06-WLAN IDS命令
本章节下载: 06-WLAN IDS命令 (189.16 KB)
目 录
1.1.4 device attack mac-address
1.1.7 display wlan ids attack-list
1.1.8 display wlan ids detected
1.1.9 display wlan ids permitted
1.1.10 display wlan ids rogue-history
1.1.13 reset wlan ids detected
1.1.14 reset wlan ids rogue-history
1.2.2 display wlan ids history
1.2.3 display wlan ids statistics
1.2.5 reset wlan ids statistics
1.3.3 dynamic-blacklist enable
1.3.4 dynamic-blacklist lifetime
1.3.5 reset wlan dynamic-blacklist
1.3.6 static-blacklist mac-address
【命令】
countermeasures enable
undo countermeasures enable
【视图】
WLAN IDS视图
【缺省级别】
2:系统级
【参数】
无
【描述】
countermeasures enable命令用来使能对攻击列表里的rogue设备的采取反制功能。undo countermeasures enable命令用来恢复缺省情况。
缺省情况下,关闭反制rogue设备的功能。
【举例】
# 使能反制rogue设备的功能。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] countermeasures enable
【命令】
countermeasures mode { all | { rogue | adhoc | config }* }
undo countermeasures mode
【视图】
WLAN IDS视图
【缺省级别】
2:系统级
【参数】
all:对攻击列表里的所有rogue设备进行反制。
rogue:对rogue AP和客户端进行反制。
adhoc:对rogue adhoc设备进行反制。
config:对静态配置的rogue设备进行反制。
【描述】
countermeasures mode命令用来设置反制rogue设备功能的模式。undo countermeasures mode命令用来恢复缺省情况。
缺省情况下,反制模式为config。
【举例】
# 设置反制模式为rogue。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] countermeasures mode rogue
【命令】
device aging-duration duration
undo device aging-duration
【视图】
WLAN IDS视图
【缺省级别】
2:系统级
【参数】
duration:选项从设备入侵列表中被删除的老化时间,取值范围为300~1800,单位为秒。
【描述】
device aging-duration命令用来设置入侵列表中表项的老化时间。undo device aging-duration命令用来恢复缺省情况。
缺省情况下,入侵列表中表项的老化时间为600秒。
如果选项在老化时间内没有被探测到有入侵行为,那么该选项将被从设备列表中删除。如果被删除的是rogue选项,该选项将被添加到rogue的历史列表中去。
【举例】
# 设置入侵列表中表项的老化时间为1200秒。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] device aging-duration 1200
【命令】
device attack mac-address mac-address
undo device attack mac-address [ mac-address ]
【视图】
WLAN IDS视图
【缺省级别】
2:系统级
【参数】
mac-address:需要添加到攻击列表中的AP或客户端的MAC地址。
【描述】
device attack mac-address命令用来配置添加到攻击列表的表项。undo device attack mac-address命令用来删除已添加到攻击列表的表项。
执行undo device attack mac-address命令时,如果没有携带mac-address参数,则删除所有表项。
攻击列表中最多能配置64条表项。
【举例】
# 添加一条表项,MAC地址为aabb-cc00-0001。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] device attack mac-address aabb-cc00-0001
【命令】
device permit { mac-address mac-address | ssid ssid | vendor oui }
undo device permit { mac-address [ mac-address ] | ssid [ ssid ] | vendor [ oui ] }
【视图】
WLAN IDS视图
【缺省级别】
2:系统级
【参数】
mac-address:将被添加到允许MAC地址列表中的AP或客户端的MAC地址,例如在RF扫描时被忽略的已知设备,最多可配置256条。
ssid:服务集合识别码(Service Set Identifier),由字符、空格、数字和特殊字符组成,区分大小写,长度为1~32个字符,需要添加到允许SSID列表的SSID,最多可配置128条。
oui:需要添加到允许厂商列表的AP的OUI(organizational unique identifier)识别符,OUI参数被定义为一个固定的16进制数字符串,该列表最多可配置64条。
【描述】
device permit命令用来添加允许表项,包括允许MAC地址列表,允许SSID列表和允许厂商列表。undo device permit命令用来删除已配置的允许条目。
执行undo device permit命令时,如果没有携带mac-address、ssid、oui参数,则表示删除已有的允许MAC地址列表,允许SSID列表和允许厂商列表。
【举例】
# 将MAC地址为aabb-cccc-dddd的AP或客户端加入friend列表。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] device permit mac-address aabb-cccc-dddd
【命令】
device-detection enable
undo device-detection enable
【视图】
AP模板视图
【缺省级别】
2:系统级
【参数】
无
【描述】
device-detection enable命令用来设置标准AP提供用于设备检测的WLAN服务。undo device-detection enable命令用于恢复缺省情况。
