国家 / 地区

02-WLAN命令

05-WIPS命令

本章节下载  (617.30 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WA/H3C_WA5500/Command/Command_Manual/H3C_WA5530_CR-5W100/02/201706/1003588_30005_0.htm

05-WIPS命令

目  录

1 WIPS

1.1 WIPS配置命令

1.1.1 ap-channel-change

1.1.2 ap-classification rule

1.1.3 ap-flood

1.1.4 ap-impersonation

1.1.5 apply ap-classification rule

1.1.6 apply classification policy

1.1.7 apply countermeasure policy

1.1.8 apply detect policy

1.1.9 apply signature policy

1.1.10 apply signature rule

1.1.11 ap-rate-limit

1.1.12 ap-spoofing

1.1.13 ap-timer

1.1.14 association-table-overflow

1.1.15 authentication

1.1.16 block mac-address

1.1.17 classification policy

1.1.18 client-proximity-sensor

1.1.19 client-proximity-sensor ap-timer

1.1.20 client-proximity-sensor client-timer

1.1.21 client-proximity-sensor filter-list

1.1.22 client-proximity-sensor random-mac-report enable

1.1.23 client-proximity-sensor report-ap enable

1.1.24 client-proximity-sensor rssi-threshold

1.1.25 client-proximity-sensor rt-report enable

1.1.26 client-proximity-sensor server

1.1.27 client-proximity-sensor udp-server

1.1.28 client-rate-limit

1.1.29 client-online

1.1.30 client-spoofing

1.1.31 client-timer

1.1.32 countermeasure adhoc

1.1.33 countermeasure attack all

1.1.34 countermeasure attack deauth-broadcast

1.1.35 countermeasure attack disassoc-broadcast

1.1.36 countermeasure attack honeypot-ap

1.1.37 countermeasure attack hotspot-attack

1.1.38 countermeasure attack ht-40-mhz-intolerance

1.1.39 countermeasure attack malformed-packet

1.1.40 countermeasure attack man-in-the-middle

1.1.41 countermeasure attack omerta

1.1.42 countermeasure attack power-save

1.1.43 countermeasure attack soft-ap

1.1.44 countermeasure attack unencrypted-trust-client

1.1.45 countermeasure attack weak-iv

1.1.46 countermeasure attack windows-bridge

1.1.47 countermeasure external-ap

1.1.48 countermeasure mac-address

1.1.49 countermeasure misassociation-client

1.1.50 countermeasure misconfigured-ap

1.1.51 countermeasure policy

1.1.52 countermeasure potential-authorized-ap

1.1.53 countermeasure potential-external-ap

1.1.54 countermeasure potential-rogue-ap

1.1.55 countermeasure rogue-ap

1.1.56 countermeasure unauthorized-client

1.1.57 countermeasure uncategorized-ap

1.1.58 countermeasure uncategorized-client

1.1.59 deauthentication-broadcast

1.1.60 detect policy

1.1.61 detect signature

1.1.62 disassociation-broadcast

1.1.63 discovered-ap

1.1.64 display client-proximity-sensor device

1.1.65 display client-proximity-sensor sensor

1.1.66 display wips sensor

1.1.67 display client-proximity-sensor statistics

1.1.68 display client-proximity-sensor statistics receive

1.1.69 display wips statistics

1.1.70 display wips virtual-security-domain countermeasure record

1.1.71 display wips virtual-security-domain device

1.1.72 display wlan nat-detect

1.1.73 flood association-request

1.1.74 flood authentication

1.1.75 flood beacon

1.1.76 flood block-ack

1.1.77 flood cts

1.1.78 flood deauthentication

1.1.79 flood disassociation

1.1.80 flood eapol-logoff

1.1.81 flood eapol-start

1.1.82 flood eap-failure

1.1.83 flood eap-success

1.1.84 flood null-data

1.1.85 flood probe-request

1.1.86 flood reassociation-request

1.1.87 flood rts

1.1.88 frame-type

1.1.89 honeypot-ap

1.1.90 hotspot-attack

1.1.91 ht-40mhz-intolerance

1.1.92 ht-greenfield

1.1.93 ignorelist

1.1.94 import hotspot

1.1.95 import oui

1.1.96 invalid-oui-classify illegal

1.1.97 mac-address

1.1.98 malformed duplicated-ie

1.1.99 malformed fata-jack

1.1.100 malformed illegal-ibss-ess

1.1.101 malformed invalid-address-combination

1.1.102 malformed invalid-assoc-req

1.1.103 malformed invalid-auth

1.1.104 malformed invalid-deauth-code

1.1.105 malformed invalid-disassoc-code

1.1.106 malformed invalid-ht-ie

1.1.107 malformed invalid-ie-length

1.1.108 malformed invalid-pkt-length

1.1.109 malformed large-duration

1.1.110 malformed null-probe-resp

1.1.111 malformed overflow-eapol-key

1.1.112 malformed overflow-ssid

1.1.113 malformed redundant-ie

1.1.114 man-in-the-middle

1.1.115 manual-classify mac-address

1.1.116 omerta

1.1.117 oui

1.1.118 pattern

1.1.119 permit-channel

1.1.120 prohibited-channel

1.1.121 power-save

1.1.122 reset client-proximity-sensor device

1.1.123 reset client-proximity-sensor statistics

1.1.124 reset wips statistics

1.1.125 reset wips virtual-security-domain

1.1.126 reset wips virtual-security-domain countermeasure record

1.1.127 reset wlan nat-detect

1.1.128 rssi

1.1.129 security

1.1.130 select sensor all

1.1.131 seq-number

1.1.132 signature policy

1.1.133 signature rule

1.1.134 soft-ap

1.1.135 ssid (AP分类规则视图)

1.1.136 ssid (Signature规则视图)

1.1.137 ssid-length

1.1.138 trust mac-address

1.1.139 trust oui

1.1.140 trust ssid

1.1.141 unencrypted-authorized-ap

1.1.142 unencrypted-trust-client

1.1.143 up-duration

1.1.144 virtual-security-domain

1.1.145 weak-iv

1.1.146 windows-bridge

1.1.147 wireless-bridge

1.1.148 wips (System view)

1.1.149 wips (Radio view)

1.1.150 wips virtual-security-domain

1.1.151 wlan nat-detect

 


1 WIPS

1.1  WIPS配置命令

1.1.1  ap-channel-change

ap-channel-change命令用来开启AP信道变化检测功能。

undo ap-channel-change命令用来关闭AP信道变化检测功能。

【命令】

ap-channel-change [ quiet quiet-value ]

undo ap-channel-change

【缺省情况】

AP信道变化检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到AP信道变化,设备也不会发送告警日志。

【举例】

# 开启AP信道变化的检测功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-channel-change quiet 5

1.1.2  ap-classification rule

ap-classification rule命令用来创建AP分类规则,并进入AP分类规则视图。如果指定ID的AP分类规则已经存在,则直接进入AP分类规则视图。

undo ap-classification rule命令用来删除指定的AP分类规则。

【命令】

ap-classification rule rule-id

undo ap-classification rule rule-id

【缺省情况】

不存在AP分类规则。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

rule-id:AP分类规则的ID,取值范围为1~65535。

【举例】

# 创建并进入ID为1的AP分类规则视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

1.1.3  ap-flood

ap-flood命令用来开启AP泛洪攻击检测功能。

undo ap-flood命令用来关闭AP泛洪攻击检测功能。

【命令】

ap-flood [ apnum apnum-value | exceed exceed-value | quiet quiet-value ] *

undo ap-flood

【缺省情况】

AP泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

apnum apnum-value:无线网络中AP设备的基准值,取值范围为10~200,缺省值为80。

exceed exceed-value:允许超过基准值的最大个数,取值范围为10~200,缺省值为80。当检测到AP设备数量超过基准值与允许超过基准值的最大个数之和,即判定设备受到AP 泛洪攻击,设备会发送告警日志。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到AP泛洪攻击,设备也不会发送告警日志。

【举例】

# 开启AP泛洪攻击检测功能,AP设备的基准值为50,允许超过基准值的最大个数为50,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-flood apnum 50 exceed 50 quiet 100

1.1.4  ap-impersonation

ap-impersonation命令用来开启AP扮演者攻击检测功能。

undo ap-impersonation命令用来关闭AP扮演者攻击检测功能。

【命令】

ap-impersonation [ quiet quiet-value ]

undo ap-impersonation

【缺省情况】

AP扮演者攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的AP扮演者攻击达到告警阈值,也不会发送告警日志。

