05-WLAN IDS命令
本章节下载: 05-WLAN IDS命令 (159.10 KB)
1.1.1 wlan device-detection enable
1.2.2 display wlan ids history
1.2.3 display wlan ids statistics
1.2.5 reset wlan ids statistics
1.3.3 dynamic-blacklist enable
1.3.4 dynamic-blacklist lifetime
1.3.5 reset wlan dynamic-blacklist
1.3.6 static-blacklist mac-address
· 本文所指的AP和FAT AP代表了MSR800、MSR 900、MSR900-E、MSR 930和MSR 20-1X无线款型,以及安装了SIC-WLAN模块的MSR系列路由器。
· MSR 2600、MSR 30-11、MSR 30-11E、MSR 30-11F和MSR3600-51F路由器不支持WLAN功能。
【命令】
wlan device-detection enable
undo wlan device-detection enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
wlan device-detection enable命令用来设置AP的工作模式为Hybrid模式。undo wlan device-detection enable命令用于恢复缺省情况。
缺省情况下,AP工作在Normal模式,仅提供无线服务。
需要注意的是:
· 如果AP的工作模式为Monitor模式,该命令不可见。
· 在修改AP的工作模式之前,Radio应该处于关闭状态,否则无法修改AP工作模式。
· 如果AP的工作模式为Hybrid模式,需要配置服务模板,这样AP在监测无线设备的同时可以提供无线服务。
【举例】
# 设置AP的工作模式为Hybrid模式。
<Sysname> system-view
[Sysname] wlan device-detection enable
【命令】
wlan ids
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
wlan ids命令用来进入WLAN IDS视图。
【举例】
# 进入WLAN IDS视图。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids]
【命令】
wlan work-mode monitor
undo wlan work-mode monitor
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
wlan work-mode monitor命令用来设置AP的工作模式为Monitor模式。undo wlan work-mode命令用来恢复缺省情况。
缺省情况下,AP工作在Normal模式,仅提供无线服务。
需要注意的是,如果AP的工作模式为Monitor模式,那么此时AP仅做监测AP,不能提供无线服务,不需要配置服务模板。
【举例】
# 设置AP的工作模式为Monitor模式。
<Sysname> system-view
[Sysname] wlan work-mode monitor
【命令】
attack-detection enable { all | flood | spoof | weak-iv }
undo attack-detection enable
【视图】
WLAN IDS视图
【缺省级别】
2:系统级
【参数】
all:使能所有攻击检测功能。
flood:使能泛洪攻击检测功能。
spoof:使能spoof攻击检测功能。
weak-iv:使能weak-iv攻击检测功能。
【描述】
attack-detection enable命令用来使能攻击检测功能。undo attack-detection enable命令用来恢复缺省情况。
缺省情况下,攻击检测功能处于关闭状态。
【举例】
# 使能spoof攻击检测功能。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] attack-detection enable spoof
【命令】
display wlan ids history [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan ids history命令用来显示WLAN系统的攻击检测历史信息,最多可以显示512条历史信息。
【举例】
# 显示历史攻击信息。
<Sysname> display wlan ids history
Total Number of Entries: 5
Flags:
act = Action Frame asr = Association Request
aur = Authentication Request daf = Deauthentication Frame
dar = Disassociation Request ndf = Null Data Frame
pbr = Probe Request rar = Reassociation Request
saf = Spoofed Disassociation Frame
sdf = Spoofed Deauthentication Frame
wiv = Weak IV Detected
AT - Attack Type, Ch - Channel Number, AR - Average RSSI
WIDS History Table
----------------------------------------------------------------------
MAC Address AT Ch AR Detected Time AP
----------------------------------------------------------------------
0027-E699-CA71 asr 8 44 2011-06-12/19:47:54 ap12
0015-E9A4-D7F4 wiv 8 45 2011-06-12/19:45:28 ap48
0027-E699-CA71 asr 8 20 2011-06-12/19:18:17 ap12
003d-B5A6-539F pbr 8 43 2011-06-12/19:10:48 ap56
0015-E9A4-D7F4 wiv 8 50 2011-06-12/19:01:28 ap48
----------------------------------------------------------------------
表1-1 display wlan ids history命令显示信息描述表
字段 |
描述 |
MAC-Address |
在欺骗攻击模式下,该阈值提供用于欺骗攻击的BSSID;在其它攻击模式下,该阈值用于提供发起攻击的设备的MAC地址 |
AT |
攻击类型首字母缩写 |
Ch |
攻击检测频道 |
AR |
攻击帧的平均RSSI |
Detected time |
攻击检测时间 |
AP |
检测到攻击的AP名称 |
【命令】
display wlan ids statistics [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan ids statistics命令用来显示检测到的攻击数。
【举例】
# 显示wlan ids的统计信息。
<Sysname> display wlan ids statistics
Current attack tracking since: 2011-06-21/12:46:33
----------------------------------------------------------------------
Type Current Total
----------------------------------------------------------------------
Probe Request Frame Flood Attack 2 7
Authentication Request Frame Flood Attack 0 0
Deauthentication Frame Flood Attack 0 0
Association Request Frame Flood Attack 1 1
Disassociation Request Frame Flood Attack 4 8
Reassociation Request Frame Flood Attack 0 0
Action Frame Flood Attack 0 0
Null Data Frame Flood Attack 0 0
Weak IVs Detected 12 21
Spoofed Deauthentication Frame Attack 0 0
Spoofed Disassociation Frame Attack 0 2
----------------------------------------------------------------------
表1-2 display wlan ids statistics命令显示信息描述表.