缺省情况下,AP设置为标准模式,仅提供WLAN服务。如果AP已经工作在监控模式,该命令不可见。
需要注意的是:
· 在修改AP工作模式之前,Radio应该处于去使能状态,否则不能修改AP工作模式。
· 如果AP工作模式为“混合”,需要配置服务模板,这样AP在监测的同时提供无线服务。
【举例】
# 使能标准AP模式下的设备检测功能。
<Sysname> system-view
[Sysname] wlan ap 2 model WA2100
[Sysname-wlan-ap2] device-detection enable
【命令】
display wlan ids attack-list { config | all | ap ap-name } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
config:显示静态配置的攻击列表的表项。
all:显示所有基于Rogue检测设备的动态预攻击列表。对任意的AP如果列表项超出256项,只有前256项将被发送到AP的攻击列表。
ap ap-name:以字符串的形式显示AP上所有基于Rogue检测设备的动态预攻击列表。对任意的AP如果列表项超出256项,只有前256项将被发送到AP的攻击列表。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan ids attack-list命令用来查看WIDS的反制攻击列表。
【举例】
# 显示所有AP的WIDS的反制攻击列表。
<Sysname> display wlan ids attack-list all
Total Number of Entries: 2
Flags: a = adhoc, w = ap, c = client
#AP = number of active APs detecting, Ch = channel number
Attack List - All
--------------------------------------------------------------------------
MAC Address type #AP Ch Last Detected Time SSID
--------------------------------------------------------------------------
0009-5b94-2fb0 --c 1 1 2008-05-16/14:16:05 -
001b-1109-a32b --c 1 5 2008-05-16/14:16:17 -
--------------------------------------------------------------------------
表1-1 display wlan ids attack-list all命令显示信息描述表
字段 |
描述 |
MAC Address |
被攻击的设备的MAC地址 |
Flags |
类型,包括Adhoc、AP和Client |
#AP |
检测到该设备的AP数 如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型 |
Ch |
最后一次检测到该设备的信道 |
Last Detected Time |
最后一次被检测到的时间 |
SSID |
用来标识ESS的SSID |
# 显示指定AP的WIDS的反制攻击列表。
<Sysname> display wlan ids attack-list ap ap6
Total Number of Entries: 22
Flags: a = adhoc, w = ap, c = client
#AP = number of active APs detecting, Ch = channel number
Attack List - AP
--------------------------------------------------------------------------
MAC Address type #AP Ch Last Detected SSID
--------------------------------------------------------------------------
000b-6b8f-fc6a --c 1 11 2008-01-22/15:33:21 -
000f-e000-0052 -w- 1 10 2008-01-22/15:33:58 "xxxx-xxxx-xxxx"
000f-e200-0000 -w- 1 9 2008-01-22/15:33:59 "6103_kaifang"
000f-e200-0001 -w- 1 9 2008-01-22/15:33:59 "6103_youxian"
000f-e200-0002 -w- 1 9 2008-01-22/15:33:59 "6103_zhengshu"
000f-e200-0003 -w- 1 9 2008-01-22/15:33:59 "6103_zhengshu+WPA2"
000f-e200-00a2 --c 1 9 2008-01-22/15:33:29 -
000f-e25d-f4b0 -w- 1 9 2008-01-22/15:33:58 "6103_kaifang"
000f-e25d-f4b1 -w- 1 9 2008-01-22/15:33:59 "6103_youxian"
000f-e25d-f4b2 -w- 1 9 2008-01-22/15:33:59 "6103_zhengshu"
000f-e25d-f4b3 -w- 1 9 2008-01-22/15:33:59 "6103_zhengshu+WPA2"
000f-e26c-2250 -w- 1 11 2008-01-22/15:33:59 "bjwifidata"
000f-e26c-2251 -w- 1 11 2008-01-22/15:33:58 "bjwifivoice"
000f-e26c-2252 -w- 1 11 2008-01-22/15:33:58 "voice"
000f-e26c-28d0 -w- 1 11 2008-01-22/15:33:58 "wyg3000"
000f-e278-8020 -w- 1 6 2008-01-22/15:33:58 "test11"
000f-e278-8181 -w- 1 7 2008-01-22/15:33:59 "nsw-wep"
000f-e27b-3f80 -w- 1 6 2008-01-22/15:33:38 "ytj-a"
000f-e27b-4230 -w- 1 4 2008-01-22/15:33:58 "test2"
0011-9548-4007 --c 1 7 2008-01-22/15:33:49 -
0019-5bcf-cce3 --c 1 5 2008-01-22/15:33:25 -
001a-9228-2d3e --c 1 11 2008-01-22/15:33:53 -
