- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
11-ND攻击防御命令
本章节下载: 11-ND攻击防御命令 (273.10 KB)
目 录
1.1.1 display ipv6 nd source-mac
1.1.2 display ipv6 nd source-mac configuration
1.1.4 ipv6 nd source-mac threshold
1.1.5 reset ipv6 nd source-mac
1.1.6 reset ipv6 nd source-mac statistics
1.2.1 display ipv6 nd attack-suppression configuration
1.2.2 display ipv6 nd attack-suppression per-interface
1.2.3 display ipv6 nd attack-suppression per-interface interface
1.2.4 ipv6 nd attack-suppression enable per-interface
1.2.5 ipv6 nd attack-suppression threshold
1.2.6 reset ipv6 nd attack-suppression per-interface
1.2.7 reset ipv6 nd attack-suppression per-interface statistics
1.3.1 ipv6 nd check log enable
1.3.2 ipv6 nd mac-check enable
非缺省vSystem不支持本特性的部分命令,具体情况请见本文相关描述。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。
display ipv6 nd source-mac命令用来显示源MAC地址固定的ND攻击检测表项。
【命令】
display ipv6 nd source-mac interface interface-type interface-number [ slot slot-number ] [ verbose ]
display ipv6 nd source-mac { mac mac-address | vlan vlan-id } slot slot-number [ verbose ]
display ipv6 nd source-mac slot slot-number [ count | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
vsys-admin
vsys-operator
【参数】
interface interface-type interface-number:显示指定接口上的源MAC地址固定的ND攻击检测表项,interface-type interface-number表示指定接口的类型和编号。
mac mac-address:显示指定源MAC对应的源MAC地址固定的ND攻击检测表项。mac-address格式为H-H-H。
vlan vlan-id:显示指定VLAN内检测到的源MAC地址固定的ND攻击检测表项。vlan-id的取值范围为1~4094。
slot slot-number:显示虚拟接口包含的指定成员设备上的物理口检测到的源MAC地址固定的ND攻击检测表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示的是虚拟接口在主设备上的物理口检测到的源MAC地址固定的ND攻击检测表项。
slot slot-number:显示指定成员设备上的源MAC地址固定的ND攻击检测表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的源MAC地址固定的ND攻击检测表项。
verbose:显示检测到的源MAC地址固定的ND攻击检测表项的详细信息。如果未指定本参数,则显示检测到的源MAC地址固定的ND攻击检测表项的简要信息。
count:只显示检测到的源MAC地址固定的ND攻击检测表项的数目。如果未指定本参数,则显示检测到的源MAC地址固定的ND攻击检测表项。
【使用指导】
显示虚拟接口检测到的源MAC地址固定的ND攻击检测表项时,才支持输入slot参数;显示物理口检测到的源MAC地址固定的ND攻击检测表项时,不支持输入slot参数。
虚拟接口支持二层聚合接口、三层聚合接口、三层聚合子接口和VXLAN中的VSI虚接口。
如果未指定任何参数,则显示所有检测到的源MAC地址固定的ND攻击检测表项。
【举例】
# 显示接口GigabitEthernet1/0/1检测到的源MAC地址固定的ND攻击检测表项。
<Sysname> display ipv6 nd source-mac interface gigabitethernet 1/0/1
Source MAC VLAN ID Interface Aging time (sec) Packets dropped
23f3-1122-3344 4094 GE1/0/1 10 84467
# 显示检测到的源MAC地址固定的ND攻击检测表项个数。
<Sysname> display ipv6 nd source-mac slot 1 count
Total source MAC-based ND attack detection entries: 1
# 显示接口GigabitEthernet1/0/1检测到的源MAC地址固定的ND攻击检测表项的详细信息。
<Sysname> display ipv6 nd source-mac interface gigabitethernet 1/0/1 verbose
Source MAC: 0001-0001-0001
VLAN ID: 4094
Hardware status: Succeeded
Aging time: 10 seconds
Interface: GigabitEthernet1/0/1
Attack time: 2019/06/04 15:53:34
Packets dropped: 84467
表1-1 display ipv6 nd source-mac命令显示信息描述表
|
字段 |
描述 |
|
Source MAC |
检测到攻击的源MAC地址 |
|
VLAN ID |
检测到攻击的VLAN ID |
|
Interface |
攻击来源的接口 |
|
Aging time |
源MAC地址固定的ND攻击检测表项的剩余老化时间,单位为秒 |
|
Packets dropped |
丢包总个数,如果是二层以太网接口,则不支持统计丢包总个数,显示为“0” |
|
Total source MAC-based ND attack detection entries |
源MAC地址固定的ND攻击检测表项个数 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not supported:不支持 · Not enough resources:资源不足 |
|
Attack time |
检测到攻击的时间(显示方式如2019/06/04 15:53:34) |
【相关命令】
· reset ipv6 nd source-mac
display ipv6 nd source-mac configuration命令用来显示源MAC地址固定的ND攻击检测功能的配置信息。
【命令】
display ipv6 nd source-mac configuration
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
vsys-admin
vsys-operator
【举例】
# 显示源MAC固定的ND攻击检测功能的配置信息。
<Sysname> display ipv6 nd source-mac configuration
IPv6 ND source-mac is enabled.