【举例】

# 在名称为home的分类策略中开启AP扮演者攻击检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-impersonation quiet 360

1.1.5  apply ap-classification rule

apply ap-classification rule命令用来在分类策略中应用AP分类规则。

undo apply ap-classification rule命令用来取消应用的AP分类规则。

【命令】

apply ap-classification rule rule-id { authorized-ap | { { external-ap | misconfigured-ap | rogue-ap } [ severity-level level ] } }

undo apply ap-classification rule rule-id

【缺省情况】

分类策略中没有应用AP分类规则。

【视图】

分类视图

【缺省用户角色】

network-admin

【参数】

rule-id:AP分类规则的ID,取值范围为1~65535。

authorized-ap:通过合法认证的AP。

external-ap:外部的AP。

misconfigured-ap:错误配置的AP。

rogue-ap:非法的AP。

level:应用AP分类规则后设置的AP危险级别,取值范围为1~100,缺省值为50。

【举例】

# 将ID为1的AP分类规则应用到名称为home的分类策略内,并将AP分类为非法的AP,危险级别定义为80。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] apply ap-classification rule 1 rogue-ap severity-level 80

【相关命令】

·     ap-classification rule

1.1.6  apply classification policy

apply classification policy命令用来在VSD(Virtual Security Domain,虚拟安全域)上应用分类策略。

undo apply classification policy命令用来取消应用的分类策略。

【命令】

apply classification policy policy-name

undo apply classification policy policy-name

【缺省情况】

没有在VSD上应用分类策略。

【视图】

VSD视图

【缺省用户角色】

network-admin

【参数】

policy-name:分类策略名称,为1~63个字符的字符串,区分大小写。

【举例】

# 在VSD上应用分类策略policy1。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain home

[Sysname-wips-vsd-home] apply classification policy policy1

1.1.7  apply countermeasure policy

apply countermeasure policy命令用来在VSD上应用反制策略。

undo apply countermeasure policy命令用来取消应用的反制策略。

【命令】

apply countermeasure policy policy-name

undo apply countermeasure policy policy-name

【缺省情况】

没有在VSD上应用反制策略。

【视图】

VSD视图

【缺省用户角色】

network-admin

【参数】

policy-name:反制策略名称,为1~63个字符的字符串,区分大小写。

【举例】

# 在VSD上应用反制策略policy2。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain home

[Sysname-wips-vsd-home] apply countermeasure policy policy2

1.1.8  apply detect policy

apply detect policy命令用来在VSD上应用攻击检测策略。

undo apply detect policy命令用来取消应用的攻击检测策略。

【命令】

apply detect policy policy-name

undo apply detect policy policy-name

【缺省情况】

没有在VSD上应用攻击检测策略。

【视图】

VSD视图

【缺省用户角色】

network-admin

【参数】

policy-name:攻击检测策略名称,为1~63个字符的字符串,区分大小写。

【举例】

# 在VSD上应用攻击检测策略policy2。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain home

[Sysname-wips-vsd-home] apply detect policy policy2

1.1.9  apply signature policy

apply signature policy命令用来在VSD内应用Signature策略。

undo apply signature policy命令用来取消应用的Signature策略。

【命令】

apply signature policy policy-name

undo apply signature policy policy-name

【缺省情况】

VSD内没有应用Signature策略。

【视图】

VSD视图

【缺省用户角色】

network-admin

【参数】

policy-name:Signature策略的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 将名为policy1的Signature策略应用到名为home的VSD内。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain home

[Sysname-wips-vsd-home] apply signature policy policy1

1.1.10  apply signature rule

apply signature rule命令用来在Signature策略中应用Signature规则。

undo apply signature rule命令用来取消应用的Signature规则。

【命令】

apply signature rule rule-id

undo apply signature rule rule-id

【缺省情况】

Signature策略中没有应用Signature规则。

【视图】

Signature策略视图

【缺省用户角色】

network-admin

【参数】

rule-id:规则的规则编号值,取值范围为1~65535。

【举例】

# 配置Signature策略office中应用ID为1的Signature规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature policy office

[Sysname-wips-sig-office] apply signature rule 1

1.1.11  ap-rate-limit

ap-rate-limit命令用来配置AP表项学习的速率。

undo ap-rate-limit命令用来恢复缺省情况。

【命令】

ap-rate-limit [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo ap-rate-limit

【缺省情况】

学习AP表项的统计周期为60秒,发送告警信息后的静默时间为1200秒,AP表项的阈值为64。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:学习AP表项的统计周期,取值范围为1~3600,单位为秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为1200~3600,单位为秒。在静默期间,设备停止学习新的AP表项,也不会发送告警信息。

threshold threshold-value:AP表项的阈值,取值范围为1~4096。当设备在一个统计周期内学习AP表项达到触发阈值,设备会发送告警信息。

【举例】

# 配置AP表项学习的速率,学习AP表项的统计周期为60秒,发送告警信息后的静默时间为1600秒,AP表项的阈值为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-rate-limit interval 60 quiet 1600 threshold 100

1.1.12  ap-spoofing

ap-spoofing命令用来开启AP地址仿冒检测功能。

undo ap-spoofing命令用来关闭AP地址仿冒检测功能。

【命令】

ap-spoofing [ quiet quiet-value ]

undo ap-spoofing

【缺省情况】

AP地址仿冒检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备再次检测到AP地址仿冒也不会发送告警信息。

【使用指导】

开启本功能后,如果设备检测到AP地址仿冒,则会发送告警信息。

【举例】

# 开启AP地址仿冒检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-spoofing quiet 360

1.1.13  ap-timer

ap-timer命令用来配置AP表项的时间参数。

undo ap-timer命令用来恢复缺省情况。

【命令】

ap-timer inactive inactive-value aging aging-value

undo ap-timer

【缺省情况】

AP表项的非活跃时间为300秒,老化时间为600秒。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

inactive inactive-value:非活跃时间,取值范围为60~1200,单位为秒。

aging aging-value:老化时间,取值范围为120~86400,单位为秒。

【使用指导】

非活跃时间为从创建AP表项到其状态变为Inactive的时间;老化时间为从创建AP表项到删除AP表项的时间。

配置的老化时间必须大于非活跃时间。

【举例】

# 配置AP表项的时间参数,非活跃时间为120秒,老化时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-timer inactive 120 aging 360

1.1.14  association-table-overflow

association-table-overflow命令用来开启关联/重关联DoS攻击检测功能。

undo association-table-overflow命令用来关闭关联/重关联DoS攻击检测功能。

【命令】

association-table-overflow [ quiet quiet-value ]

undo association-table-overflow

【缺省情况】

关联/重关联DoS攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到关联/重关联DoS攻击,设备也不会发送告警日志。

