-exceeded:表示ICMPv6 time exceeded类型的报文攻击。

impossible:表示IP不可信报文的攻击。

ip-option:表示IP选项类型的报文攻击。可以指定IP选项代码值,或者指定IP选项关键字。

·     option-code:表示IP选项代码值,取值范围为1~255。

·     internet-timestamp:表示IP选项timestamp类型的报文攻击。

·     loose-source-routing:表示IP选项loose source route类型的报文攻击。

·     record-route:表示IP选项record packet route类型的报文攻击。

·     route-alert:表示IP选项route alert类型的报文攻击。

·     security:表示IP选项security类型的报文攻击。

·     stream-id:表示IP选项stream identifier类型的报文攻击。

·     strict-source-routing:表示IP选项strict source route类型的报文攻击。

ip-option-abnormal:表示IP选项异常类型的报文攻击。

ipv6-ext-header ext-header-value:表示IPv6扩展头参数值,取值范围在0~255。

ipv6-ext-header-abnormal:表示IPv6扩展头异常攻击。

ipv6-ext-header-exceed:表示IPv6扩展头数目超限攻击。

land:表示Land类型的报文攻击。

large-icmp:表示超大ICMP报文的攻击。

large-icmpv6:表示超大ICMPv6报文的攻击。

limit limit-value:指定IPv6扩展头数目上限,取值范围为0~7,缺省值为7。超过limit-value个扩展头数目的IPv6报文将被视为IPv6扩展头数目超限攻击报文。

ping-of-death:表示Ping-of-death类型的报文攻击。

smurf:表示Smurf类型的报文攻击。

snork:表示UDP Snork attack类型的报文攻击。

tcp-all-flags:表示TCP所有标志位均置位的报文攻击。

tcp-fin-only:表示TCP仅FIN标志被置位的报文攻击。

tcp-invalid-flags:表示TCP 标志位非法的报文攻击。

tcp-null-flag:表示TCP 标志位为零的报文攻击。

tcp-syn-fin:表示TCP SYN和FIN标志位被同时置位的报文攻击。

teardrop:表示teardrop类型的报文攻击。

tiny-fragment:表示IP分片报文的攻击。

traceroute:表示Trace route类型的报文攻击。

udp-bomb:表示UDP Bomb attack类型的报文攻击。

winnuke:表示WinNuke类型的报文攻击。

action:对指定报文攻击所采取的攻击防范处理行为。若未指定本参数,则采用该攻击报文所属的攻击防范级别所对应的默认处理行为。

·     drop:设置单包攻击的处理行为为丢弃报文。

·     logging:设置单包攻击的处理行为为发送日志。

·     none:不采取任何动作。

【使用指导】

可以通过多次执行本命令开启多种类型的单包攻击报文的特征检测。

若通过数值指定了报文类型,则当指定的数值为标准的报文类型值时,在显示信息中将会显示该数值对应的报文类型字符串,否则显示为数值。

针对IPv6扩展头异常攻击和IPv6扩展头数目超限攻击的检测仅对IPv6报文头部位于ESP扩展头前的部分进行,不检测位于ESP扩展头之后的部分。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中开启对IP分片攻击报文的特征检测,并指定攻击防范处理行为为为丢弃报文。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] signature detect fragment action drop

【相关命令】

·     signature level action

1.1.119  signature level action

signature level action命令用来配置指定级别单包攻击的处理行为。

undo signature level action命令用来恢复缺省情况。

【命令】

signature level { high | info | low | medium } action { { drop | logging } * | none }

undo signature level { high | info | low | medium } action

【缺省情况】

对提示级别和低级别的单包攻击的处理行为是发送日志;对中级别的单包攻击的处理行为是发送日志并丢包;对高级别的单包攻击的处理行为是发送日志并丢包。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

high:表示高级别的单包攻击,暂无实例。

info:表示提示级别的单包攻击,例如Large ICMP。

low:表示低级别的单包攻击,例如Traceroute。

medium:表示中级别的单包攻击,例如Winnuke。

drop:设置单包攻击的处理行为为丢弃报文。

logging:设置单包攻击的处理行为为发送日志。

none:不采取任何动作。

【使用指导】

系统根据单包攻击结果的严重程度由低到高将其划分为四个攻击级别:提示、低级、中级、高级。开启某一个级别的单包攻击报文的特征检测,相当于批量开启了属于该级别的所有类型的单包攻击报文的特征检测。

若同时通过signature detect命令开启了具体类型的单包攻击报文的特征检测,则以signature detect命令配置的参数为准。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中配置对提示级别的单包攻击的处理行为是丢弃后续报文。