--------------------------------------------------------------------------
display wlan ids attack-list ap ap1命令参数的解释请参见表1-1。
【命令】
display wlan ids detected { all | rogue { ap | client } | adhoc | ssid | mac-address mac-address } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
all:显示WLAN中检测到的所有设备,包括网络周围的Rogue设备和被忽略的设备。
rogue:显示WLAN中检测到的Rogue AP或客户端。
adhoc:显示WLAN中检测到的属于Adhoc网络的客户端。
ssid:显示WLAN中检测到的SSID。
mac-address mac-address:显示WLAN中检测到的指定MAC的AP或客户端的信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan ids detected命令用来查看WLAN检测到的各种设备。
【举例】
# 显示WLAN检测到的所有设备。
<Sysname> display wlan ids detected all
Total Number of Entries : 18
Flags: r = rogue, p = permit, a = adhoc, w = ap, b = wireless-bridge,
c = client
#AP = number of active APs detecting, Ch = channel number
Detected Device(s) List
--------------------------------------------------------------------------
MAC Address Vendor Type #AP Ch Last Detected SSID
--------------------------------------------------------------------------
000f-e281-1322 XEROX CORP... -p-w- 1 4 2008-05-16/10:49:15 "cyh-psk2"
000f-e281-1323 XEROX CORP... -p-w- 1 4 2008-05-16/10:49:05 "cyh-ccmp"
000f-e281-1460 XEROX CORP... -p-w- 1 6 2008-05-16/10:49:26 "fl"
000f-e281-1461 XEROX CORP... -p-w- 1 6 2008-05-16/10:49:26 "fg2"
0012-f0cc-4789 XEROX CORP... -p--c 1 1 2008-05-16/10:49:11 -
0013-f702-dbd2 XEROX CORP... -p--c 1 7 2008-05-16/10:46:58 -
0016-6f99-fbf6 XEROX CORP... -p--c 1 11 2008-05-16/10:49:02 -
0016-6f99-fc21 XEROX CORP... -p--c 1 6 2008-05-16/10:49:25 -
0017-9a00-7986 XEROX CORP... -p--c 1 8 2008-05-16/10:48:04 -
0017-9a00-79bd XEROX CORP... -p--c 1 7 2008-05-16/10:47:18 -
0017-9a00-7b47 XEROX CORP... r---c 1 10 2008-05-16/10:48:49 -
0017-9a00-7cb8 XEROX CORP... -p--c 1 1 2008-05-16/10:49:20 -
0019-5bcf-ccfd XEROX CORP... -p--c 1 11 2008-05-16/10:49:24 -
001b-111d-b46f XEROX CORP... -p--c 1 6 2008-05-16/10:48:56 -
001c-f017-41dc XEROX CORP... -p--c 1 6 2008-05-16/10:48:00 -
001c-f017-41dd XEROX CORP... -p--c 1 6 2008-05-16/10:49:19 -
001d-0f32-4305 XEROX CORP... -p--c 1 1 2008-05-16/10:48:33 -
0810-741a-1b4c XEROX CORP... -p--c 1 11 2008-05-16/10:49:04 -
--------------------------------------------------------------------------
表1-2 display wlan ids detected命令显示信息描述表
字段 |
描述 |
MAC Address |
检测到的设备的MAC地址 |
Vendor |
检测到的设备的厂商 |
Flags |
类型,包括Adhoc、AP、无线网桥和Client |
#AP |
检测到该设备的AP数 如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型 |
Ch |
最后一次检测到该设备的信道 |
Last Detected |
最后一次被检测到的时间 |
SSID |
用来标识ESS的SSID |
# 显示检测到的rogue AP信息。
<Sysname> display wlan ids detected rogue ap
Total Number of Entries : 6
#AP = number of active APs detecting, Ch = channel number
Detected Rogue AP(s) List
----------------------------------------------------------------------
MAC Address Vendor #AP Ch Last Detected Time SSID
---------------------------------------------------------------------
000B-8580-738F Aires... 1 10 2007-03-16/12:44:11 "Diamond"
000F-E212-1230 Hangz... 1 5 2007-03-16/12:44:11 "1"
000F-E234-0200 Hangz... 1 11 2007-03-16/12:44:11 "VClear"
000F-E2AA-CC04 Hangz... 1 12 2007-03-16/12:44:11 "baba"
000F-E2BB-CCD0 Hangz... 1 1 2007-03-16/12:44:11 "Rogue AP Team B..."