【举例】

# 配置开启关联/重关联DoS攻击检测功能,静默时间为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] association-table-overflow quiet 100

1.1.15  authentication

authentication命令用来在AP分类规则中对AP使用无线服务的安全认证方式进行匹配。

undo authentication命令用来恢复缺省情况。

【命令】

authentication { equal | include } { 802.1x | none | other | psk }

undo authentication

【缺省情况】

没有在AP分类规则中对AP使用无线服务的安全认证方式进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

equal:匹配项与条件相同。

include:匹配项包含条件。

802.1x:认证方式为802.1X认证。

none:无认证。

other:认证方式为除802.1X和PSK之外的其他认证。

psk:认证方式为PSK认证。

【举例】

# 在ID为1的AP分类策略中对采用PSK认证方式接入无线网络的AP设备进行匹配。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] authentication equal psk

1.1.16  block mac-address

block mac-address命令用来将指定的MAC地址添加到静态禁用设备列表中。

undo block mac-address命令用来删除静态禁用设备列表中的MAC地址。

【命令】

block mac-address mac-address

undo block mac-address { mac-address | all }

【缺省情况】

静态禁用设备列表中不存在MAC地址。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

mac-address:AP或客户端的MAC地址,格式为H-H-H。

all:所有MAC地址。

【举例】

# 将MAC地址78AC-C0AF-944F添加到静态禁用设备列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] block mac-address 78AC-C0AF-944F

1.1.17  classification policy

classification policy命令用来创建分类策略,并进入分类策略视图。如果指定的分类策略已经存在,则直接进入分类策略视图。

undo classification policy命令用来删除分类策略。

【命令】

classification policy policy-name

undo classification policy policy-name

【缺省情况】

不存在分类策略。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

policy-name:分类策略名称,为1~63个字符的字符串,区分大小写。

【举例】

# 创建名称为home的分类策略,并进入分类策略视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home]

1.1.18  client-proximity-sensor

client-proximity-sensor enable命令用来开启探针功能。

undo client-proximity-sensor命令用来恢复缺省情况。

【命令】

client-proximity-sensor enable

undo client-proximity-sensor

【缺省情况】

探针功能处于关闭状态。

【视图】

Radio接口视图下

【缺省用户角色】

network-admin

【举例】

# 开启探针功能。

<Sysname> system-view

[Sysname] interface wlan-radio 1/0/1

[Sysname-wlan-radio-1] client-proximity-sensor enable

1.1.19  client-proximity-sensor ap-timer

client-proximity-sensor ap-timer命令用来配置AP表项的时间参数。

undo client-proximity-sensor ap-timer命令用来恢复缺省情况。

【命令】

client-proximity-sensor ap-timer inactive inactive-value aging aging-value

undo client-proximity-sensor ap-timer

【缺省情况】

AP表项的非活跃时间为300秒,老化时间为600秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

inactive inactive-value:AP表项的非活跃时间,取值范围为60~1200,单位为秒。

aging aging-value:AP表项的老化时间,取值范围为120~86400,单位为秒。

【举例】

# 配置AP表项的时间参数,非活跃时间为120秒,老化时间为360秒。

<Sysname> system-view

[Sysname] client-proximity-sensor ap-timer inactive 120 aging 360

1.1.20  client-proximity-sensor client-timer

client-proximity-sensor client-timer命令用来配置客户端表项的时间参数。

undo client-proximity-sensor client-timer命令用来恢复缺省情况。

【命令】

client-proximity-sensor client-timer inactive inactive-value aging aging-value

undo client-proximity-sensor client-timer

【缺省情况】

客户端表项的非活跃时间为300秒,老化时间为600秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

inactive inactive-value:客户端表项的非活跃时间,取值范围为60~1200,单位为秒。

aging aging-value:客户端表项的老化时间,取值范围为120~86400,单位为秒。

【举例】

# 配置客户端表项的时间参数,非活跃时间为120秒,老化时间为360秒。

<Sysname> system-view

[Sysname] client-proximity-sensor client-timer inactive 120 aging 360

1.1.21  client-proximity-sensor filter-list

client-proximity-sensor filter-list命令用来配置探针AP上报的MAC地址过滤列表。

undo client-proximity-sensor filter-list命令用来删除探针AP上报的MAC地址过滤列表。

【命令】

client-proximity-sensor filter-list list

undo client-proximity-sensor filter-list { list | all }

【缺省情况】

未配置探针AP上报的MAC地址过滤列表。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

list:探针AP上报的MAC地址过滤列表,格式为H-H-H。可以指定MAC地址加入过滤列表,也可以根据MAC地址的特征进行过滤,比如过滤首个字节的3个比特为1的MAC地址,就配置过滤MAC地址为0400-0000-0000。

all:所有MAC地址过滤列表。

【举例】

# 配置探针AP上报的MAC地址过滤列表,过滤首字节的第3比特为1的MAC地址。

<Sysname> system-view

[Sysname] client-proximity-sensor filter-list 0400-0000-0000

1.1.22  client-proximity-sensor random-mac-report enable

client-proximity-sensor random-mac-report enable 命令用来开启探针AP上报苹果终端随机MAC地址功能。

undo client-proximity-sensor random-mac-report enable命令用来恢复缺省情况。

【命令】

client-proximity-sensor random-mac-report enable

undo client-proximity-sensor random-mac-report enable

【缺省情况】

探针AP上报苹果终端随机MAC地址功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

苹果终端的随机MAC地址特征为首字节的第2比特为1。当苹果终端作为无线客户端时,会使用随机MAC地址发送无线探测请求帧,从而造成探针AP检测到实际上并不存在的设备。关闭该功能后,苹果终端的随机MAC地址不会被上报到服务器。

【举例】

# 开启探针AP上报苹果终端随机MAC地址功能。

<Sysname> system-view

[Sysname] client-proximity-sensor random-mac-report enable

1.1.23  client-proximity-sensor report-ap enable

client-proximity-sensor report-ap enable命令用来配置探针AP将AP设备信息上报UDP服务器。

undo client-proximity-sensor report-ap enable 命令用来恢复缺省情况。

【命令】

client-proximity-sensor report-ap enable

undo client-proximity-sensor report-ap enable

【缺省情况】

AP设备信息不上报UDP服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【举例】

# 配置探针AP将AP设备信息上报UDP服务器。

<Sysname> system-view

[Sysname] client-proximity-sensor report-ap enable

1.1.24  client-proximity-sensor rssi-threshold

client-proximity-sensor rssi-threshold命令用来配置探针AP检测无线设备信号强度的阈值。

undo client-proximity-sensor rssi-threshold命令用来取消探针AP检测无线设备信号强度阈值的配置。

【命令】

client-proximity-sensor rssi-threshold { ap ap-rssi-value | client client-rssi-value }

undo client-proximity-sensor rssi-threshold { ap | client }

【缺省情况】

未配置探针AP检测无线设备信号强度的阈值。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ap ap-rssi-value:探针AP检测AP设备信号强度阈值,取值范围为1~100。

client client-rssi-value:探针AP检测客户端信号强度阈值,取值范围为1~100。

【使用指导】

缺省情况下,探针AP会检测任意信号强度的无线设备,配置该功能后,探针AP仅检测信号强度大于或等于阈值的无线设备。

【举例】

# 配置探针AP检测AP设备的信号强度阈值为30。

<Sysname> system-view

[Sysname] client-proximity-sensor rssi-threshold ap 30

1.1.25  client-proximity-sensor rt-report enable

client-proximity-sensor rt-report enable命令用来开启探针AP快速上报UDP服务器功能。

undo client-proximity-sensor rt-report enable命令用来恢复缺省情况。

【命令】

client-proximity-sensor rt-report enable

undo client-proximity-sensor rt-report enable

【缺省情况】

探针AP快速上报UDP服务器功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下,探针AP会在client-proximity-sensor ap-udp-server命令指定的上报周期进行上报,开启该功能后,探针AP在获取到无线设备信息后会立即进行上报。

【举例】

# 开启探针AP快速上报UDP服务器功能。

<Sysname> system-view

[Sysname] client-proximity-sensor rt-report enable

1.1.26  client-proximity-sensor server

client-proximity-sensor server命令用来配置探针AP上报无线设备信息的HTTPS服务器。

undo client-proximity-sensor server命令用来删除探针AP上报无线设备信息的HTTPS服务器。

【命令】

client-proximity-sensor server string [ window-time window-time-value | partner partner-value ] *

undo client-proximity-sensor server

【缺省情况】

未配置探针AP上报无线设备信息的HTTPS服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

string:指定探针AP上报无线设备信息的HTTPS服务器地址,为8~127个字符的字符串,区分大小写。必须以“https://”作为前缀。

window-time window-time-value:统计周期,取值范围为10~60,单位为秒。在配置了HTTPS服务器地址后,缺省统计周期为30秒。

partner partner-value:上传给服务器的报文中partner flag字段的取值,在配置了HTTPS服务器地址后,缺省值为11。

【举例】

# 配置探针AP上报无线设备信息的HTTPS服务器地址为https://10.152.3.209:443/xxx/yy。

[Sysname] client-proximity-sensor server https://10.152.3.209:443/xxx/yy

1.1.27  client-proximity-sensor udp-server

client-proximity-sensor udp-server命令用来配置探针AP上报无线设备信息的UDP服务器。

undo client-proximity-sensor udp-server命令用来删除探针AP上报无线设备信息的UDP服务器。

【命令】

client-proximity-sensor udp-server ip-address port port-number [ interval interval | preshared-key [ cipher | simple ] key-string ] *

undo client-proximity-sensor udp-server

【缺省情况】

未配置探针AP上报无线设备信息的UDP服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip-address:指定探针AP上报无线设备信息的UDP服务器的IPv4地址。

port port-number:指定UDP服务器的端口号,取值范围为1~65534。

interval interval:指定探针AP上报无线设备信息到UDP服务器的周期,取值范围为1~600,单位为秒,缺省值为30。

preshared-key:指定预共享密钥。

cipher:表示以密文方式设置共享密钥。

simple:表示以明文方式设置共享密钥。

key-string:设置的明文密钥或密文密钥,区分大小写。明文密钥字符串为8~63个字符的字符串,密文密钥为41~117个字符的字符串。

【举例】

# 配置探针AP上报无线设备信息的UDP服务器,IP地址为10.152.3.209,UDP服务器的端口号为443。

<Sysname> system-view

[Sysname] client-proximity-sensor udp-server 10.152.3.209 port 443

1.1.28  client-rate-limit

client-rate-limit命令用来配置客户端表项学习的速率。

undo client -rate-limit命令用来恢复缺省情况。

【命令】

client-rate-limit [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo client-rate-limit