<Sysname> system-view

[Sysname] attack-defense policy 1

[Sysname-attack-defense-policy-1] signature level info action drop

【相关命令】

·     signature detect

·     signature level detect

1.1.120  signature level detect

signature level detect命令用来开启指定级别单包攻击报文的特征检测。

undo signature level detect命令用来关闭对指定级别的单包攻击报文的特征检测。

【命令】

signature level { high | info | low | medium } detect

undo signature level { high | info | low | medium } detect

【缺省情况】

未开启任何级别的单包攻击报文的特征检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

high:表示高级别的单包攻击,暂无实例。

info:表示提示级别的单包攻击,例如Large ICMP报文攻击。

low:表示低级别的单包攻击,例如Traceroute报文攻击。

medium:表示中级别的单包攻击,例如Winnuke报文攻击。

【使用指导】

系统根据单包攻击结果的严重程度将其划分为四个级别:提示、低级、中级、高级。开启某一个级别的单包攻击报文的特征检测,相当于批量开启了属于该级别的所有单包攻击报文的特征检测。针对某一级别的单包攻击的处理行为由signature level action命令指定。若通过signature detect命令开启了具体的单包攻击报文的特征检测,则对该类攻击报文的处理行为以signature detect命令配置的参数为准。

可通过display attack-defense policy命令查看各类型单包攻击所属的级别。

【举例】

# 在攻击防范策略atk-policy-1中开启提示级别的单包攻击报文的特征检测。

<Sysname> system-view

[Sysname] attack-defense policy 1

[Sysname-attack-defense-policy-1] signature level info detect

【相关命令】

·     display attack-defense policy

·     signature detect

·     signature level action

1.1.121  sip-flood action

sip-flood action命令用来配置SIP flood攻击防范的全局处理行为。

undo sip-flood action命令用来恢复缺省情况。

【命令】

sip-flood action { client-verify | drop | logging } *

undo sip-flood action

【缺省情况】

不对检测到的SIP flood攻击采取任何措施。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

client-verify:表示自动将受到攻击的IP地址添加到SIP客户端验证的受保护IP列表中。若客户端验证功能已开启,则对客户端与受保护IP地址之间的连接进行代理。本参数对基于源IP统计的泛洪攻击不生效。

drop:表示丢弃攻击报文。对于基于源IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃源自攻击者的后续所有SIP报文;对于基于目的IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃向被攻击者发送的后续所有SIP报文。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

本命令中client-verify参数的使用需要和SIP客户端验证功能配合。开启了SIP客户端验证功能的接口或安全域检测到SIP flood攻击时,若本命令中指定了client-verify参数,则设备会将受攻击的IP地址动态添加到相应客户端验证的受保护IP列表中,并对与这些IP地址建立的连接进行代理。若接口或安全域上未开启SIP客户端验证功能,则不会对任何连接进行代理。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中配置SIP flood攻击防范的全局处理行为是丢弃后续报文。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] sip-flood action drop

【相关命令】

·     client-verify sip enable

·     sip-flood detect

·     sip-flood detect non-specific

·     sip-flood port

·     sip-flood source-threshold

·     sip-flood threshold

1.1.122  sip-flood detect

sip-flood detect命令用来开启对指定IP地址的SIP flood攻击防范检测,并配置SIP flood攻击防范检测的触发阈值和对SIP flood攻击的处理行为。

undo sip-flood detect命令用来关闭对指定IP地址的SIP flood攻击防范检测。

【命令】

sip-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-list ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]

undo sip-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未对任何指定IP地址开启SIP flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为255.255.255.255或0.0.0.0。

ipv6 ipv6-address:指定要保护的IPv6地址。该IPv6地址不能为组播地址或::。

vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。

port port-list:指定开启SIP flood攻击防范检测的端口列表,表示方式为{ start-port-number [ to end-port-number ] } &<1-32>&<1-32>表示前面的参数最多可以输入32次。end-port-number必须大于或等于start-port-number。若未指定本参数,则表示使用全局配置的检测端口列表。

threshold threshold-value:指定SIP flood攻击防范基于目的IP统计的触发阈值。其中,threshold-value为向指定IP地址每秒发送的SIP报文数目,取值范围为1~1000000,缺省为1000。

action:设置对SIP flood攻击的处理行为。若未指定本参数,则表示采用SIP flood攻击防范的全局处理行为。

client-verify:表示自动将被攻击的IP地址添加到SIP客户端验证的受保护IP列表中。若客户端验证功能已开启,则对客户端与受保护IP地址之间的连接进行代理。

drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有SIP报文都会被丢弃。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

none:表示不采取任何动作。

【使用指导】

开启SIP flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送SIP报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了SIP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

每个攻击防范策略下可以同时对多个IP地址配置SIP flood攻击防范检测。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的SIP flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的SIP报文数持续达到或超过2000时,启动SIP flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] sip-flood detect ip 192.168.1.2 threshold 2000

【相关命令】

·     client-verify sip enable

·     sip-flood action

·     sip-flood detect non-specific

·     sip-flood port

·     sip-flood threshold

1.1.123  sip-flood detect non-specific

sip-flood detect non-specific命令用来对所有非受保护IP地址开启SIP flood攻击防范检测。

undo sip-flood detect non-specific命令用来关闭对所有非受保护IP地址的SIP flood攻击防范检测。

【命令】

sip-flood detect non-specific

undo sip-flood detect non-specific

【缺省情况】

未对任何非受保护IP地址开启SIP flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对所有非受保护IP地址开启SIP flood攻击防范检测后,设备将采用全局的阈值设置(由sip-flood thresholdsip-flood source-threshold命令设置)、端口设置(由sip-flood port命令设置)和处理行为(由sip-flood action命令配置)对这些IP地址进行保护或防御。