000F-E2F2-2230 Hangz... 1 7 2007-03-16/12:44:11 "int-RT"
表1-3 display wlan ids detected rogue ap命令显示信息描述表
字段 |
描述 |
MAC Address |
检测到的AP的MAC地址 |
Vendor |
检测到的AP的厂商名称 |
#AP |
检测到该设备的AP数 如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型 |
Ch |
最后一次检测到该设备的信道 |
Last Detected Time |
最后一次被检测到的时间 |
SSID |
用来标识ESS的SSID |
# 显示检测到的rogue client的信息。
<Sysname> display wlan ids detected rogue client
Total Number of Entries : 1
#AP = number of active APs detecting, Ch = channel number
Detected Rogue Client(s) List
--------------------------------------------------------------------------
MAC Address Vendor #AP Ch Last Detected SSID
--------------------------------------------------------------------------
0017-9a00-7b47 XEROX CORP... 1 9 2008-05-16/10:49:30 -
--------------------------------------------------------------------------
表1-4 display wlan ids detected rogue client命令显示信息描述表
字段 |
描述 |
MAC Address |
检测到的client端的MAC地址 |
Vendor |
检测到的client端厂商 |
#AP |
检测到该设备的AP数 如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型 |
Ch |
最后一次检测到该设备的信道 |
Last Detected Time |
最后一次被检测到的时间 |
SSID |
用来标识ESS的SSID |
# 显示检测到的adhoc的信息。
<Sysname> display wlan ids detected adhoc
Total Number of Entries : 4
#AP = number of active APs, Ch = channel number
Detected Adhoc(s) List
----------------------------------------------------------------------
MAC Address Vendor #AP Ch Last Detected Time SSID
----------------------------------------------------------------------
000F-E212-1230 Hangz... 1 5 2007-03-16/12:44:11 -
000F-E234-0200 Hangz... 1 11 2007-03-16/12:44:11 -
000F-E2AA-CC04 Hangz... 1 12 2007-03-16/12:44:11 -
000F-E2BB-CCD0 Hangz... 1 1 2007-03-16/12:44:11 -...
----------------------------------------------------------------------
表1-5 display wlan ids detected adhoc命令显示信息描述表
字段 |
描述 |
MAC Address |
检测到的adhoc的MAC地址 |
Vendor |
检测到的adhoc厂商 |
#AP |
检测到该设备的AP数 如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型 |
Ch |
最后一次检测到该设备的信道 |
Last Detected Time |
最后一次被检测到的时间 |
SSID |
用来标识ESS的SSID |
# 显示检测到的SSID的信息。
<Sysname> display wlan ids detected ssid
Total Number of Entries : 7
#Device = number of devices using SSID
Detected SSID List
----------------------------------------------------------------------
SSID #Device Last Detected Time
----------------------------------------------------------------------
"Crywep" 1 2007-03-16/12:44:37
"H3COMTEST11" 1 2007-03-16/12:44:37
"autowep" 2 2007-03-16/12:44:37
"baba" 2 2007-03-16/12:44:37
"s1" 1 2007-03-16/12:44:37
"s2" 1 2007-03-16/12:44:37
"s4crypto" 1 2007-03-16/12:43:48
----------------------------------------------------------------------
表1-6 display wlan ids detected ssid命令显示信息描述表
字段 |
描述 |
SSID |
用来标识ESS的SSID |
#Device |
使用此SSID的设备的数量 |
Last Detected Time |
使用SSID的表项最后一次被检测到的时间 |
# 显示检测到的某个设备的详细信息。
<Sysname> display wlan ids detected mac-address 000F-E2BB-CCD0
Detected Device Profile
----------------------------------------------------------------------
MAC Address : 000F-E2BB-CCD0
BSSID : 000F-E2BB-CCD0