【缺省情况】

学习客户端表项的统计周期为60秒,发送告警信息后的静默时间为1200秒,客户端表项的阈值为512。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:学习客户端表项的统计周期,取值范围为1~3600,单位为秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为1200~3600,单位为秒。在静默期间,设备停止学习新的客户端表项,也不会发送告警信息。

threshold threshold-value:客户端表项的阈值,取值范围为1~4096。当设备在一个统计周期内学习客户端表项达到触发阈值,设备会发送告警信息。

【举例】

# 配置客户端表项学习的速率,学习客户端表项的统计周期为80秒,发送告警信息后的静默时间为1600秒,客户端表项的阈值为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] client-rate-limit interval 80 threshold 100 quiet 1600

1.1.29  client-online

client-online命令用来在AP分类规则中对AP上已关联的无线客户端数量进行匹配。

undo client-online命令用来恢复缺省情况。

【命令】

client-online value1 [ to value2 ]

undo client-online

【缺省情况】

没有在AP分类规则中对AP上已关联的无线客户端数量进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

value1:指定与AP关联的无线客户端数量。value1的取值范围为0~128。

to value2:与value1共同作用,指定与AP关联的无线客户端数量范围,value2的取值范围为0~128且必须大于或等于value1

【举例】

# 在ID为1的AP分类规则中匹配关联的无线客户端的数量在20~40之间的AP。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] client-online 20 to 40

1.1.30  client-spoofing

client-spoofing命令用来开启客户端地址仿冒检测功能。

undo client-spoofing命令用来关闭客户端地址仿冒检测功能。

【命令】

client-spoofing [ quiet quiet-value ]

undo client-spoofing

【缺省情况】

客户端地址仿冒检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备再次检测到客户端地址仿冒也不会发送告警信息。

【使用指导】

设备检测到客户端地址仿冒后会发送告警信息。

【举例】

# 开启客户端地址仿冒检测功能,配置发送告警信息后的静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] client-spoofing quiet 360

1.1.31  client-timer

client-timer命令用来配置客户端表项的时间参数。

undo client-timer命令用来恢复缺省情况。

【命令】

client-timer inactive inactive-value aging aging-value

undo client-timer

【缺省情况】

客户端表项的非活跃时间为300秒,老化时间为600秒。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

inactive inactive-value:从创建客户端表项到非活跃状态的时间,即非活跃时间,取值范围为60~1200,单位为秒。

aging aging-value:从创建客户端表项到删除客户端表项的时间,即老化时间,取值范围为120~86400,单位为秒。

【使用指导】

配置的老化时间必须大于非活跃时间。

【举例】

# 配置客户端表项的时间参数,非活跃时间为120秒,老化时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] client-timer inactive 120 aging 360

1.1.32  countermeasure adhoc

countermeasure adhoc命令用来配置对ad hoc设备进行反制。

undo countermeasure adhoc命令用来恢复缺省情况。

【命令】

countermeasure adhoc

undo countermeasure adhoc

【缺省情况】

未配置对ad hoc设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对ad hoc设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure adhoc

1.1.33  countermeasure attack all

countermeasure attack all命令用来配置对所有发起攻击的设备进行反制。

undo countermeasure attack all命令用来恢复缺省情况。

【命令】

countermeasure attack all

undo countermeasure attack all

【缺省情况】

未配置对所有发起攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对所有发起攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack all

1.1.34  countermeasure attack deauth-broadcast

countermeasure attack deauth-broadcast命令用来配置对发起广播解除认证帧攻击的设备进行反制。

undo countermeasure deauth-broadcast命令用来恢复缺省情况。

【命令】

countermeasure attack deauth-broadcast

undo countermeasure attack deauth-broadcast

【缺省情况】

未配置对发起广播解除认证帧攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起广播解除认证帧攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack deauth-broadcast

1.1.35  countermeasure attack disassoc-broadcast

countermeasure attack disassoc-broadcast命令用来配置对发起广播解除关联帧攻击的设备进行反制。

undo countermeasure attack disassoc-broadcast命令用来恢复缺省情况。

【命令】

countermeasure attack disassoc-broadcast

undo countermeasure attack disassoc-broadcast

【缺省情况】

未配置对发起广播解除关联帧攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起广播解除关联帧攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack disassoc-broadcast

1.1.36  countermeasure attack honeypot-ap

countermeasure attack honeypot-ap命令用来配置对发起蜜罐AP攻击的设备进行反制。

undo countermeasure attack honeypot-ap命令用来恢复缺省情况。

【命令】

countermeasure attack honeypot-ap

undo countermeasure attack honeypot-ap

【缺省情况】

未配置对发起蜜罐AP攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起蜜罐AP攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack honeypot-ap

1.1.37  countermeasure attack hotspot-attack

countermeasure attack hotspot-attack命令用来配置对发起热点攻击的设备进行反制。

undo countermeasure attack hotspot-attack命令用来恢复缺省情况。

【命令】

countermeasure attack hotspot-attack

undo countermeasure attack hotspot-attack

【缺省情况】

未配置对发起热点攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起热点攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack hotspot-attack

1.1.38  countermeasure attack ht-40-mhz-intolerance

countermeasure attack ht-40-mhz-intolerance命令用来配置对禁用802.11n 40MHz模式的设备进行反制。

undo countermeasure attack ht-40-mhz-intolerance命令用来恢复缺省情况。

【命令】

countermeasure attack ht-40-mhz-intolerance

undo countermeasure attack ht-40-mhz-intolerance

【缺省情况】

未配置对禁用802.11n 40MHz模式的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对禁用802.11n 40MHz模式的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack ht-40-mhz-intolerance

1.1.39  countermeasure attack malformed-packet

countermeasure attack malformed-packet命令用来配置对发起畸形报文攻击的设备进行反制。

undo countermeasure attack malformed-packet命令用来恢复缺省情况。

【命令】

countermeasure attack malformed-packet

undo countermeasure attack malformed-packet

【缺省情况】

未配置对发起畸形报文攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起畸形报文攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack malformed-packet

1.1.40  countermeasure attack man-in-the-middle

countermeasure attack man-in-the-middle命令用来配置对发起中间人攻击的设备进行反制。

undo countermeasure attack man-in-the-middle命令用来恢复缺省情况。

【命令】

countermeasure attack man-in-the-middle

undo countermeasure attack man-in-the-middle

【缺省情况】

未配置对发起中间人攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起中间人攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack man-in-the-middle

1.1.41  countermeasure attack omerta

countermeasure attack omerta命令用来配置对发起Omerta攻击的设备进行反制。

undo countermeasure attack omerta命令用来恢复缺省情况。

【命令】

countermeasure attack omerta

undo countermeasure attack omerta

【缺省情况】

未配置对发起Omerta攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起Omerta攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack omerta

1.1.42  countermeasure attack power-save

countermeasure attack power-save命令用来配置对发起节电攻击的设备进行反制。

undo countermeasure attack power-save命令用来恢复缺省情况。

【命令】

countermeasure attack power-save

undo countermeasure attack power-save

【缺省情况】

未配置对发起节电攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起节电攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack power-save

1.1.43  countermeasure attack soft-ap

countermeasure attack soft-ap命令用来配置对发起软AP攻击的设备进行反制。

undo countermeasure attack soft-ap命令用来恢复缺省情况。

【命令】

countermeasure attack soft-ap

undo countermeasure attack soft-ap

【缺省情况】

未配置对发起软AP攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起软AP攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack soft-ap

