- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
15-TCP攻击防御命令
本章节下载: 15-TCP攻击防御命令 (129.38 KB)
tcp abnormal-packet-defend命令用来开启防止对TCP连接的攻击功能。
undo tcp abnormal-packet-defend命令用来关闭防止对TCP连接的攻击功能。
【命令】
tcp abnormal-packet-defend [ log | threshold threshold-value ]*
undo tcp abnormal-packet-defend
【缺省情况】
防止对TCP连接的攻击功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
log:开启TCP连接防攻击的日志功能,缺省情况下该功能关闭。
threshold threshold-value:TCP连接防攻击的监控阈值,取值范围为100~1000000,缺省值为1000。
【使用指导】
开启防止对TCP连接的攻击功能,设备将对每个已建立的TCP连接收到的错误文进行数量统计,若一个统计周期(固定为1s)内收到的错误报文数量超过TCP连接防攻击的监控阈值,则判断当前连接遭到攻击,此时设备会断开该TCP连接。开启TCP连接防攻击的日志功能后,断开TCP连接时,设备会打印受攻击的TCP连接的日志信息。
【举例】
# 开启防止对TCP连接的攻击功能,并设置监控阈值为200。
<Sysname> system-view
[Sysname] tcp abnormal-packet-defend threshold 200
tcp anti-naptha enable命令用来开启防止Naptha攻击功能。
undo tcp anti-naptha enable命令用来关闭防止Naptha攻击功能。
【命令】
tcp anti-naptha enable
undo tcp anti-naptha enable
【缺省情况】
防止Naptha攻击功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启防止Naptha攻击功能后,设备周期性地对各状态的TCP连接数进行检测(检测周期由tcp check-state interval命令配置),当某状态的最大TCP连接数超过指定的最大连接数后(最大连接数由tcp state命令配置),将加速该状态下TCP连接的老化。
【举例】
# 开启防止Naptha攻击功能。
<Sysname> system-view
[Sysname] tcp anti-naptha enable
【相关命令】
· tcp state
· tcp check-state interval
tcp check-state interval命令用来配置TCP连接状态的检测周期。
undo tcp check-state interval命令用来恢复缺省情况。
【命令】
tcp check-state interval interval
undo tcp check-state interval
【缺省情况】
TCP连接状态的检测周期为30秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:TCP连接状态的检测周期,取值范围为1~60,单位为秒。
【使用指导】
设备周期性地检测处于CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五种状态的TCP连接数,如果检测到某个状态的TCP连接数目超过设定的最大连接数时,将加速该状态下TCP连接的老化。
开启防止Naptha攻击功能后,设备才会周期性地对各状态的TCP连接数进行检测。
【举例】
# 配置TCP连接状态的检测周期为40秒。
<Sysname> system-view
[Sysname] tcp check-state interval 40
【相关命令】
· tcp anti-naptha enable
· tcp state
tcp state命令用来配置TCP连接的某一状态下的最大TCP连接数。
undo tcp state命令用来恢复为缺省情况。
【命令】
tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit number
undo tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit
【缺省情况】
CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五种状态最大TCP连接数均为50。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
closing:TCP连接的CLOSING状态。
established:TCP连接的ESTABLISHED状态。
fin-wait-1:TCP连接的FIN_WAIT_1状态。
fin-wait-2:TCP连接的FIN_WAIT_2状态。
last-ack:TCP连接的LAST_ACK状态。
connection-limit number:最大TCP连接数,取值范围为0~500,取值为0时,表示不会加速该状态下TCP连接的老化。
【使用指导】
开启防止Naptha攻击功能后,各状态的最大TCP连接数限制才能生效,连接数目超过最大连接数后,将加速该状态下TCP连接的老化。
【举例】
# 配置ESTABLISHED状态下的最大TCP连接数为100。
<Sysname> system-view
[Sysname] tcp state established connection-limit 100
【相关命令】
· tcp anti-naptha enable
· tcp check-state interval
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