Mode: Filter Threshold: 20
表1-2 display ipv6 nd source-mac configuration命令显示信息描述表
|
字段 |
描述 |
|
IPv6 ND source-mac is enabled. |
源MAC地址固定的ND攻击检测功能处于开启状态 |
|
IPv6 ND source-mac is disabled. |
源MAC地址固定的ND攻击检测功能处于关闭状态 |
|
Mode |
源MAC地址固定的ND攻击检测模式,取值包括: · Filter:过滤模式 · Moniter:监控模式 |
|
Threshold |
源MAC地址固定的ND攻击检测的阈值 |
【相关命令】
· ipv6 nd source-mac
· ipv6 nd source-mac threshold
ipv6 nd source-mac命令用来开启源MAC地址固定的ND攻击检测功能,并选择检查模式。
undo ipv6 nd source-mac命令用来关闭源MAC地址固定的ND攻击检测功能。
【命令】
ipv6 nd source-mac { filter | monitor }
undo ipv6 nd source-mac
【缺省情况】
源MAC地址固定的ND攻击检测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
filter:过滤模式。
monitor:监控模式。
【使用指导】
建议在网关设备上开启本功能。
本功能用于防止源MAC地址固定的ND报文攻击。在5秒内,如果收到同一源MAC地址的ND报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在开启了ND日志信息功能的情况下(配置ipv6 nd check log enable命令),系统会根据设置的检查模式对存在于攻击检测表项中的MAC地址有如下处理:
· 如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ND报文过滤掉;
· 如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ND报文过滤掉。
对于已添加到源MAC地址固定的ND攻击检测表项中的MAC地址,如果老化时间(固定值300秒)内丢弃的ND报文个数大于或等于一个特定值((阈值/5)×300),则设备会重置该表项的老化时间;如果小于该特定值,则设备删除该源MAC地址固定的ND攻击表项,MAC地址会重新恢复成普通MAC地址。
切换源MAC地址固定的ND攻击检查模式时,如果从监控模式切换到过滤模式,过滤模式马上生效;如果从过滤模式切换到监控模式,已生成的攻击检测表项,到表项老化前还会继续按照过滤模式处理。
【举例】
# 开启源MAC地址固定的ND攻击检测功能,配置检查方式为监控模式。
<Sysname> system-view
[Sysname] ipv6 nd source-mac monitor
ipv6 nd source-mac threshold命令用来配置源MAC地址固定的ND报文攻击检测阈值。
undo ipv6 nd source-mac threshold命令用来恢复缺省情况。
【命令】
ipv6 nd source-mac threshold threshold-value
undo ipv6 nd source-mac threshold
【缺省情况】
源MAC地址固定的ND报文攻击检测表项的阈值为30个报文。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
threshold-value:5秒内源MAC地址固定的ND报文攻击检测的阈值,取值范围为1~5000,单位为报文个数。
【使用指导】
在5秒内,如果某个接口收到的源MAC地址固定的ND报文个数超过阈值,则认为该接口受到源MAC地址固定的ND报文攻击。
【举例】
# 配置源MAC地址固定的ND报文攻击检测阈值为100个报文。
<Sysname> system-view
[Sysname] ipv6 nd source-mac threshold 100
reset ipv6 nd source-mac命令用来清除源MAC地址固定的ND攻击表项。
【命令】
reset ipv6 nd source-mac [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
interface interface-type interface-number:清除指定接口上的源MAC地址固定的ND攻击检测表项。interface-type interface-number表示接口类型和接口编号。
mac mac-address:清除指定MAC地址对应的源MAC地址固定的ND攻击检测表项。mac-address格式为H-H-H。
vlan vlan-id:清除指定VLAN内的源MAC地址固定的ND攻击检测表项。vlan-id的取值范围为1~4094。
slot slot-number:清除指定成员设备的源MAC地址固定的ND攻击检测表项。slot-number表示设备在IRF中的成员编号。
【使用指导】
如果未指定任何参数,则表示清除设备上所有源MAC地址固定的ND攻击检测表项。
【举例】
# 清除设备上所有的源MAC地址固定的ND攻击检测表项。
<Sysname> reset ipv6 nd source-mac
【相关命令】
· display ipv6 nd source-mac
reset ipv6 nd source-mac statistics命令用来清除ND攻击检测功能丢弃的源MAC地址固定的ND攻击报文计数统计信息。
【命令】
reset ipv6 nd source-mac statistics [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