【举例】

# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启SIP flood攻击防范检测。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] sip-flood detect non-specific

【相关命令】

·     sip-flood action

·     sip-flood detect

·     sip-flood port

·     sip-flood source-threshold

·     sip-flood threshold

1.1.124  sip-flood port

sip-flood port命令用来配置SIP flood攻击防范的全局检测端口号。

undo sip-flood port命令用来恢复缺省情况。

【命令】

sip-flood port port-list

undo sip-flood port

【缺省情况】

SIP flood攻击防范的全局检测端口号为5060。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

port-list:指定开启SIP flood攻击防范检测的端口列表,表示方式为{ start-port-number [ to end-port-number ] } &<1-32>&<1-32>表示前面的参数最多可以输入32次。end-port-number必须大于或等于start-port-number

【使用指导】

设备只对指定检测端口上收到的报文进行SIP flood攻击检测。

对于所有非受保护IP地址,或未指定检测端口的受保护IP地址,设备采用全局的检测端口进行SIP flood攻击检测。对于所有指定检测端口的受保护IP地址,设备针对为每个受保护IP地址指定的端口进行SIP flood攻击检测。

【举例】

# 在攻击防范策略atk-policy-1中配置SIP flood攻击防范的全局检测端口为5060与65530,当设备检测到访问5060端口或65530端口的SIP flood攻击时,启动攻击防范措施。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] sip-flood port 5060 65530

【相关命令】

·     sip-flood action

·     sip-flood detect

·     sip-flood detect non-specific

·     sip-flood source-threshold

·     sip-flood threshold

1.1.125  sip-flood threshold

sip-flood threshold命令用来配置SIP flood攻击防范基于目的IP统计的全局触发阈值。

undo sip-flood threshold命令用来恢复缺省情况。

【命令】

sip-flood threshold threshold-value

undo sip-flood threshold

【缺省情况】

SIP flood攻击防范基于目的IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定向某IP地址每秒发送的SIP报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于目的IP地址的SIP flood攻击防范。开启SIP flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送SIP报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了SIP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。

【使用指导】

对于未专门配置SIP flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象的SIP报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。

【举例】

# 在攻击防范策略atk-policy-1中配置SIP flood攻击防范的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的SIP报文数持续达到或超过100时,启动攻击防范措施。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] sip-flood threshold 100

【相关命令】

·     sip-flood action

·     sip-flood detect

·     sip-flood detect non-specific

·     sip-flood port

1.1.126  sip-flood source-threshold

sip-flood source-threshold命令用来配置SIP flood攻击防范基于源IP统计的全局触发阈值。

undo sip-flood source-threshold命令用来恢复缺省情况。

【命令】

sip-flood source-threshold threshold-value

undo sip-flood source-threshold

【缺省情况】

SIP flood攻击防范基于源IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定某IP地址每秒发送的SIP报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于源IP统计的SIP flood攻击防范。

【使用指导】

开启SIP flood攻击防范后,设备处于攻击检测状态,当它监测到某IP地址发送SIP报文的速率持续达到或超过了该触发阈值时,即认为该IP地址发起了SIP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到该IP地址发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

【举例】

# 在攻击防范策略atk-policy-1中配置SIP flood攻击防范基于源IP统计的全局触发阈值为100,即当设备监测到某IP地址每秒发送的SIP报文数持续达到或超过100时,启动攻击防范措施。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] sip-flood source-threshold 100

【相关命令】

·     sip-flood action

·     sip-flood detect

·     sip-flood detect non-specific

·     sip-flood port

1.1.127  syn-ack-flood action

syn-ack-flood action命令用来配置对SYN-ACK flood攻击防范的全局处理行为。

undo syn-ack-flood action命令用来恢复缺省情况。

【命令】

syn-ack-flood action { client-verify | drop | logging }*

undo syn-ack-flood action

【缺省情况】

不对检测到的 SYN-ACK flood攻击采取任何措施。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

client-verify:表示自动将受到攻击的IP地址添加到TCP客户端验证的受保护IP列表中。若客户端验证功能已使能,则对客户端与受保护IP地址之间的连接进行代理。本参数对基于源IP统计的泛洪攻击不生效。

drop:表示丢弃攻击报文。对于基于源IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃源自攻击者的后续所有SYN-ACK报文;对于基于目的IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃向被攻击者发送的后续所有SYN-ACK报文。

logging:表示输出告警日志,即设备检测到攻击发生时,生成记录告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

本命令中client-verify参数的使用需要和TCP客户端验证功能配合。开启了TCP客户端验证的安全域检测到SYN-ACK flood攻击时,若本命令中指定了client-verify参数,则设备会将受攻击的IP地址动态添加到相应客户端验证的受保护IP列表中,并对与这些IP地址建立的连接进行代理。若安全域上未开启相应的代理功能,则不会对任何连接进行代理。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中配置对SYN-ACK flood攻击防范的全局处理行为是丢弃后续报文。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood action drop