1.1.44  countermeasure attack unencrypted-trust-client

countermeasure attack unencrypted-trust-client命令用来配置对未加密的信任客户端进行反制。

undo countermeasure attack unencrypted-trust-client命令用来恢复缺省情况。

【命令】

countermeasure attack unencrypted-trust-client

undo countermeasure attack unencrypted-trust-client

【缺省情况】

未配置对未加密的信任客户端进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对未加密的信任客户端进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack unencrypted-trust-client

1.1.45  countermeasure attack weak-iv

countermeasure attack weak-iv命令用来配置对的Weak IV设备进行反制。

undo countermeasure  weak-iv命令用来恢复缺省情况。

【命令】

countermeasure attack weak-iv

undo countermeasure attack weak-iv

【缺省情况】

未配置对的Weak IV设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对的Weak IV设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack weak-iv

1.1.46  countermeasure attack windows-bridge

countermeasure attack windows-bridge命令用来配置对Windows网桥设备进行反制。

undo countermeasure attack windows-bridge命令用来恢复缺省情况。

【命令】

countermeasure attack windows-bridge

undo countermeasure attack windows-bridge

【缺省情况】

未配置对Windows网桥设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对Windows网桥设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack windows-bridge

1.1.47  countermeasure external-ap

countermeasure external-ap命令用来配置对外部AP进行反制。

undo countermeasure external-ap命令用来恢复缺省情况。

【命令】

countermeasure external-ap

undo countermeasure external-ap

【缺省情况】

未配置对外部AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对外部AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure external-ap

1.1.48  countermeasure mac-address

countermeasure mac-address命令用来配置根据指定的MAC地址对设备进行手工反制。

undo countermeasure mac-address命令用来取消根据指定的MAC地址对设备进行手工反制。

【命令】

countermeasure mac-address mac-address

undo countermeasure mac-address { mac-address | all }

【缺省情况】

未配置根据指定的MAC地址对设备进行手工反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【参数】

mac-address:AP或客户端的MAC地址,格式为H-H-H。

all:表示所有AP或客户端的MAC地址。

【使用指导】

可以通过配置多条该命令对多个设备进行手工反制。

【举例】

# 配置对MAC地址为2a11-1fa1-141f的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure mac-address 2a11-1fa1-141f

1.1.49  countermeasure misassociation-client

countermeasure misassociation-client命令用来配置对关联错误的客户端进行反制。

undo countermeasure misassociation-client命令用来恢复缺省情况。

【命令】

countermeasure misassociation-client

undo countermeasure misassociation-client

【缺省情况】

未配置对关联错误的客户端进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对关联错误的客户端进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure misassociation-client

1.1.50  countermeasure misconfigured-ap

countermeasure misconfigured-ap命令用来配置对配置错误的AP进行反制。

undo countermeasure misconfigured-ap命令用来恢复缺省情况。

【命令】

countermeasure misconfigured-ap

undo countermeasure misconfigured-ap

【缺省情况】

未配置对配置错误的AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对配置错误的AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure misconfigured-ap

1.1.51  countermeasure policy

countermeasure policy命令用来创建反制策略,并进入反制策略视图。如果指定的反制策略已经存在,则直接进入反制策略视图。

undo countermeasure policy命令用来删除反制策略。

【命令】

countermeasure policy policy-name

undo countermeasure policy policy-name

【缺省情况】

不存在反制策略。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

policy-name:反制策略的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 创建名称为home的反制策略,并进入反制策略视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home]

1.1.52  countermeasure potential-authorized-ap

countermeasure potential-authorized-ap命令用来配置对潜在授权AP进行反制。

undo countermeasure potential-authorized-ap命令用来恢复缺省情况。

【命令】

countermeasure potential-authorized-ap

undo countermeasure potential-authorized-ap

【缺省情况】

未配置对潜在授权AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对潜在授权AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure potential-authorized-ap

1.1.53  countermeasure potential-external-ap

countermeasure potential-external-ap命令用来配置对潜在外部AP进行反制。

undo countermeasure potential-external-ap命令用来恢复缺省情况。

【命令】

countermeasure potential-external-ap

undo countermeasure potential-external-ap

【缺省情况】

未配置对潜在外部AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对潜在外部AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure potential-external-ap

1.1.54  countermeasure potential-rogue-ap

countermeasure potential-rogue-ap命令用来配置对潜在Rogue AP进行反制。

undo countermeasure potential-rogue-ap命令用来恢复缺省情况。

【命令】

countermeasure potential-rogue-ap

undo countermeasure potential-rogue-ap

【缺省情况】

未配置对潜在Rogue AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对潜在Rogue AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure potential-rogue-ap

1.1.55  countermeasure rogue-ap

countermeasure rogue-ap命令用来配置对Rogue AP进行反制。

undo countermeasure rogue-ap命令用来恢复缺省情况。

【命令】

countermeasure rogue-ap

undo countermeasure rogue-ap

【缺省情况】

未配置对Rogue AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对Rogue AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure rogue-ap

1.1.56  countermeasure unauthorized-client

countermeasure unauthorized-client命令用来配置对未授权的客户端进行反制。

undo countermeasure unauthorized-client命令用来恢复缺省情况。

【命令】

countermeasure unauthorized-client

undo countermeasure unauthorized-client

【缺省情况】

未配置对未授权的客户端进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对未授权的客户端进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure unauthorized-client

1.1.57  countermeasure uncategorized-ap

countermeasure uncategorized-ap命令用来配置对未确定分类的AP进行反制。

undo countermeasure uncategorized-ap命令用来恢复缺省情况。

【命令】

countermeasure uncategorized-ap

undo countermeasure uncategorized-ap

【缺省情况】

未配置对未确定分类的AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对未确定分类的AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure uncategorized-ap

1.1.58  countermeasure uncategorized-client

countermeasure uncategorized-client命令用来配置对未确定分类的客户端进行反制。

undo countermeasure uncategorized-client命令用来恢复缺省情况。

【命令】

countermeasure uncategorized-client

undo countermeasure uncategorized-client

【缺省情况】

未配置对未确定分类的客户端进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对未确定分类的客户端进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure uncategorized-client

1.1.59  deauthentication-broadcast

deauthentication-broadcast命令用来开启广播解除认证帧检测功能。

undo deauthentication-broadcast命令用来关闭广播解除认证帧检测功能。

【命令】

deauthentication-broadcast [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo deauthentication-broadcast

【缺省情况】

广播解除认证帧检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测广播解除认证帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的广播解除认证帧的数量达到触发告警阈值,设备也不会发送告警日志。

threshold threshold-value:检测广播解除认证帧达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的广播解除认证帧的数量达到触发告警阈值,即判定设备检测到广播解除认证帧,设备会发送告警日志。

【举例】

# 配置检测广播解除认证帧功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] deauthentication-broadcast interval 100 threshold 100 quiet 360

1.1.60  detect policy

detect policy命令用来创建攻击检测策略,并进入攻击检测策略视图,如果指定的攻击检测策略已经存在,则直接进入攻击检测策略视图。

undo detect policy命令用来删除攻击检测策略。

【命令】

detect policy policy-name

undo detect policy policy-name

【缺省情况】

不存在攻击检测策略。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

policy-name:攻击检测策略的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 创建名称为home的攻击检测策略,并进入攻击检测策略视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home]

1.1.61  detect signature

detect signature命令用来开启对符合Signature规则的报文检测功能。

undo detect signature命令用来关闭对符合Signature规则的报文检测功能。

【命令】

detect signature [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo detect

【缺省情况】

对符合Signature规则的报文检测功能处于开启状态。

【视图】

Signature策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:对符合Signature规则的报文检测的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600。

threshold threshold-value:对符合Signature规则的报文检测达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备检测到符合Signature规则的报文的数量达到触发告警阈值,设备会发送告警日志。

【举例】

# 开启对符合Signature规则的报文检测功能,统计周期为60秒,统计次数的阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature policy home

[Sysname-wips-sig-home] detect signature interval 60 threshold 100 quiet 360

1.1.62  disassociation-broadcast

disassociation-broadcast命令用来开启广播解除关联帧检测功能。

undo disassociation-broadcast命令用来关闭广播解除关联帧检测功能。

【命令】

disassociation-broadcast [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo disassociation-broadcast