interface interface-type interface-number:清除指定接口上的源MAC地址固定的ND攻击检测丢弃ND攻击报文的计数统计信息。interface-type interface-number表示接口类型和接口编号。
mac mac-address:清除指定MAC地址对应的源MAC地址固定的ND攻击检测丢弃ND攻击报文的计数统计信息。mac-address格式为H-H-H。
vlan vlan-id:清除指定VLAN内的源MAC地址固定的ND攻击检测丢弃ND攻击报文的计数统计信息。vlan-id的取值范围为1~4094。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定Master设备。
【使用指导】
如果未指定任何参数,则清除设备上所有源MAC地址固定的ND攻击检测丢弃ND攻击报文的计数统计信息。
【举例】
# 清除设备上所有源MAC地址固定的ND攻击检测丢弃ND攻击报文的计数统计信息。
<Sysname> reset ipv6 nd source-mac statistics
【相关命令】
· display ipv6 nd source-mac
· display ipv6 nd source-mac statistics
display ipv6 nd attack-suppression configuration命令用来显示ND接口攻击抑制功能的配置信息。
【命令】
display ipv6 nd attack-suppression configuration
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
vsys-admin
vsys-operator
【举例】
# 显示ND接口攻击抑制功能的配置信息。
<Sysname> display ipv6 nd attack-suppression configuration
IPv6 ND attack-suppression per-interface is enabled.
Threshold: 3000
表1-3 display ipv6 nd source-mac configuration命令显示信息描述表
|
字段 |
描述 |
|
IPv6 ND attack-suppression per-interface is enabled. |
ND接口攻击抑制功能处于开启状态 |
|
IPv6 ND attack-suppression per-interface is disabled. |
ND接口攻击抑制功能处于关闭状态 |
|
Threshold |
ND接口攻击抑制功能的检测阈值 |
【相关命令】
· ipv6 nd attack-suppression enable per-interface
display ipv6 nd attack-suppression per-interface命令用来显示ND接口攻击抑制表项。
【命令】
display ipv6 nd attack-suppression per-interface slot slot-number [ count | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
vsys-admin
vsys-operator
【参数】
verbose:显示ND接口攻击抑制检测表项的详细信息。如果未指定本参数,则显示ND接口攻击抑制检测表项的简要信息。
slot slot-number:显示指定成员设备的ND接口攻击抑制表项。slot-number表示设备在IRF中的成员编号。
count:只显示ND接口攻击抑制表项个数。如果未指定本参数,则显示ND接口攻击抑制表项。
【使用指导】
如果未指定任何参数,则显示设备上所有的ND接口攻击抑制表项的简要信息。
【举例】
# 显示Slot1上的ND接口攻击抑制表项。
<Sysname> display ipv6 nd attack-suppression per-interface slot 1
Interface Suppression time (second) Packets dropped
GE1/0/1 200 84467
GE1/0/2 140 38293
# 显示Slot1上的ND接口攻击抑制表项个数。
<Sysname> display ipv6 nd attack-suppression per-interface slot 1 count
Total ND attack suppression entries: 2
# 显示Slot1上的ND接口攻击抑制表项的详细信息。
<Sysname> display ipv6 nd attack-suppression per-interface interface slot 1 verbose
Interface: GigabitEthernet1/0/1
Suppression time: 200 seconds
Hardware status: Succeeded
Attack time: 2019/06/04 15:53:34
Packets dropped: 84467
Interface: GigabitEthernet1/0/2
Suppression time: 140 seconds
Hardware status: Succeeded
Attack time: 2019/06/04 14:53:34
Packets dropped: 38293
表1-2 display ipv6 nd attack-suppression per-interface命令显示信息描述表
|
字段 |
描述 |
|
Interface |
受到ND攻击的接口 |
|
Suppression time (second) |
抑制接口接收ND报文的时间,单位为秒 |
|
Packets dropped |
丢包总个数 |
|
Total ND attack suppression entries |
ND接口攻击抑制表项个数 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not supported:不支持 · Not enough resources:资源不足 |