【相关命令】

·     client-verify tcp enable

·     syn-ack-flood detect

·     syn-ack-flood detect non-specific

·     syn-ack-flood source-threshold

·     syn-ack-flood threshold

1.1.128  syn-ack-flood detect

syn-ack-flood detect命令用来对指定IP地址的SYN-ACK flood攻击防范检测,并配置SYN-ACK flood攻击防范检测触发阈值和防范行为。

undo syn-ack-flood detect命令用来关闭对指定IP地址的SYN-ACK flood攻击防范检测。

【命令】

syn-ack-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]

undo syn-ack-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未对任何指定IP地址配置SYN-ACK flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为255.255.255.255或0.0.0.0。

ipv6 ipv6-address:指定要保护的IPv6地址。该IPv6地址不能为组播地址或::。

vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。

threshold threshold-value:指定SYN-ACK flood攻击防范基于目的IP统计的触发阈值。其中,threshold-value为向指定IP地址每秒发送的SYN-ACK报文数目,取值范围为1~1000000。

action:设置对SYN-ACK flood攻击的处理行为。若未指定本参数,则表示采用SYN-ACK flood攻击防范的全局处理行为。

client-verify:表示自动将受到攻击的IP地址添加到TCP客户端验证的受保护IP列表中。若客户端验证功能已使能,则对客户端与受保护IP地址之间的连接进行代理。

drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有SYN-ACK报文都会被丢弃。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

none:表示不采取任何动作。

【使用指导】

使能SYN-ACK flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送SYN-ACK报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了SYN-ACK flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

每个攻击防范策略下可以同时对多个IP地址配置SYN-ACK flood攻击防范检测。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 开启对IP地址192.168.1.2的SYN-ACK flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的SYN-ACK报文数持续达到或超过2000时,启动SYN-ACK攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood detect ip 192.168.1.2 threshold 2000

【相关命令】

·     syn-ack-flood action

·     syn-ack-flood detect non-specific

·     syn-ack-flood threshold

1.1.129  syn-ack-flood detect non-specific

syn-ack-flood detect non-specific命令用来对所有非受保护IP地址开启SYN-ACK flood攻击防范检测。

undo syn-ack-flood detect non-specific命令用来关闭对所有非受保护IP地址的SYN-ACK flood攻击防范检测。

【命令】

syn-ack-flood detect non-specific

undo syn-ack-flood detect non-specific

【缺省情况】

未对任何非受保护IP地址开启SYN-ACK flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对所有非受保护IP地址开启SYN-ACK flood攻击防范检测后,设备将采用全局的阈值设置(由syn-ack-flood thresholdsyn-ack-flood source-threshold命令设置)和处理行为(由syn-ack-flood action命令配置)对这些IP地址进行保护或防御。

【举例】

# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启UDP flood攻击防范检测。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood detect non-specific

【相关命令】

·     syn-ack flood action

·     syn-ack-flood detect

·     syn-ack-flood source-threshold

·     syn-ack-flood threshold

1.1.130  syn-ack-flood threshold

syn-ack-flood threshold命令用来配置SYN-ACK flood攻击防范基于目的IP统计的全局触发阈值。

undo syn-ack-flood threshold命令用来恢复缺省情况。

【命令】

syn-ack-flood threshold threshold-value

undo syn-ack-flood threshold

【缺省情况】

SYN-ACK flood攻击防范基于目的IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定向某IP地址每秒发送的SYN-ACK报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于目的IP地址的SYN-ACK flood攻击防范。

【使用指导】

使能SYN-ACK flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送SYN-ACK报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了SYN-ACK flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

对于未专门配置SYN-ACK flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的SYN-ACK报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。

【举例】

# 在攻击防范策略atk-policy-1中配置SYN-ACK flood攻击防范的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的SYN-ACK报文数持续达到或超过100时,启动SYN-ACK flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood threshold 100

【相关命令】

·     syn-ack-flood action

·     syn-ack-flood detect

·     syn-ack-flood detect non-specific

1.1.131  syn-ack-flood source-threshold

syn-ack-flood source-threshold命令用来配置SYN-ACK flood攻击防范基于源IP统计的全局触发阈值。

undo syn-ack-flood source-threshold命令用来恢复缺省情况。

【命令】

syn-ack-flood source-threshold threshold-value

undo syn-ack-flood source-threshold

【缺省情况】

SYN-ACK flood攻击防范基于源IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定每秒接收到从某IP地址发出的SYN-ACK报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于源IP统计的SYN-ACK flood攻击防范。

【使用指导】

使能SYN-ACK flood攻击防范后,设备处于攻击检测状态,当它监测到某IP地址发出的SYN-ACK报文的速率持续达到或超过了该触发阈值时,即认为该IP地址发起了SYN-ACK flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到该IP地址发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

【举例】

# 在攻击防范策略atk-policy-1中配置SYN-ACK flood攻击防范基于源IP统计的全局触发阈值为100,即当设备监测到某IP地址每秒发送的SYN-ACK报文数持续达到或超过100时,启动SYN-ACK flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] syn-ack-flood source-threshold 100