字段 |
描述 |
Current |
标识了当前攻击的跟踪时间,该字段提供了从当前攻击跟踪时间(在显示信息中“Current attack tracking since:”定义的时间)起的攻击检测数。当前攻击的跟踪时间在系统启动时开始计算,后续以小时为单位刷新。 |
Total |
系统从启动以来的所有检测到的攻击数 |
Probe Request Frame Flood Attack |
探查请求帧的泛洪攻击数 |
Authentication Request Frame Flood Attack |
认证请求帧的泛洪攻击数 |
Deauthentication Frame Flood Attack |
解除认证请求帧的泛洪攻击数 |
Association Request Frame Flood Attack |
关联请求帧的泛洪攻击数 |
Disassociation Request Frame Flood Attack |
解除关联请求帧的泛洪攻击数 |
Reassociation Request Frame Flood Attack |
重关联请求帧的泛洪攻击数 |
Action Frame Flood Attack |
执行帧的泛洪攻击数 |
Null Data Frame Flood Attack |
空数据帧的泛洪攻击数 |
Weak IVs Detected |
弱IV数 |
Spoofed Deauthentication Frame Attack |
欺骗解除认证帧的攻击数 |
Spoofed Disassociation Frame Attack |
欺骗解除关联帧的攻击数 |
【命令】
reset wlan ids history
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
无
【描述】
reset wlan ids history命令用来重置WLAN系统攻击检测的历史信息。在执行了这条命令后所有关于攻击的历史信息将被清除,历史信息列表将被清空。
【举例】
# 重置wlan ids历史信息。
<Sysname> reset wlan ids history
【命令】
reset wlan ids statistics
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
无
【描述】
reset wlan ids statistics命令用来重置WLAN系统攻击检测的统计信息。该命令将重置包括current和total字段的所有在WIDS统计列表内的攻击类型。
【举例】
# 重置wlan ids统计信息。
<Sysname> reset wlan ids statistics
【命令】
display wlan blacklist { static | dynamic } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
static:只显示静态配置的黑名单列表。
dynamic:显示所有动态配置的黑名单列表。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan blacklist命令用来显示静态或动态配置的黑名单列表。
【举例】
# 显示静态配置的黑名单列表。
<Sysname> display wlan blacklist static
Total Number of Entries: 3
Static Blacklist
----------------------------------------------------------------------
MAC-Address
----------------------------------------------------------------------
0014-6c8a-43ff
0016-6F9D-61F3
0019-5B79-F04A
----------------------------------------------------------------------
表1-3 display wlan blacklist static命令显示信息描述表
字段 |
描述 |
MAC-Address |
静态黑名单列表中的无线客户端MAC地址 |
# 显示备检测到的动态黑名单列表。
<Sysname> display wlan blacklist dynamic
Total Number of Entries: 3
Dynamic Blacklist
-------------------------------------------------------------------------------
MAC-Address APID Lifetime(s) Last Updated Since(hh:mm:ss) Reason
-------------------------------------------------------------------------------
000f-e2cc-0001 1 60 00:02:11 Assoc-Flood
000f-e2cc-0002 2 60 00:01:17 Deauth-Flood
000f-e2cc-0003 3 60 00:02:08 Auth-Flood
表1-4 display wlan blacklist dynamic命令显示信息描述表
字段 |
描述 |
MAC-Address |
动态黑名单列表中的无线客户端MAC地址 |
APID |
动态黑名单列表中,检测到动态黑名单的AP的序列号 |
Lifetime(s) |
动态黑名单列表中对应项的生存时间(单位:秒) |
Last Updated Since(hh:mm:ss) |
动态黑名单列表中对应项已经存在了多长时间 |
Reason |
动态黑名单列表中对应项添加的原因 |
【命令】
display wlan whitelist [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan whitelist命令用来显示白名单列表。