Type : Rogue-AP
SSID : "H3C"
Vendor : Hangzhou H3C Tech. Co., Ltd
Number of APs detected it : 2
Channel : 11
Maximum RSSI Detected : 47
Beacon Interval : 100
First Detected(yyyy-mm-dd/hh:mm:ss) : 2007-03-16/11:32:54
Reported AP 1:
MAC Address : 000F-E210-2000
AP Name : ap1
Radio Type : 11g
RSSI : 75
Last Detected(yyyy-mm-dd/hh:mm:ss): 2007-03-16/12:43:37
Reported AP 2:
MAC Address : 000F-E210-2001
AP Name : ap12
Radio Type : 11g
RSSI : 75
Last Detected(yyyy-mm-dd/hh:mm:ss): 2007-03-16/12:44:37
----------------------------------------------------------------------
表1-7 display wlan ids detected mac-address命令显示信息描述表
字段 |
描述 |
MAC Address |
检测到的设备的MAC地址 |
BSSID |
检测到的设备的BSSID |
Type |
类型,包括Adhoc、AP、Client、friend、无线网桥和rogue |
SSID |
用来标识ESS的SSID |
Vendor |
检测到的设备厂商 |
Number of APs detected it |
检测到该设备的AP数 如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型。以本显示信息为例,该数值表示了有2个AP检测到了MAC地址为000F-E2BB-CCD0的设备,并认为此设备是Rogue设备 |
Channel |
最后一次检测到该设备的信道 |
RSSI |
设备最大检测到的RSSI |
Beacon Interval |
检测到的AP和adhoc表项的Beacon间隔 |
First Detected |
表项首次被检测到的时间 |
Reported AP |
|
Mac Address |
上一次检测AP的MAC地址 |
AP name |
上一次检测的AP的名称 |
Radio type |
AP使用的射频 |
RSSI |
设备最大检测到的RSSI |
Last Detected (yyyy-mm-dd/hh:mm:ss) |
rogue AP上一次检测的时间 |
【命令】
display wlan ids permitted { mac-address | ssid | vendor } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
mac-address:设备的MAC地址。
ssid:SSID号。
vendor:包含AP在内各种设备的OUI。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan ids permitted命令用来查看WLAN信任的mac-address、ssid或者vendor列表。
【举例】
# 显示WLAN IDS允许的MAC地址列表。
<Sysname> display wlan ids permitted mac-address
Total Number of Entries: 4
Flags: a = adhoc, w = ap, c = client
Permitted Mac Address(s)
----------------------------------------------------------------------
MAC Address Detected Type
----------------------------------------------------------------------
0000-0000-0001 Yes a--
0000-1111-1111 Yes -b-
0000-1111-1234 No -
0000-1111-5634 Yes --c
----------------------------------------------------------------------
表1-8 display wlan ids permitted mac-address命令显示信息描述表
字段 |
描述 |
MAC Address |
设备的MAC地址 |
Detected |
该MAC地址是否被检测到 |
Type |
类型,包括Adhoc、AP、无线网桥和Client |
# 显示允许的SSID列表信息。
<Sysname> display wlan ids permitted ssid
Total Number of Entries: 5
Permitted SSID(s)
----------------------------------------------------------------------
SSID Detected
----------------------------------------------------------------------
"s1" Yes
"s2" Yes
"s3" Yes
"s4" Yes
"s5" No
----------------------------------------------------------------------
表1-9 display wlan ids permitted ssid命令显示信息描述表
字段 |
描述 |
SSID |
用来标识ESS的SSID |
Detected |
设备是否可以检测到 |
# 显示允许的OUI列表信息。
<Sysname> display wlan ids permitted vendor
Total Number of Entries: 3
Permitted Vendor(s)
--------------------------------------------------------------------------------
OUI Vendor Name
--------------------------------------------------------------------------------
Hangzhou H3C Tech. Co., Ltd.Netgear Inc.Cisco Systems, Inc.