【相关命令】

·     syn-ack-flood action

·     syn-ack-flood detect

·     syn-ack-flood detect non-specific

1.1.132  syn-flood action

syn-flood action命令用来配置对SYN flood攻击防范的全局处理行为。

undo syn-flood action命令用来恢复缺省情况。

【命令】

syn-flood action { client-verify | drop | logging } *

undo syn-flood action

【缺省情况】

不对检测到的SYN flood攻击采取任何措施。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

client-verify:表示自动将受到攻击的IP地址添加到TCP客户端验证的受保护IP列表中。若客户端验证功能已使能,则对客户端与受保护IP地址之间的连接进行代理。本参数对基于源IP统计的泛洪攻击不生效。

drop:表示丢弃攻击报文。对于基于源IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃源自攻击者的后续所有SYN报文;对于基于目的IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃向被攻击者发送的后续所有SYN报文。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

本命令中client-verify参数的使用分别需要和TCP客户端验证功能配合。开启了TCP客户端验证的安全域检测到SYN flood攻击时,若本命令中指定了client-verify参数,则设备会将受攻击的IP地址动态添加到相应客户端验证的受保护IP列表中,并对与这些IP地址建立的连接进行代理。若安全域上未开启相应的代理功能,则不会对任何连接进行代理。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中配置对SYN flood攻击防范的全局处理行为是丢弃后续报文。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] syn-flood action drop

【相关命令】

·     syn-flood detect non-specific

·     syn-flood detect

·     syn-flood source-threshold

·     syn-flood threshold

1.1.133  syn-flood detect

syn-flood detect命令用来开启对指定IP地址的SYN flood攻击防范检测,并配置SYN flood攻击防范检测的触发阈值和对SYN flood攻击的处理行为。

undo syn-flood detect命令用来关闭对指定IP地址的SYN flood攻击防范检测。

【命令】

syn-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { client-verify | drop | logging } * | none } ]

undo syn-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未对任何指定IP地址配置SYN flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为255.255.255.255或0.0.0.0。

ipv6 ipv6-address:指定要保护的IPv6地址。该IPv6地址不能为组播地址或::。

vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。

threshold threshold-value:指定SYN flood攻击防范基于目的IP统计的触发阈值。其中,threshold-value为向指定IP地址每秒发送的SYN报文数目,取值范围为1~1000000。

action:设置对SYN flood攻击的处理行为。若未指定本参数,则表示采用SYN flood攻击防范的全局处理行为。

client-verify:表示自动将受到攻击的IP地址添加到TCP客户端验证的受保护IP列表中。若客户端验证功能已使能,则对客户端与受保护IP地址之间的连接进行代理。

drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有SYN报文都会被丢弃。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

none:表示不采取任何动作。

【使用指导】

使能SYN flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送SYN报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了SYN flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

每个攻击防范策略下可以同时对多个IP地址配置SYN flood攻击防范检测。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的SYN flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的SYN报文数持续达到或超过2000时,启动SYN flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] syn-flood detect ip 192.168.1.2 threshold 2000

【相关命令】

·     syn-flood action

·     syn-flood detect non-specific

·     syn-flood threshold

1.1.134  syn-flood detect non-specific

syn-flood detect non-specific命令用来对所有非受保护IP地址开启SYN flood攻击防范检测。

undo syn-flood detect non-specific命令用来关闭对所有非受保护IP地址的SYN flood攻击防范检测。

【命令】

syn-flood detect non-specific

undo syn-flood detect non-specific

【缺省情况】

未对任何非受保护IP地址开启SYN flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对所有非受保护IP地址开启SYN flood攻击防范检测后,设备将采用全局的阈值设置(由syn-flood thresholdsyn-flood source-threshold命令设置)和处理行为(由syn-flood action命令配置)对这些IP地址进行保护或防御。

【举例】

# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启SYN flood攻击防范检测。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] syn-flood detect non-specific

【相关命令】

·     syn-flood action

·     syn-flood detect

·     syn-flood source-threshold

·     syn-flood threshold

1.1.135  syn-flood threshold

syn-flood threshold命令用来配置SYN flood攻击防范基于目的IP统计的全局触发阈值。

undo syn-flood threshold命令用来恢复缺省情况。

【命令】

syn-flood threshold threshold-value

undo syn-flood threshold

【缺省情况】

SYN flood攻击防范基于目的IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定向某IP地址每秒发送的SYN报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于目的IP地址的SYN flood攻击防范。

【使用指导】

使能SYN flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送SYN报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了SYN flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

对于未专门配置SYN flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的SYN报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。

【举例】

# 在攻击防范策略atk-policy-1中配置SYN flood攻击防范的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的SYN报文数持续达到或超过100时,启动SYN flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] syn-flood threshold 100

【相关命令】

·     syn-flood action

·     syn-flood detect

·     syn-flood detect non-specific

1.1.136  syn-flood source-threshold

syn-flood source-threshold命令用来配置SYN flood攻击防范基于源IP统计的全局触发阈值。

undo syn-flood source-threshold命令用来恢复缺省情况。

【命令】

syn-flood source-threshold threshold-value

undo syn-flood source-threshold

【缺省情况】

SYN flood攻击防范基于源IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定每秒接收到从某IP地址发出的SYN报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于源IP地址的SYN flood攻击防范。