|
Suppression time |
剩余抑制时间,单位为秒 |
|
Attack time |
检测到攻击的时间(显示方式如2019/06/04 15:53:34) |
【相关命令】
· reset ipv6 nd attack-suppression per-interface
· reset ipv6 nd attack-suppression per-interface statistics
display ipv6 nd attack-suppression per-interface interface命令用来显示指定接口的ND接口攻击抑制表项。
【命令】
display ipv6 nd attack-suppression per-interface interface interface-type interface-number [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
vsys-admin
vsys-operator
【参数】
interface-type interface-number:指定接口的接口类型和接口编号。
verbose:显示指定接口的ND接口攻击抑制表项的详细信息。如果未指定本参数,则显示ND接口攻击抑制表项的简要信息。
【举例】
# 显示接口GigabitEthernet1/0/1上的ND接口攻击抑制表项。
<Sysname> display ipv6 nd attack-suppression per-interface interface gigabitethernet 1/0/1
Interface Suppression time (second) Packets dropped
GE1/0/1 200 84467
# 显示接口GigabitEthernet1/0/1上的ND接口攻击抑制表项的详细信息。
<Sysname> display ipv6 nd attack-suppression per-interface interface gigabitethernet 1/0/1 verbose
Interface: GigabitEthernet1/0/1
Suppression time: 200 seconds
Hardware status: Succeeded
Attack time: 2019/06/04 15:53:34
Packets dropped: 84467
表1-2 display ipv6 nd attack-suppression per-interface interface命令显示信息描述表
|
字段 |
描述 |
|
Interface |
受到ND攻击的接口 |
|
Suppression time (second) |
抑制接口接收ND报文的时间,单位为秒 |
|
Packets dropped |
丢包总个数 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not supported:不支持 · Not enough resources:资源不足 |
|
Suppression time |
剩余抑制时间,单位为秒 |
|
Attack time |
检测到攻击的时间(显示方式如2019/06/04 15:53:34) |
【相关命令】
· reset ipv6 nd attack-suppression per-interface
· reset ipv6 nd attack-suppression per-interface statistics
ipv6 nd attack-suppression enable per-interface命令用来开启ND接口攻击抑制功能。
undo ipv6 nd attack-suppression enable per-interface命令用来关闭ND接口攻击抑制功能。
【命令】
ipv6 nd attack-suppression enable per-interface
undo ipv6 nd attack-suppression enable per-interface
【缺省情况】
ND接口攻击抑制功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
ND接口攻击抑制功能基于接口限制ND请求速率,以防止非法用户构造大量ND请求报文对设备进行ND攻击。本功能只统计设备的三层接口上收到的ND请求报文,在5秒内,如果单个接口收到的ND请求报文个数超过配置的ND接口攻击抑制阈值,则认为该接口受到ND攻击。确定受到ND攻击后,设备会生成ND接口攻击抑制表项,在ND接口攻击抑制表项的抑制时间(固定值300秒)清零之前设备直接丢弃表项对应接口接收的所有ND报文,防止ND攻击报文持续冲击CPU。
ND接口攻击抑制表项的抑制时间清零后,如果抑制时间内丢弃的ND报文个数大于或等于一个特定值((阈值/5)×300),则设备会将ND接口攻击抑制表项抑制时间重置;如果小于该特定值,则设备删除该ND接口攻击抑制表项。
建议在网关设备上开启本功能。
【举例】
# 开启ND接口攻击抑制功能。
<Sysname> system-view
[Sysname] ipv6 nd attack-suppression enable per-interface
【相关命令】
· display ipv6 nd attack-suppression per-interface
· ipv6 nd attack-suppression threshold
ipv6 nd attack-suppression threshold命令用来配置ND接口攻击抑制阈值。
undo ipv6 nd attack-suppression threshold命令用来恢复缺省情况。
【命令】
ipv6 nd attack-suppression threshold threshold-value