--------------------------------------------------------------------------------
表1-10 display wlan ids permitted vendor命令显示信息描述表
字段 |
描述 |
OUI |
包含AP在内各种设备的OUI |
Vendor |
指定设备OUI的生产厂商 |
【命令】
display wlan ids rogue-history [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan ids rogue-history命令用来显示所有已经因超时而被从入侵列表中删除的rogue设备。
【举例】
# 显示所有已经因超时而被从入侵列表中删除的rogue设备。
<Sysname> display wlan ids rogue-history
Total Number of Entries: 6
Flags: a = adhoc, w = ap, b = wireless-bridge, c = client
Ch = channel number
Rogue History List
----------------------------------------------------------------------
MAC Address Vendor Type Ch Last Detected SSID
----------------------------------------------------------------------
00E0-9855-1D9A AboCo... -w- 11 2007-03-16/11:38:22 "ATNet"
000F-E2CC-0005 Hangz... -b- 4 2007-03-16/11:37:06 -
000F-E2CC-0004 Hangz... --c 4 2007-03-16/11:36:20 -
000F-E2CC-DD00 Hangz... -w- 2 2007-03-16/11:36:17 "AKHIL"
000F-E2CC-0003 Hangz... --c 4 2007-03-16/11:35:34 -
0013-4651-23E7 D-Lin... -w- 6 2007-03-16/11:35:10 "home"
----------------------------------------------------------------------
表1-11 display wlan ids rogue-history命令显示信息描述表
字段 |
描述 |
MAC Address |
设备的MAC地址 |
Vendor |
检测到的设备的厂商 |
Flags |
类型,包括Adhoc、AP、无线网桥和Client |
Ch |
最后一次检测到该设备的信道 |
Last Detected |
最后一次被检测到的时间 |
SSID |
用来标识ESS的SSID |
【命令】
wlan ids
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
wlan ids命令用来进入WLAN IDS视图。
【举例】
# 进入WLAN IDS视图。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids]
【命令】
work-mode monitor
undo work-mode
【视图】
AP模板视图
【缺省级别】
2:系统级
【参数】
无
【描述】
work-mode monitor命令用来设置AP的工作模式为Monitor模式。undo work-mode命令用来恢复缺省情况。
缺省情况下,AP设置为Normal模式,仅提供WLAN服务。
如果AP的工作模式为Monitor模式,那么此时AP仅做监测AP,不能提供无线服务,不需要配置服务模板。
【举例】
# 配置AP的工作模式为Monitor模式。
<Sysname> system-view
[Sysname] wlan ap ap2 model WA2100
[Sysname-wlan-ap-ap2] work-mode monitor
【命令】
reset wlan ids detected { all | rogue { ap | client } | adhoc | ssid | mac-address mac-address }
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
all:WLAN中检测到的所有设备。
rogue:WLAN中检测到的所有rogue设备(AP或者Clients)。
adhoc:WLAN中检测到的所有adhoc。
ssid:WLAN中检测到的所有ssid。
mac-address mac-address:指定设备的MAC地址(AP或者Client)。
【描述】
reset wlan ids detected命令用于清除WLAN中检测到的设备列表。
【举例】
# 清除WLAN中检测到的所有设备。
<Sysname> reset wlan ids detected all
【命令】
reset wlan ids rogue-history
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
无
【描述】
reset wlan ids rogue-history命令用来清除rogue历史列表。
【举例】
# 清除rogue历史列表。
<Sysname> reset wlan ids rogue-history
【命令】
attack-detection enable { all | flood | weak-iv | spoof }
undo attack-detection enable
【视图】
WLAN IDS视图
【缺省级别】
2:系统级
【参数】
all:使能所有攻击检测功能。
flood:使能泛洪攻击检测功能。
spoof:使能spoof攻击检测功能。
weak-iv:使能weak-iv攻击检测功能。
【描述】
attack-detection enable命令用来使能攻击检测功能。undo attack-detection enable命令用来恢复缺省情况。
缺省情况下,攻击检测功能处于关闭状态。
【举例】
# 使能spoof攻击检测功能。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] attack-detection enable spoof
【命令】
display wlan ids history [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan ids history命令用来显示WLAN系统的攻击检测历史信息,最多可以显示512条历史信息。
【举例】
# 显示历史攻击信息。
<Sysname> display wlan ids history
Total Number of Entries: 5
Flags:
act = Action Frame asr = Association Request
aur = Authentication Request daf = Deauthentication Frame
dar = Disassociation Request ndf = Null Data Frame
pbr = Probe Request rar = Reassociation Request
saf = Spoofed Disassociation Frame
sdf = Spoofed Deauthentication Frame
wiv = Weak IV Detected
AT - Attack Type, Ch - Channel Number, AR - Average RSSI
WIDS History Table
----------------------------------------------------------------------
MAC Address AT Ch AR Detected Time AP
----------------------------------------------------------------------
0027-E699-CA71 asr 8 44 2007-06-12/19:47:54 ap12
0015-E9A4-D7F4 wiv 8 45 2007-06-12/19:45:28 ap48
0027-E699-CA71 asr 8 20 2007-06-12/19:18:17 ap12
003d-B5A6-539F pbr 8 43 2007-06-12/19:10:48 ap56
0015-E9A4-D7F4 wiv 8 50 2007-06-12/19:01:28 ap48
----------------------------------------------------------------------
表1-12 display wlan ids history命令显示信息描述表
字段 |
描述 |
MAC-Address |
在欺骗攻击模式下,该阈值提供用于欺骗攻击的BSSID;在其它攻击模式下,该阈值用于提供发起攻击的设备的MAC地址 |
AT |
攻击类型首字母缩写 |
Ch |
攻击检测频道 |
AR |
攻击帧的平均RSSI |
Detected time |
攻击检测时间 |
AP |
检测到攻击的AP名称 |
【命令】
display wlan ids statistics [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan ids statistics命令用来显示检测到的攻击数。
【举例】
# 显示wlan ids的统计信息。
<Sysname> display wlan ids statistics
Current attack tracking since: 2007-06-21/12:46:33
----------------------------------------------------------------------
Type Current Total
----------------------------------------------------------------------
Probe Request Frame Flood Attack 2 7
Authentication Request Frame Flood Attack 0 0
Deauthentication Frame Flood Attack 0 0
Association Request Frame Flood Attack 1 1
Disassociation Request Frame Flood Attack 4 8
Reassociation Request Frame Flood Attack 0 0
Action Frame Flood Attack 0 0
Null Data Frame Flood Attack 0 0
Weak IVs Detected 12 21
Spoofed Deauthentication Frame Attack 0 0
Spoofed Disassociation Frame Attack 0 2
----------------------------------------------------------------------
表1-13 display wlan ids statistics命令显示信息描述表.