【使用指导】

使能SYN flood攻击防范后,设备处于攻击检测状态,当它监测到某IP地址发出的SYN报文的速率持续达到或超过了该触发阈值时,即认为该IP地址发起了SYN flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到该IP地址发出报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

【举例】

# 在攻击防范策略atk-policy-1中配置SYN flood攻击防范基于源IP统计的全局触发阈值为100,即当设备监测到某IP地址每秒发送的SYN报文数持续达到或超过100时,启动SYN flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] syn-flood source-threshold 100

【相关命令】

·     syn-flood action

·     syn-flood detect

·     syn-flood detect non-specific

1.1.137  threshold-learn apply

threshold-learn apply命令用来立即应用最近一次的阈值学习结果。

【命令】

threshold-learn apply

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

在开启阈值学习功能但没有开启阈值学习结果自动应用功能的攻击防范策略中,可以通过执行该命令将最近一次的阈值学习结果作为泛洪攻击防范的阈值。多次执行本命令,最后一次执行的命令生效。在阈值学习结果自动应用功能开启时,此命令不生效。

该功能仅对非受保护IP地址也开启攻击防范检测的泛洪攻击类型生效。

【举例】

# 在攻击防范策略atk-policy-1中立即应用阈值学习功能上次的学习结果。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] threshold-learn apply

【相关命令】

·     threshold-learn enable

1.1.138  threshold-learn auto-apply enable

threshold-learn auto-apply enable命令用来开启阈值学习结果自动应用功能。

undo threshold-learn auto-apply enable命令用来关闭阈值学习结果自动应用功能。

【命令】

threshold-learn auto-apply enable

undo threshold-learn auto-apply enable

【缺省情况】

阈值学习结果自动应用功能处于关闭状态。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

只有在启用阈值学习功能的攻击防范策略中才可以应用阈值学习结果自动应用功能,且该功能仅对非受保护IP地址也开启攻击防范检测的泛洪攻击类型生效。启用该功能后,系统会在每次完成阈值学习后根据阈值学习结果重新设置泛洪攻击阈值,即泛洪攻击阈值为学习值×(1+学习容忍度)。其中,学习值是设备在学习时长内实际网络流量的峰值,学习容忍度则将学习值进行放大,从而避免在正常的峰值流量时造成合法流量的丢包。

通过执行threshold-learn enable命令可以启用阈值学习功能;通过执行threshold-learn tolerance-value命令可以配置阈值学习功能的学习容忍度。

【举例】

# 在攻击防范策略atk-policy-1中开启阈值学习结果自动应用功能。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] threshold-learn auto-apply enable

【相关命令】

·     threshold-learn enable

·     threshold-learn tolerance-value

1.1.139  threshold-learn duration

threshold-learn duration命令用来配置阈值学习时长。

undo threshold-learn duration命令用来恢复缺省情况。

【命令】

threshold-learn duration duration

undo threshold-learn duration

【缺省情况】

流量阈值学习时长为1440分钟。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

duration:阈值学习时长,取值范围为1~1200000,单位为分钟。

【使用指导】

在应用已启用了阈值学习功能的攻击防范策略时,系统会自动开始进行阈值学习。建议学习时长设置大于1440分钟(24小时),以确保设备学习到一整天的流量。如果在学习过程中修改了该值,则会重新开始学习。

【举例】

# 在攻击防范策略atk-policy-1中配置流量阈值学习时长为2880分钟(48小时)。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] threshold-learn duration 2880

【相关命令】

·     threshold-learn enable

·     threshold-learn loop

1.1.140  threshold-learn enable

threshold-learn enable命令用来开启泛洪攻击阈值学习功能。

undo threshold-learn enable命令用来关闭泛洪攻击阈值学习功能。

【命令】

threshold-learn enable

undo threshold-learn enable

【缺省情况】

泛洪攻击阈值学习功能处于关闭状态。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

阈值是触发系统执行防范动作的条件,阈值的设置是否合理将直接影响攻击防范的效果。如果阈值设置过低,则可能造成正常流量被丢弃;而阈值设置过高,则可能在发生攻击时系统不能及时启动防范功能。因此,在配置泛洪攻击防范时,为了合理设置阈值,建议启用阈值学习功能。

【举例】

# 在攻击防范策略atk-policy-1中开启流量阈值学习功能。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] threshold-learn enable

【相关命令】

·     threshold-learn auto-apply enable

·     threshold-learn duration

1.1.141  threshold-learn interval

threshold-learn interval命令用来配置阈值学习功能的学习间隔。

undo threshold-learn interval命令用来恢复缺省情况。

【命令】

threshold-learn interval interval

undo threshold-learn interval

【缺省情况】

阈值学习功能的学习间隔为1440分钟。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

interval:阈值学习功能的学习间隔,取值范围为1~1200000,单位为分钟。

【使用指导】

若攻击防范策略中启用了阈值学习功能且学习模式为周期学习,则在应用该策略时,系统会根据学习间隔周期性地进行阈值学习。其中,学习间隔是指定从上次学习的结束时间到下次学习开始时间的间隔时间。通过执行threshold-learn enable命令可以启用阈值学习功能;通过执行threshold-learn mode periodic命令可以配置阈值学习为周期学习模式。