【举例】
# 显示白名单列表信息。
<Sysname> display wlan whitelist
Total Number of Entries: 3
Whitelist
----------------------------------------------------------------------
MAC-Address
----------------------------------------------------------------------
000e-35b2-000e
0019-5b8e-b709
001c-f0bf-9c92
----------------------------------------------------------------------
表1-5 display wlan whitelist命令显示信息描述表
字段 |
描述 |
MAC-Address |
白名单列表中的无线客户端MAC地址 |
【命令】
dynamic-blacklist enable
undo dynamic-blacklist enable
【视图】
WLAN IDS视图
【缺省级别】
2:系统级
【参数】
enable:开启动态黑名单功能。
【描述】
dynamic-blacklist enable命令用来开启动态黑名单功能。undo dynamic-blacklist enable命令用来关闭动态黑名单功能。
缺省情况下,动态黑名单功能处于关闭状态。
当WLAN设备检测到来自某一设备的泛洪攻击时,可以选择将该设备加入到动态黑名单中,拒绝接收任何来自于该设备的报文,直至该动态黑名单表项老化为止。
不同型号的设备支持的最大动态黑名名单数量不同,请以设备的实际情况为准。
【举例】
# 开启动态黑名单功能。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] dynamic-blacklist enable
【命令】
dynamic-blacklist lifetime lifetime
undo dynamic-blacklist lifetime
【视图】
WLAN IDS视图
【缺省级别】
2:系统级
【参数】
lifetime:动态黑名单中的对应列表的生存时间,单位为秒,取值范围为60~3600。
【描述】
dynamic-blacklist lifetime命令用来设置动态黑名单中的对应列表的生存时间。undo dynamic-blacklist lifetime命令用来恢复缺省情况。
缺省情况下,生存时间为300秒。
如果在老化时间超时后,该设备没有再次被检测到,则从列表中清除该表项。
【举例】
# 定义动态黑名单的生存时间为1200秒。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] dynamic-blacklist lifetime 1200
【命令】
reset wlan dynamic-blacklist { mac-address mac-address | all }
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
mac-address:将要从动态黑名单中删除的客户端的MAC地址。
all:删除动态黑名单中的所有表项。
【描述】
reset wlan dynamic-blacklist命令用来清除动态黑名单中指定的MAC地址或者所有动态客户端。
【举例】
# 从动态黑名单中清除MAC地址为001d-0f31-87d的客户端。
<Sysname> reset wlan dynamic-blacklist mac-address 001d-0f31-87d
【命令】
static-blacklist mac-address mac-address
undo static-blacklist { mac-address mac-address | all }
【视图】
【缺省级别】
2:系统级
【参数】
mac-address:将要从静态黑名单中添加或删除的客户端的MAC地址。
all:删除静态黑名单中的所有表项。
【描述】
static-blacklist mac-address命令用来添加指定的MAC地址到静态黑名单。undo static-blacklist mac-address命令用来删除静态黑名单中指定MAC地址的或者所有的客户端。
缺省情况下,不存在静态黑名单。
不同型号的设备支持的最大静态黑名单数量不同,请以设备的实际情况为准。
【举例】
# 添加MAC地址为0014-6c8a-43ff的客户端到静态黑名单。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] static-blacklist mac-address 0014-6c8a-43ff
【命令】
whitelist mac-address mac-address
undo whitelist { mac-address mac-address | all }
【视图】
WLAN IDS视图
【缺省级别】
2:系统级
【参数】
mac-address:将要从白名单中添加或删除的客户端的MAC地址。
all:删除白名单中的所有表项。
【描述】
whitelist mac-address命令用来添加指定的MAC地址到白名单。undo whitelist mac-address命令用来删除白名单中指定MAC地址的或者所有的客户端。
缺省情况下,不存在白名单。
不同型号的设备支持的最大白名单数量不同,请以设备的实际情况为准。
【举例】
# 添加MAC地址为001c-f0bf-9c92的客户端到白名单。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] whitelist mac-address 001c-f0bf-9c92
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!