选择区域语言: EN CN HK

10-安全命令参考

14-TCP攻击防御命令

本章节下载  (91.19 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500-S/Command/Command_Manual/H3C_S12500-S_CR-R7523P01-6W100/10/201608/947285_30005_0.htm

14-TCP攻击防御命令


1 TCP攻击防御

1.1  TCP攻击防御配置命令

1.1.1  tcp anti-naptha enable

tcp anti-naptha enable命令用来开启防止Naptha攻击功能。

undo tcp anti-naptha enable命令用来关闭防止Naptha攻击功能。

【命令】

tcp anti-naptha enable

undo tcp anti-naptha enable

【缺省情况】

防止Naptha攻击功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

开启防止Naptha攻击功能后,设备周期性地对各状态的TCP连接数进行检测(检测周期由tcp check-state interval命令配置),当某状态的最大TCP连接数超过指定的最大连接数后(最大连接数由tcp state命令配置),将加速该状态下TCP连接的老化。

【举例】

# 开启防止Naptha攻击功能。

<Sysname> system-view

[Sysname] tcp anti-naptha enable

【相关命令】

·     tcp state

·     tcp check-state interval

1.1.2  tcp check-state interval

tcp check-state interval命令用来配置TCP连接状态的检测周期。

undo tcp check-state interval命令用来恢复缺省情况。

【命令】

tcp check-state interval interval

undo tcp check-state interval

【缺省情况】

TCP连接状态的检测周期为30秒。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interval:TCP连接状态的检测周期,取值范围为1~60,单位为秒。

【使用指导】

设备周期性地检测处于CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五种状态的TCP连接数,如果检测到某个状态的TCP连接数目超过设定的最大连接数时,将加速该状态下TCP连接的老化。

开启防止Naptha攻击功能后,设备才会周期性地对各状态的TCP连接数进行检测。

【举例】

# 配置TCP连接状态的检测周期为40秒。

<Sysname> system-view

[Sysname] tcp check-state interval 40

【相关命令】

·     tcp anti-naptha enable

·     tcp state

1.1.3  tcp state

tcp state命令用来配置TCP连接的某一状态下的最大TCP连接数。

undo tcp state命令用来恢复为缺省情况。

【命令】

tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit number

undo tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit

【缺省情况】

CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五种状态最大TCP连接数均为50。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

closing:TCP连接的CLOSING状态。

established:TCP连接的ESTABLISHED状态。

fin-wait-1:TCP连接的FIN_WAIT_1状态。

fin-wait-2:TCP连接的FIN_WAIT_2状态。

last-ack:TCP连接的LAST_ACK状态。

connection-limit number:最大TCP连接数,取值范围为0~500,取值为0时,表示不会加速该状态下TCP连接的老化。

【使用指导】

开启防止Naptha攻击功能后,各状态的最大TCP连接数限制才能生效,连接数目超过最大连接数后,将加速该状态下TCP连接的老化。

【举例】

# 配置ESTABLISHED状态下的最大TCP连接数为100。

<Sysname> system-view

[Sysname] tcp state established connection-limit 100

【相关命令】

·     tcp anti-naptha enable

·     tcp check-state interval

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!