【举例】

# 在攻击防范策略atk-policy-1中配置流量阈值学习周期间隔为120分钟。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] threshold-learn interval 120

【相关命令】

·     threshold-learn enable

·     threshold-learn mode

1.1.142  threshold-learn mode

threshold-learn mode命令用来配置阈值学习功能的学习模式。

undo threshold-learn mode命令用来恢复缺省情况。

【命令】

threshold-learn mode { once | periodic }

undo threshold-learn mode

【缺省情况】

阈值学习功能的学习模式为单次学习。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

once:学习模式为单次学习。

periodic:学习模式为周期学习。

【使用指导】

阈值学习有单次学习和周期学习两种学习模式:

·     单次学习:只进行一次阈值学习。学习时长通过threshold-learnduration命令进行配置。对于网络流量模型比较稳定的场景可以使用该模式。

·     周期学习:按配置的学习间隔进行周期性的学习。其中,每个周期中的学习时长通过threshold-learn duration命令进行配置,学习间隔通过threshold-learn interval命令进行配置。对于网络流量模型易变化的场景可以使用该模式。

【举例】

# 在攻击防范策略atk-policy-1中配置流量阈值学习模式为周期学习。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] threshold-learn mode periodic

【相关命令】

·     threshold-learn duration

·     threshold-learn enable

·     threshold-learn interval

1.1.143  threshold-learn tolerance-value

threshold-learn tolerance-value命令用来配置阈值学习功能的学习容忍度。

undo threshold-learn tolerance-value命令用来恢复缺省情况。

【命令】

threshold-learn tolerance-value tolerance-value

undo threshold-learn tolerance-value

【缺省情况】

阈值学习功能的学习容忍度为50%。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

tolerance-value:学习容忍度,取值范围为0~4000,单位为百分比。

【使用指导】

由于网络中的流量是时刻变化的,因此将某个学习时长内学习所得的统计值作为防范阈值后,若网络流量突然增大,可能会造成正常流量被丢弃。系统提供一个阈值容忍机制,它允许系统在将学习结果应用之前将阈值扩大指定的范围,然后再应用到网络中。扩大后的阈值为学习值×(1+学习容忍度)。

容忍度机制可以使阈值学习功能更好的应对网络流量的波动。只有当阈值学习结果自动应用功能处于开启状态时,配置学习容忍度才生效。

【举例】

# 在攻击防范策略atk-policy-1中开启自动应用,设置容忍度为100。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] threshold-learn auto-apply enable

[Sysname-attack-defense-policy-atk-policy-1] threshold-learn tolerance-value 100

【相关命令】

·     threshold-learn auto-apply enable

·     threshold-learn enable

1.1.144  udp-flood action

udp-flood action命令用来配置对UDP flood攻击防范的全局处理行为。

undo udp-flood action命令用来恢复缺省情况。

【命令】

udp-flood action { drop | logging } *

undo udp-flood action

【缺省情况】

不对检测到的UDP flood攻击进行任何处理。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

drop:表示丢弃攻击报文。对于基于源IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃源自攻击者的后续所有UDP报文;对于基于目的IP统计的泛洪攻击,设备检测到攻击发生后,将丢弃向被攻击者发送的后续所有UDP报文。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

【使用指导】

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中配置对UDP flood攻击防范的全局处理行为是丢弃后续报文。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] udp-flood action drop

【相关命令】

·     udp-flood detect

·     udp-flood detect non-specific

·     udp-flood source-threshold

·     udp-flood threshold

1.1.145  udp-flood detect

udp-flood detect命令用来开启对指定IP地址的UDP flood攻击防范检测,并配置UDP flood攻击防范检测的触发阈值和对UDP flood攻击的处理行为。

undo udp-flood detect命令用来关闭对指定IP地址的UDP flood攻击防范检测。

【命令】

udp-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]

undo udp-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未对任何指定IP地址配置UDP flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为255.255.255.255或0.0.0.0。

ipv6 ipv6-address:指定要保护的IPv6地址。该IPv6地址不能为组播地址或::。

vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。

threshold threshold-value:指定UDP flood攻击防范基于目的IP统计的触发阈值。其中,threshold-value为向指定IP地址每秒发送的UDP报文数目,取值范围为1~1000000,则表示采用UDP flood攻击防范的全局处理行为。

action:设置对UDP flood攻击的处理行为。若未指定本参数,则表示采用UDP flood攻击防范的全局处理行为。

drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有UDP报文都会被丢弃。

logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息,生成的告警信息将被发送到日志系统。

none:表示不采取任何动作。

【使用指导】

使能UDP flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送UDP报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了UDP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

每个攻击防范策略下可以同时对多个IP地址配置UDP flood攻击防范参数。

输出告警日志功能开启后,设备生成的告警日志信息不会输出到控制台和监视终端,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。

