国家 / 地区

10-安全命令参考

21-TCP攻击防御命令

本章节下载  (107.46 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Command/Command_Manual/H3C_SR6600_SR6600-X_CR(V5)-R3303(V1.23)/10/201702/973916_30005_0.htm

21-TCP攻击防御命令


1 TCP攻击防御

1.1  TCP攻击防御配置命令

1.1.1  display tcp status

【命令】

display tcp status [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display tcp status命令用来显示所有TCP连接的状态,使用户随时监控TCP连接。

【举例】

# 显示所有TCP连接状态。(非IRF模式)

<Sysname> display tcp status

*: TCP MD5 Connection

TCPCB         Local Add:port       Foreign Add:port     State

03e37dc4      0.0.0.0:4001         0.0.0.0:0            Listening

04217174      100.0.0.204:23       100.0.0.253:65508    Established

# 显示所有TCP连接状态。(IRF模式)

<Sysname> display tcp status

*: TCP MD5 Connection

TCPCB         Local Add:port       Foreign Add:port     State

09854ed0      0.0.0.0:23           0.0.0.0:0            Listening

09887e30      0.0.0.0:179          10.0.0.1:0           Established

098886b0      0.0.0.0:179          10.0.0.3:0           Listening

0985f250      0.0.0.0:646          0.0.0.0:0            Listening

099e2440      10.0.0.2:1121        10.0.0.3:179         Syn_Sent

099e3320      10.0.0.2:4646        10.0.0.1:179         Syn_Sent

 

Chassis 2 Slot 0:

098c40f0     0.0.0.0:23            0.0.0.0:0            Listening

098c4db0     0.0.0.0:646           0.0.0.0:0            Listening

 

Chassis 2 Slot 1:

098c3280     0.0.0.0:23            0.0.0.0:0            Listening

098c3d20     0.0.0.0:646           0.0.0.0:0            Listening

表1-1 display tcp status命令显示信息描述表

字段

描述

*: TCP MD5 Connection

如果某个连接前有星号标识,则表示该TCP连接是采用MD5加密算法认证的连接

TCPCB

TCP控制块

Local Add:port

本端IP地址及端口号

Foreign Add:port

对端IP地址及端口号

State

TCP连接的状态

Chassis n Slot m

成员设备nm号单板的TCP连接状态

 

1.1.2  tcp anti-naptha enable

【命令】

tcp anti-naptha enable

undo tcp anti-naptha enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

tcp anti-naptha enable命令用来使能防止Naptha攻击功能。undo tcp anti-naptha enable命令用来关闭防止Naptha攻击功能。

缺省情况下,防止Naptha攻击功能处于关闭状态。

需要注意的是,关闭防止Naptha攻击功能后,tcp state命令和tcp timer check-state命令的配置都会被删除。

【举例】

# 使能防止Naptha攻击功能。

<Sysname> system-view

[Sysname] tcp anti-naptha enable

1.1.3  tcp state

【命令】

tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack | syn-received } connection-number number

undo tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack | syn-received } connection-number

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

closing:TCP连接的CLOSING状态。

established:TCP连接的ESTABLISHED状态。

fin-wait-1:TCP连接的FIN_WAIT_1状态。

fin-wait-2:TCP连接的FIN_WAIT_2状态。

last-ack:TCP连接的LAST_ACK状态。

syn-received:TCP连接的SYN_RECEIVED状态。

connection-number number:处于某个状态的最大TCP连接数。number的取值范围为0~500。

【描述】

tcp state命令用来配置某一状态下的最大TCP连接数,连接数目超过最大连接数后,将加速该状态下TCP连接的老化。undo tcp state命令用来恢复缺省情况。

缺省情况下,六种状态下的最大TCP连接数均为5。

需要注意的是,

·     配置本命令前,需要先使能防止Naptha攻击功能,否则会提示错误;

·     可以分别配置六种状态下的最大连接数;

·     如果某一状态下的最大连接数为0,则表示不会加速该状态下TCP连接的老化。

相关配置可参考命令tcp anti-naptha enable

【举例】

# 配置ESTABLISHED状态下的最大TCP连接数为100。

<Sysname> system-view

[Sysname] tcp anti-naptha enable

[Sysname] tcp state established connection-number 100

1.1.4  tcp syn-cookie enable

【命令】

tcp syn-cookie enable

undo tcp syn-cookie enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

tcp syn-cookie enable命令用来使能SYN Cookie功能,防止设备受到SYN Flood攻击。undo tcp syn-cookie enble命令用来关闭SYN Cookie功能。

缺省情况下,SYN Cookie功能处于使能状态。

【举例】

# 使能SYN Cookie功能。

<Sysname> system-view

[Sysname] tcp syn-cookie enable

1.1.5  tcp timer check-state

【命令】

tcp timer check-state time-value

undo tcp timer check-state

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

time-value:TCP连接状态的轮询检测时间间隔,取值范围为1~60,单位为秒。

【描述】

tcp timer check-state命令用来配置TCP连接状态的轮询检测时间间隔。undo tcp timer check-state命令用来恢复缺省情况。

缺省情况下,TCP连接状态的轮询检测时间间隔为30秒。

设备周期性地检测处于六种状态的TCP连接数,如果检测到某个状态的TCP连接数目超过设定的最大连接数时,则加速该状态下TCP连接的老化。

需要注意的是,配置本命令前,需要先使能防止Naptha攻击功能,否则会提示错误。

相关配置可参考命令tcp anti-naptha enable

【举例】

# 配置TCP连接状态的轮询检测时间间隔为40秒。

<Sysname> system-view

[Sysname] tcp anti-naptha enable

[Sysname] tcp timer check-state 40

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!