字段 |
描述 |
current |
current字段标识了当前攻击的跟踪时间,该字段提供了从当前攻击跟踪时间(在显示信息中“Current attack tracking since:”定义的时间)起的攻击检测数。当前攻击的跟踪时间在系统启动时开始计算,后续以小时为单位刷新。 |
total |
total字段标识了系统从启动以来的所有检测到的攻击数 |
Probe Request Frame Flood Attack |
探查请求帧的泛洪攻击数 |
Authentication Request Frame Flood Attack |
认证请求帧的泛洪攻击数 |
Deauthentication Frame Flood Attack |
解除认证请求帧的泛洪攻击数 |
Association Request Frame Flood Attack |
关联请求帧的泛洪攻击数 |
Disassociation Request Frame Flood Attack |
解除关联请求帧的泛洪攻击数 |
Reassociation Request Frame Flood Attack |
重关联请求帧的泛洪攻击数 |
Action Frame Flood Attack |
执行帧的泛洪攻击数 |
Null Data Frame Flood Attack |
空数据帧的泛洪攻击数 |
Weak IVs Detected |
弱IV数 |
Spoofed Deauthentication Frame Attack |
欺骗解除认证帧的攻击数 |
Spoofed Disassociation Frame Attack |
欺骗解除关联帧的攻击数 |
【命令】
reset wlan ids history
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
无
【描述】
reset wlan ids history命令用来重置WLAN系统攻击检测的历史信息。在执行了这条命令后所有关于攻击的历史信息将被清除,历史信息列表将被清空。
【举例】
# 重置wlan ids历史信息。
<Sysname> reset wlan ids history
【命令】
reset wlan ids statistics
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
无
【描述】
reset wlan ids statistics命令用来重置WLAN系统攻击检测的统计信息。该命令将重置包括current和total字段的所有在WIDS统计列表内的攻击类型。
【举例】
# 重置wlan ids统计信息。
<Sysname> reset wlan ids statistics
【命令】
display wlan blacklist { static | dynamic } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
static:只显示静态配置的黑名单列表。
dynamic:显示所有动态配置的黑名单列表。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan blacklist命令用来显示静态或动态配置的黑名单列表。
【举例】
# 显示静态配置的黑名单列表。
<Sysname> display wlan blacklist static
Total Number of Entries: 3
Static Blacklist
----------------------------------------------------------------------
MAC-Address
----------------------------------------------------------------------
0014-6c8a-43ff
0016-6F9D-61F3
0019-5B79-F04A
----------------------------------------------------------------------
表1-14 display wlan blacklist static命令显示信息描述表
字段 |
描述 |
MAC-Address |
静态黑名单列表中的客户端MAC地址 |
# 显示动态配置的黑名单列表。
<Sysname> display wlan blacklist dynamic
Total Number of Entries: 3
Dynamic Blacklist
------------------------------------------------------------------------------
MAC-Address APID Lifetime(s) Last Updated Since(hh:mm:ss) Reason
------------------------------------------------------------------------------
000f-e2cc-0001 1 60 00:02:11 Assoc-Flood
000f-e2cc-0002 2 60 00:01:17 Deauth-Flood
000f-e2cc-0003 3 60 00:02:08 Auth-Flood
表1-15 display wlan blacklist dynamic命令显示信息描述表
字段 |
描述 |
MAC-Address |
动态黑名单列表中的客户端MAC地址 |
APID |
动态黑名单列表中对应项的AP的序列号 |
Lifetime(s) |
动态黑名单列表中对应项的生存时间(单位:秒) |
Last Updated Since(hh:mm:ss) |
动态黑名单列表中对应项已经存在了多长时间 |
Reason |
动态黑名单列表中对应项添加的原因 |
【命令】
display wlan whitelist [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display wlan whitelist命令用来显示白名单列表。