【举例】

# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的UDP flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的UDP报文数持续达到或超过2000时,启动UDP flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] udp-flood detect ip 192.168.1.2 threshold 2000

【相关命令】

·     udp-flood action

·     udp-flood detect non-specific

·     udp-flood threshold

1.1.146  udp-flood detect non-specific

udp-flood detect non-specific命令用来对所有非受保护IP地址开启UDP flood攻击防范检测。

undo udp-flood detect non-specific命令用来关闭对所有非受保护IP地址的UDP flood攻击防范检测。

【命令】

udp-flood detect non-specific

undo udp-flood detect non-specific

【缺省情况】

未对任何非受保护IP地址开启UDP flood攻击防范检测。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对所有非受保护IP地址开启UDP flood攻击防范检测后,设备将采用全局的阈值设置(由udp-flood thresholdudp-flood source-threshold命令设置)和处理行为(由udp-flood action命令配置)对这些IP地址进行保护或防御。

【举例】

# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启UDP flood攻击防范检测。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] udp-flood detect non-specific

【相关命令】

·     udp-flood action

·     udp-flood detect

·     udp-flood source-threshold

·     udp-flood threshold

1.1.147  udp-flood threshold

udp-flood threshold命令用来配置UDP flood攻击防范基于目的IP统计的全局触发阈值。

undo udp-flood threshold命令用来恢复缺省情况。

【命令】

udp-flood threshold threshold-value

undo udp-flood threshold

【缺省情况】

UDP flood攻击防范基于目的IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定向某IP地址每秒发送的UDP报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于目的IP地址的UDP flood攻击防范。

【使用指导】

使能UDP flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送UDP报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了UDP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

对于未专门配置UDP flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的UDP报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。

【举例】

# 在攻击防范策略atk-policy-1中配置UDP flood攻击防范的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的UDP报文数持续达到或超过100时,启动UDP flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] udp-flood threshold 100

【相关命令】

·     udp-flood action

·     udp-flood detect

·     udp-flood detect non-specific

·     udp-flood source-threshold

1.1.148  udp-flood source-threshold

udp-flood source-threshold命令用来配置UDP flood攻击防范基于源IP统计的全局触发阈值。

undo udp-flood source-threshold命令用来恢复缺省情况。

【命令】

udp-flood source-threshold threshold-value

undo udp-flood source-threshold

【缺省情况】

UDP flood攻击防范基于源IP统计的全局触发阈值为10000。

【视图】

攻击防范策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value:指定每秒接收到从某IP地址发出的UDP报文数目,取值范围为0~1000000,当设置为0时,表示关闭基于源IP统计的UDP flood攻击防范。

【使用指导】

使能UDP flood攻击防范后,设备处于攻击检测状态,当它监测到某IP地址发送UDP报文的速率持续达到或超过了该触发阈值时,即认为该IP地址发起了UDP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到该IP发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。

【举例】

# 在攻击防范策略atk-policy-1中配置UDP flood攻击防范基于源IP统计的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的UDP报文数持续达到或超过100时,启动UDP flood攻击防范。

<Sysname> system-view

[Sysname] attack-defense policy atk-policy-1

[Sysname-attack-defense-policy-atk-policy-1] udp-flood source-threshold 100

【相关命令】

·     udp-flood action

·     udp-flood detect

·     udp-flood detect non-specific

1.1.149  whitelist enable

whitelist enable命令用来开启安全域上的白名单过滤功能。

undo whitelist enable命令用来关闭安全域上的白名单过滤功能。

【命令】

whitelist enable

undo whitelist enable

【缺省情况】

安全域上的白名单过滤功能处于关闭状态。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

若全局的白名单过滤功能处于开启状态,则所有安全域上的白名单过滤功能均处于开启状态。

若全局的白名单过滤功能处于关闭状态,则安全域上的白名单过滤功能由本命令决定是否开启。

【举例】

# 开启安全域Untrust上的白名单过滤功能。

<Sysname> system-view

[Sysname] security-zone name untrust

[Sysname-security-zone-Untrust] whitelist enable

1.1.150  whitelist global enable

whitelist global enable命令用来开启全局白名单过滤功能。

undo whitelist global enable命令用来关闭全局白名单过滤功能。

【命令】

whitelist global enable

undo whitelist global enable

【缺省情况】

全局白名单过滤功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启全局白名单过滤功能表示开启所有安全域上的白名单过滤功能。

【举例】

# 开启全局白名单过滤功能。

<Sysname> system-view

[Sysname] whitelist global enable

1.1.151  whitelist object-group

whitelist object-group命令通过引用地址对象组配置白名单。

undo whitelist object-group命令用来恢复缺省情况。

【命令】

whitelist object-group object-group-name

undo whitelist object-group

【缺省情况】

未引用地址对象组。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:地址对象组名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

本命令需要和地址对象组功能配合使用,有关地址对象组功能的详细介绍,请参见“安全配置指导”中的“对象组”。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 通过引用地址对象组object-group1配置白名单。

<Sysname> system-view

[Sysname] whitelist object-group object-group1

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们