undo ipv6 nd attack-suppression threshold
【缺省情况】
ND接口攻击抑制阈值为1000。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
threshold-value:ND接口攻击抑制阈值,即5秒内可接收ND请求报文的个数,取值范围为1~5000。
【使用指导】
在5秒内,如果某个接口收到的ND请求报文个数超过阈值,则认为该接口受到ND报文攻击。
【举例】
# 配置ND接口攻击抑制阈值为500,即当某个接口上在5秒内收到的ND请求报文个数超过500个,则认为该接口受到ND报文攻击。
<Sysname> system-view
[Sysname] ipv6 nd attack-suppression threshold 500
【相关命令】
· display ipv6 nd attack-suppression per-interface
· ipv6 nd attack-suppression enable per-interface
reset ipv6 nd attack-suppression per-interface命令用来清除ND接口攻击抑制表项。
【命令】
reset ipv6 nd attack-suppression per-interface [ interface interface-type interface-number ] [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
interface interface-type interface-number:清除指定接口上的ND接口攻击抑制表项。interface-type interface-number表示接口类型和接口编号。
slot slot-number:清除指定成员设备的ND接口攻击抑制表项。slot-number表示设备在IRF中的成员编号。
【使用指导】
如果未指定任何参数,则表示清除设备上所有的ND接口攻击抑制表项。
【举例】
# 清除所有的ND接口攻击抑制表项。
<Sysname> reset ipv6 nd attack-interface per-interface
【相关命令】
· display ipv6 nd attack-suppression per-interface
reset ipv6 nd attack-suppression per-interface statistics命令用来清除ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息。
【命令】
reset ipv6 nd attack-suppression per-interface statistics [ interface interface-type interface-number ] [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
interface interface-type interface-number:清除指定接口上ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息。interface-type interface-number表示接口类型和接口编号。
slot slot-number:清除指定成员设备上ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息。slot-number表示设备在IRF中的成员编号。
【使用指导】
执行本命令后,display ipv6 nd attack-suppression per-interface命令显示信息中的Packets dropped信息会被清空。
如果未指定任何参数,则表示清除设备上所有的ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息。
【举例】
# 清除ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息。
<Sysname> reset ipv6 nd attack-interface per-interface statistics
【相关命令】
· display ipv6 nd attack-suppression per-interface
ipv6 nd check log enable命令用来开启ND日志信息功能。
undo ipv6 nd check log enable命令用来关闭ND日志信息功能。
【命令】
ipv6 nd check log enable
undo ipv6 nd check log enable
【缺省情况】
ND日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。
【举例】
# 开启ND日志信息功能。
<Sysname> system-view
[Sysname] ipv6 nd check log enable
ipv6 nd mac-check enable命令用来开启ND协议报文源MAC地址一致性检查功能。
undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。
【命令】
ipv6 nd mac-check enable
undo ipv6 nd mac-check enable
【缺省情况】
ND协议报文源MAC地址一致性检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
网关设备开启该功能后,会对接收到的ND协议报文进行检查,如果ND报文中的源MAC地址和以太网数据帧首部的源MAC地址不一致,则丢弃该报文。
【举例】
# 开启ND协议报文源MAC地址一致性检查功能。
<Sysname> system-view
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