【举例】
# 显示白名单列表信息。
<Sysname> display wlan whitelist
Total Number of Entries: 3
Whitelist
----------------------------------------------------------------------
MAC-Address
----------------------------------------------------------------------
000e-35b2-000e
0019-5b8e-b709
001c-f0bf-9c92
----------------------------------------------------------------------
表1-16 display wlan whitelist命令显示信息描述表
字段 |
描述 |
MAC-Address |
白名单列表中的客户端MAC地址 |
【命令】
dynamic-blacklist enable
undo dynamic-blacklist enable
【视图】
WLAN IDS视图
【缺省级别】
2:系统级
【参数】
enable:使能动态黑名单功能。
【描述】
dynamic-blacklist enable命令用来使能动态黑名单功能。undo dynamic-blacklist enable命令用来关闭动态黑名单功能。
缺省情况下,此功能处于关闭状态。
当WLAN设备检测到来自某一设备的泛洪攻击时,可以选择将该设备加入到动态黑名单中,拒绝接收任何来自于该设备的报文,直至该动态黑名单表项老化为止。
【举例】
# 使能动态黑名单功能。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] dynamic-blacklist enable
【命令】
dynamic-blacklist lifetime lifetime
undo dynamic-blacklist lifetime
【视图】
WLAN IDS视图
【缺省级别】
2:系统级
【参数】
lifetime:动态黑名单中的对应列表的生存时间,单位为秒,取值范围为60~3600。
【描述】
dynamic-blacklist lifetime命令用来设置动态黑名单中的对应列表的生存时间。undo dynamic-blacklist lifetime命令用来恢复缺省情况。
缺省情况下,生存时间为300秒。
如果在老化时间超时后,该设备没有再次被检测到,则从列表中清除该表项。
【举例】
# 定义动态黑名单的生存时间为1200秒。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] dynamic-blacklist lifetime 1200
【命令】
reset wlan dynamic-blacklist { mac-address mac-address | all }
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
mac-address:将要从动态黑名单中删除的客户端的MAC地址。
all:删除动态黑名单中的所有表项。
【描述】
reset wlan dynamic-blacklist命令用来清除动态黑名单中指定的MAC地址或者所有动态客户端。最多可以输入多少条表项与设备型号相关,无线控制器产品各型号的支持情况请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍
【举例】
# 从动态黑名单中清除MAC地址为001d-0f31-87d的客户端。
<Sysname> reset wlan dynamic-blacklist mac-address 001d-0f31-87d
【命令】
static-blacklist mac-address mac-address
undo static-blacklist { mac-address mac-address | all }
【视图】
【缺省级别】
2:系统级
【参数】
mac-address:将要从静态黑名单中添加或删除的客户端的MAC地址。
all:删除静态黑名单中的所有表项。
【描述】
static-blacklist mac-address命令用来添加指定的MAC地址到静态黑名单。undo static-blacklist命令用来删除静态黑名单中指定MAC地址的或者所有的客户端。最多可以输入多少条表项与设备型号相关,无线控制器产品各型号的支持情况请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
【举例】
# 添加MAC地址为0014-6c8a-43ff的客户端到静态黑名单。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] static-blacklist mac-address 0014-6c8a-43ff
【命令】
whitelist mac-address mac-address
undo whitelist { mac-address mac-address | all }
【视图】
WLAN IDS视图
【缺省级别】
2:系统级
【参数】
mac-address:将要从白名单中添加或删除的客户端的MAC地址。
all:删除白名单中的所有表项。
【描述】
whitelist mac-address命令用来添加指定的MAC地址到白名单。undo whitelist命令用来删除白名单中指定MAC地址的或者所有的客户端。也就是需要与AP相关联的客户端。该表项最多可以输入255条。
【举例】
# 添加MAC地址为001c-f0bf-9c92的客户端到白名单。
<Sysname> system-view
[Sysname] wlan ids
[Sysname-wlan-ids] whitelist mac-address 001c-f0bf-9c92
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!