【缺省情况】

广播解除关联帧检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测广播解除关联帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的广播解除关联帧的数量达到触发告警阈值,设备也不会发送告警日志。

threshold threshold-value:检测广播解除关联帧达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的广播解除关联帧的数量达到触发告警阈值,即判定设备检测到广播解除关联帧,设备会发送告警日志。

【举例】

# 配置检测广播解除关联帧功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] disassociation-broadcast interval 100 threshold 100 quiet 360

1.1.63  discovered-ap

discovered-ap命令用来在AP分类规则中对发现AP的Sensor数量进行匹配。

undo discovered-ap命令用来恢复缺省情况。

【命令】

discovered-ap value1 [ to value2 ]

undo discovered-ap

【缺省情况】

没有在AP分类规则中对发现AP的Sensor数量进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

value1:指定匹配发现AP数量。value1的取值范围为1~128。

to value2:与value1共同作用,指定匹配发现AP数量范围,value2的取值范围为1~128且必须大于或等于value1

【举例】

# 在ID为1的AP分类策略中配置对发现AP的Sensor数量大于10的AP进行匹配。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] discovered-ap 10 to 128

1.1.64  display client-proximity-sensor device

display client-proximity-sensor device命令用来显示探针AP检测到的无线设备的信息。

【命令】

display client-proximity-sensor device [ ap | client | mac-address mac-address ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ap:显示探针AP检测到的AP设备。

client:显示探针AP检测到的客户端设备。

mac-address mac-address:显示指定MAC地址的无线设备,格式为H-H-H。

verbose:显示详细信息,若不指定该参数,则显示探针AP检测到的所有无线设备的简要信息。

【举例】

# 显示探针AP检测到的所有无线设备的简要信息。

<Sysname> display client-proximity-sensor device

Total 3 detected devices

 

MAC address    Type      Duration    Sensors Channel Status

0AFB-423B-893C AP        00h 10m 46s 1       11      Active

0AFB-423B-893D AP        00h 10m 46s 1       6       Active

0AFB-423B-893E AP        00h 10m 46s 1       1       Active

表1-1 display client-proximity-sensor device命令显示信息描述表

字段

描述

MAC address

检测到的无线设备的MAC地址

Type

无线设备的类型:

·     AP:AP设备

·     Client:无线客户端

Duration

无线设备当前状态的持续时间

Sensors

检测到该无线设备的Sensor的数量

Channel

最后一次检测到该无线设备的信道

Status

无线设备的工作状态:

·     Active:无线设备处于活跃状态

·     Inactive:无线设备处于非活跃状态

 

# 显示探针AP检测到的所有无线设备的详细信息。

<Sysname> display client-proximity-sensor device verbose

Total 2 detected devices

 

 AP: 0AFB-423B-893C

   Status: Active

   Status duration: 00h 27m 57s

   Vendor: Not found

   SSID: service

   Radio type: 802.11g

   Security: None

   Encryption method: None

   Authentication method: None

   Broadcast SSID: Yes

   QoS supported: No

   Beacon interval: 0 milliseconds

   Up duration: 00h 27m 57s

Channel bandwidth supported: 20MHZ

   Total number of reported APs: 1

     AP 1:

       AP ID: 3

       AP name: 1

       Radio ID: 1

       RSSI: 15

       Channel: 6

       First reported time: 2016-04-03/09:05:51

       Last reported time: 2016-04-03/09:05:51

   Total number of associated clients: 1

     01: 80EA-9656-AAAB

Client: 80EA-9656-AAAB

  Last detected associated AP: 0AFB-423B-893C

  Last associated AP (not detected): None

  Status: Active

  Status duration: 00h 00m 02s

  Vendor: Not found

  Radio type: 802.11a

  Total number of reported APs: 1

     AP 1:

       AP ID: 2

       AP name: 1

       Radio ID: 1

       RSSI: 50

       Channel: 116

       First reported time: 2016-04-03/14:52:56

       Last reported time: 2016-04-03/14:52:56

       Reported associated AP: 0AFB-423B-893C

Client: 90EA-9656-ACAB

  Last detected associated AP: None

  Last associated AP (not detected): 0AFB-423B-893C

  Status: Active

  Status duration: 00h 00m 02s

  Vendor: Not found

  Radio type: 802.11a

  Total number of reported APs: 1

     AP 1:

       AP ID: 2

       AP name: 1

       Radio ID: 1

       RSSI: 50

       Channel: 116

       First reported time: 2016-04-03/14:52:56

       Last reported time: 2016-04-03/14:52:56

       Reported associated AP: None

表1-2 display client-proximity-sensor device verbose命令显示信息描述表

字段

描述

Total number detected devices

检测到无线设备的总数

AP

检测到AP的MAC地址

Client

检测到Client的MAC地址

Last detected associated AP

客户端最近一次上报关联AP的MAC地址,此MAC地址为实际检测到的AP的BSSID

Last associated AP (not detected)

客户端最近一次通信AP的MAC地址,此MAC地址为客户端和关联AP进行数据通信时报文里携带的MAC地址,且关联AP未检测到。

Status

AP或客户端表项的状态:

·     Active:AP或客户端表项处于活跃状态

·     Inactive:AP或客户端表项处于非活跃状态

Status duration

无线设备当前状态的持续时间

Vendor

无线设备厂商信息。如果该无线设备的OUI能够匹配import oui命令导入配置文件中的OUI,则显示设备厂商,没有配置或者没有匹配到显示为Not found

SSID

AP提供的SSID

Radio Type

无线设备使用的射频模式

Security

无线服务使用的安全模式:

·     WEP:WEP模式

·     WPA:WPA模式

·     WPA2:WPA2模式

·     None:明文方式

Encryption method

无线数据的加密方式:

·     TKIP:使用TKIP加密套件

·     CCMP:使用AES-CCMP加密套件

·     WEP:使用WEP加密套件

·     None:明文方式,不加密

Authentication method

AP提供的接入无线网络的认证方式:

·     PSK:使用PSK认证方式

·     802.1X:使用802.1X认证方式

·     Others:使用除PSK和802.1X之外的认证方式

·     None:不认证

Broadcast SSID

AP是否是广播SSID,如果AP不广播SSID,则SSID字段取值为空

QoS supported

是否支持QoS

Beacon interval

信标间隔,单位为毫秒

Up duration

AP设备从启动到当前的持续时间

Channel bandwidth supported

AP支持的信道带宽:

·     20/40MHZ:AP支持20MHz和40MHz的信道带宽

·     20MHZ:AP支持20MHz的信道带宽

Total number of reported APs

上报该无线客户端的AP总数

AP n

发现该设备的Sensor,n为系统自动的编号

AP ID

Sensor的ID,即Sensor的AP ID

AP name

检测到该无线设备的Sensor的名字

Radio ID

发现该设备的Sensor上的Radio ID

RSSI

Sensor的信号强度

Channel

该Sensor最近一次探测到该AP或无线客户端设备的信道

First reported time

该Sensor第一次检测到该AP或无线客户端的时间

Last reported time

该Sensor最近一次检测到该AP或无线客户端的时间

Total number of associated clients

关联该设备的无线客户端的数量

n:H-H-H

AP上关联的无线客户端的MAC地址,n为系统自动的编号

Reported associated AP

该Sensor上报关联AP的MAC地址

 

1.1.65  display client-proximity-sensor sensor

display client-proximity-sensor sensor命令用来显示所有探针AP的信息。

【命令】

display client-proximity-sensor sensor

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示所有探针AP的信息。

<Sysname> display client-proximity-sensor sensor

Total number of sensors: 1

Sensor ID    Sensor name                Radio ID

3            fatap                      1        

表1-3 display client-proximity-sensor sensor命令显示信息描述表

字段

描述

Total number of sensors

探针AP的总数

Sensor ID

探针AP的ID

Sensor name

探针AP的设备名称

Radio ID

开启探针功能的射频

 

1.1.66  display wips sensor

display wips sensor命令用来显示所有Sensor的信息。

【命令】

display wips sensor

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示所有Sensor的信息。

<Sysname> display wips sensor

Total number of sensors: 1

Sensor ID    Sensor name                VSD name               Radio ID   Status

3            fatap                      aaa                    1          Active

表1-4 display wips sensor命令显示信息描述表

字段

描述

Sensor ID

Sensor设备的ID

Sensor name

Sensor设备的名称

VSD name

AP所在的虚拟安全域

Radio ID

开启WIPS的Radio ID

Status

Sensor的状态:

·     Active:已运行WIPS功能的Sensor

·     Inactive:未运行WIPS功能的Sensor

 

1.1.67  display client-proximity-sensor statistics

display client-proximity-sensor statistics命令用来显示探针AP的统计信息,包括收到AC下发的配置和探针AP上报给UDP服务器的设备数量。

【命令】

display client-proximity-sensor statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示探针AP的统计信息。

<Sysname> display client-proximity-sensor statistics

Configuration statistics:

 Client-proximity-sensor is enabled on radio 1

 Client-proximity-sensor is enabled on radio 2

 Client-proximity-sensor report-ac-disable is enabled

 Client-proximity-sensor coordinates:

  Longitude: 123-2-2.e

Latitude: 90-0-0.s

 Client-proximity-sensor udp server:

  Address: 123.1.1.100

  Port number: 1234

  Report interval: 5

  Cipher string:

Running statistics:

Client-proximity-sensor report udp-server number: 100

表1-5 display client-proximity-sensor statistics命令显示信息描述表

字段

描述

Configuration statistic

配置详细信息

Client-proximity-sensor is enabled on radio n

探针功能在Radio上使能,n表示Radio ID

Client-proximity-sensor report-ac-disable is enabled

AP上开启设备信息不上报AC

Client-proximity-sensor coordinates

探针经纬度信息

Longitude

经度坐标

Latitude

纬度坐标

Client-proximity-sensor udp server

探针上报UDP服务器信息

Address

UDP服务器的IPv4地址

Port number

UDP服务器的端口号

Report interval

上报UDP服务器的间隔

Cipher string

上报UDP服务器的密文信息,空表示没有配置

Running statistic

探针运行统计信息

Client-proximity-sensor report udp-server number

探针上报UDP服务器的设备数量

 

1.1.68  display client-proximity-sensor statistics receive

display client-proximity-sensor statistics receive命令用来显示探针AP的检测统计信息。

【命令】

display client-proximity-sensor statistics receive

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示探针AP的检测统计信息。

<Sysname> display client-proximity-sensor statistics receive

Information from sensor 1

 Statistics information for received messages:

   Detected AP updated messages: 7

   Detected client updated messages: 5

   Detected AP deleted messages: 3

   Detected client deleted messages: 0

   Detected all device deleted messages: 0

表1-6 display client-proximity-sensor statistics receive命令显示信息描述表

字段

描述

Information from sensor n

Sensor n发送的消息,n表示Sensor ID

Statistics information for received messages

检测信息的统计信息

Detected AP updated messages

AP设备更新事件的计数

Detected client updated messages

客户端更新事件的计数

Detected AP deleted messages

AP设备删除事件的计数

Detected client deleted messages

客户端删除事件的计数

Detected all device deleted messages

所有设备删除事件的计数

 

【相关命令】

·     reset client-proximity-sensor statistics

1.1.69  display wips statistics

display wips statistics命令用来显示AC收到Sensor上报的攻击检测统计信息。

【命令】

display wips statistics [ receive | virtual-security-domain vsd-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

receive:所有虚拟安全域中AC收到Sensor上报的攻击检测统计信息。

virtual-security-domain vsd-name:指定虚拟安全域中AC检测的攻击检测统计。

【举例】

# 显示所有的虚拟安全域中AC收到Sensor上报的攻击检测统计信息。

<Sysname> display wips statistics receive

Information from sensor 1

 Information about attack statistics:

   Detected association-request flood messages: 0

   Detected authentication flood messages: 0

   Detected beacon flood messages: 0

   Detected block-ack flood messages: 0

   Detected cts flood messages: 0

   Detected deauthentication flood messages: 0

   Detected disassociation flood messages: 0

   Detected eapol-start flood messages: 0

   Detected null-data flood messages: 0

   Detected probe-request flood messages: 0

   Detected reassociation-request flood messages: 0

   Detected rts flood messages: 0

   Detected eapol-logoff flood messages: 0

   Detected eap-failure flood messages: 0

   Detected eap-success flood messages: 0

   Detected duplicated-ie messages: 0

   Detected fata-jack messages: 0

   Detected illegal-ibss-ess messages: 0

   Detected invalid-address-combination messages: 0

   Detected invalid-assoc-req messages: 0

   Detected invalid-auth messages: 0

   Detected invalid-deauth-code messages: 0

   Detected invalid-disassoc-code messages: 0

   Detected invalid-ht-ie messages: 0

   Detected invalid-ie-length messages: 0

   Detected invalid-pkt-length messages: 0

   Detected large-duration messages: 0

   Detected null-probe-resp messages: 0

   Detected overflow-eapol-key messages: 0

   Detected overflow-ssid messages: 0

   Detected redundant-ie messages: 0

   Detected AP spoof AP messages: 0

   Detected AP spoof client messages: 0

   Detected AP spoof ad-hoc messages: 0

   Detected ad-hoc spoof AP messages: 0

   Detected client spoof AP messages: 0

   Detected weak IV messages: 0

   Detected excess AP messages: 0

   Detected excess client messages: 0

   Detected signature rule messages: 0

   Detected 40MHZ messages: 0

   Detected power save messages: 0

   Detected omerta messages: 0

   Detected windows bridge messages: 0

   Detected soft AP messages: 0

   Detected broadcast disassociation messages: 0

   Detected broadcast deauthentication messages: 0

   Detected AP impersonate messages: 0

   Detected illegal channel 9 messages: 1

表1-7 display wips statistics命令显示信息描述表

字段

描述

Information from sensor n

Sensor n发送的消息,n表示sensor ID

Information about attack statistics

关于攻击信息统计

Detected association-request flood messages

检测到关联请求帧的泛洪攻击消息的上报计数

Detected authentication flood messages

检测到鉴权帧的泛洪攻击消息的上报计数

Detected beacon flood messages

检测到Beacon帧的泛洪攻击消息的上报计数

Detected block-ack flood messages

检测到批量确认帧的泛洪攻击消息的上报计数

Detected cts flood messages

检测到允许发送帧的泛洪攻击消息的上报计数

Detected deauthentication flood messages

检测到解除鉴权帧的泛洪攻击消息的上报计数

Detected disassociation flood messages

检测到解除关联帧的泛洪攻击消息的上报计数

Detected eapol-start flood messages

检测到握手开始帧的泛洪攻击消息的上报计数

Detected null-data flood messages

检测到空数据帧的泛洪攻击消息的上报计数

Detected probe-request flood messages

检测到探查请求帧的泛洪攻击消息的上报计数

Detected reassociation-request flood messages

检测到重关联请求帧的泛洪攻击消息的上报计数

Detected rts flood messages

检测到请求发送帧的泛洪攻击消息的上报计数

Detected eapol-logoff flood messages

检测到下线请求帧的泛洪攻击消息的上报计数

Detected eap-failure flood messages

检测到失败类型认证帧的泛洪攻击消息的上报计数

Detected eap-success flood messages

检测到成功类型认证帧的泛洪攻击消息的上报计数

Detected duplicated-ie messages

检测到重复的IE畸形消息的上报计数

Detected fata-jack messages

检测到认证算法错畸形消息的上报计数

Detected illegal-ibss-ess messages

检测到无效IBSS-ESS畸形消息的上报计数

Detected invalid-address-combination messages

检测到无效联合地址畸形消息的上报计数

Detected invalid-assoc-req messages

检测到无效关联请求畸形消息的上报计数

Detected invalid-auth messages

检测到无效鉴权畸形消息的上报计数

Detected invalid-deauth-code messages

检测到无效解除鉴权码畸形消息的上报计数

Detected invalid-disassoc-code messages

检测到无效解除关联码畸形消息的上报计数

Detected invalid-ht-ie messages

检测到无效HT IE畸形消息的上报计数

Detected invalid-ie-length messages

检测到无效IE长度畸形消息的上报计数

Detected invalid-pkt-length messages

检测到无效报文长度畸形消息的上报计数

Detected large-duration messages

检测到超大持续时间畸形消息的上报计数

Detected null-probe-resp messages

检测到空探查响应畸形消息的上报计数

Detected overflow-eapol-key messages

检测到Eapol-key溢出畸形消息的上报计数

Detected overflow-ssid messages

检测到SSID溢出畸形消息的上报计数

Detected redundant-ie messages

检测到冗余的IE畸形消息的上报计数

Detected AP spoof AP messages

检测到AP仿冒AP消息的上报计数

Detected AP spoof client messages

检测到AP仿冒Client消息的上报计数

Detected AP spoof ad-hoc messages

检测到AP仿冒Ad-hoc消息的上报计数

Detected ad-hoc spoof AP messages

检测到Ad-hoc 仿冒AP消息的上报计数

Detected client spoof AP messages

检测到Client仿冒AP消息的上报计数

Detected weak IV messages

检测到弱向量消息的上报计数

Detected excess AP messages

检测到AP设备表项超过规格消息的上报计数

Detected excess client messages

检测到客户端设备表项超过规格消息的上报计数

Detected 40MHZ messages

检测到客户端禁用40MHz模式消息的上报计数

Detected power save messages

检测到节电攻击消息的上报计数

Detected omerta messages

检测到Omerta攻击消息的上报计数

Detected windows bridge messages

检测到Windows网桥消息的上报计数

Detected soft AP messages

检测到软AP消息的上报计数

Detected broadcast disassociation messages

检测到广播解除关联帧消息的上报计数

Detected broadcast deauthentication messages

检测到广播解除认证帧消息的上报计数

Detected AP impersonate messages

检测到AP扮演消息的上报计数

Detected illegal channel n messages:

检测到非法信道流量的计数,n表示信道号

 

【相关命令】

·     reset wips statistics

1.1.70  display wips virtual-security-domain countermeasure record

display wips virtual-security-domain countermeasure record命令用来显示指定VSD内被反制过设备的信息。

【命令】

display wips virtual-security-domain vsd-name countermeasure record

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 显示VSD office内被反制过设备的信息。

<Sysname> display wips virtual-security-domain office countermeasure record

Total 1 times countermeasure, current 3 countermeasure record in virtual-

security-domain office

 

Reason: Attack; Ass - associated; Black - blacklist;

        Class - classification; Manu - manual;

 

MAC address    Type   Reason   Countermeasure AP     Radio ID   Time

1000-0000-00e3 AP     Manu     ap1                   1          2016-05-03/09:32:01

表1-8 display wips virtual-security-domain countermeasure record命令显示信息描述表

字段

描述

Total 3 times countermeasure, current 1 countermeasure record in virtual-

security-domain office

累计成功通知反制次数;当前成功通知反制次数,最多可以显示1024条反制记录

MAC Address

检测到的无线设备的MAC地址

Type

无线设备的类型:

·     AP

·     Client

Reason

无线设备的反制原因:

·     Attack:对发起攻击的设备进行的反制

·     Ass:由于关联的AP被反制,导致该AP下关联的客户端也被反制

·     Black:当被反制的客户端关联到AC下的AP时,该客户端会被加入到黑名单中

·     Class:根据设备分类类型进行的反制

·     Manu:根据指定的MAC地址对设备进行手工反制

Countermeasure AP

发起反制设备的Sensor名称

Radio ID

发起反制设备的Sensor的Radio ID

Time

通知反制的时间

 

【相关命令】

·     reset wips virtual-security-domain countermeasure record

1.1.71  display wips virtual-security-domain device

display wips virtual-security-domain device命令用来显示指定VSD内检测到的无线设备的信息。

【命令】

display wips virtual-security-domain vsd-name device [ ap [ ad-hoc | authorized | external | mesh | misconfigured | potential-authorized | potential-external | potential-rogue | rogue | uncategorized ] | client [ [ dissociative-client ] | [ authorized | misassociation | unauthorized | uncategorized ] ] | mac-address mac-address ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

device:显示所有设备的信息。

ap:显示检测到AP的信息。

ad-hoc:显示运行在Ad hoc模式的AP的信息。

authorized:显示授权AP的信息。

external:显示外部AP的信息。

Mesh:显示Mesh链接的信息。

 

misconfigured:显示配置错误的AP的信息。

potential-authorized:显示潜在授权AP的信息。

potential-rogue:显示潜在Rogue AP的信息。

potential-external:显示潜在外部AP的信息。

rogue:显示Rogue AP的信息。

uncategorized:显示无法确定类别的AP的信息。

client:显示客户端的信息。

dissociative-client:显示游离客户端信息。

authorized:显示授权客户端的信息。

misassociation:显示误关联客户端的信息。

unauthorized:显示未授权客户端的信息。

uncategorized:显示无法确定类别的客户端的信息。

mac-address mac-address:显示指定MAC地址的无线设备的信息,mac-address格式为H-H-H。

verbose:显示检测到设备的详细信息。

【举例】

# 显示在虚拟安全域office内检测到的所有无线设备信息。

<Sysname> display wips virtual-security-domain office device

Total 3 detected devices in virtual-security-domain office

 

Class: Auth - authorization; Ext - external; Mis - mistake;

       Unauth - unauthorized; Uncate - uncategorized;

       (A) - associate; (C) - config; (P) - potential

 

MAC address    Type   Class    Duration    Sensors Channel Status

1000-0000-0000 AP     Ext(P)   00h 10m 46s 1       11      Active

1000-0000-0001 AP     Ext(P)   00h 10m 46s 1       6       Active

1000-0000-0002 AP     Ext(P)   00h 10m 46s 1       1       Active

表1-9 display wips virtual-security-domain device命令显示信息描述表

字段

描述

MAC Address

检测到的无线设备的MAC地址

Type

无线设备的类型:

·     AP:AP设备

·     Client:无线客户端

Class

无线设备的分类类别,具体参见表1-10中的相关内容

Duration

无线设备的当前状态的持续时间

Sensors

检测到该无线设备的Sensor的数量

Channel

最后一次检测到该无线设备的信道

Status

AP或客户端表项的状态:

·     Active:AP或客户端表项处于活跃状态

·     Inactive:AP或客户端表项处于非活跃状态

 

# 显示在虚拟安全域a内检测到的所有无线设备的详细信息。

<Sysname> display wips virtual-security-domain a device verbose

Total 2 detected devices in virtual-security-domain a

 

 AP: 1000-0000-0000

   Mesh Neighbor: None

   Classification: Mis(C)

   Severity level: 0

   Classify way: Auto

   Status: Active

   Status duration: 00h 27m 57s

   Vendor: Not found

   SSID: service

   Radio type: 802.11g

   Countermeasuring: No

   Security: None

   Encryption method: None

   Authentication method: None

   Broadcast SSID: Yes

   QoS supported: No

   Ad-hoc: No

   Beacon interval: 100 TU

   Up duration: 00h 27m 57s

Channel band-width supported: 20MHZ

   Hotspot AP: No

   Soft AP: No

   Honeypot AP: No

   Total number of reported sensors: 1

     Sensor 1:

       Sensor ID: 3

       Sensor name: 1

       Radio ID: 1

       RSSI: 15

       Channel: 6

       First reported time: 2014-06-03/09:05:51

       Last reported time: 2014-06-03/09:05:51

   Total number of associated clients: 1

     01: 2000-0000-0000

Client: 2000-0000-0000

  Last reported associated AP: 1000-0000-0000

  Classification: Uncate

  Severity level: 0

  Classify way: Auto

  Dissociative status: No

  Status: Active

  Status duration: 00h 00m 02s

  Vendor: Not found

  Radio type: 802.11a

  40mhz intolerance: No

  Countermeasuring: No

  Man in the middle: No

  Total number of reported sensors: 1

     Sensor 1:

       Sensor ID: 2

       Sensor name: 1

       Radio ID: 1

       RSSI: 50

       Channel: 116

       First reported time: 2014-06-03/14:52:56

       Last reported time: 2014-06-03/14:52:56

       Reported associated AP: 1000-0000-0000

表1-10 display wips virtual-security-domain device verbose命令显示信息描述表

字段

描述

Total number detected devices in virtual-security-domain name

在指定虚拟安全域内检测到无线设备的总数

AP

检测到AP的MAC地址

Mesh Neighbor

Mesh AP邻居的MAC地址

Client

检测到Client的MAC地址

Last reported associated AP

客户端最近一次上报关联AP的MAC地址

Classification

AP或无线客户端的分类:

·     对于AP设备有以下几种:

¡     ad_hoc:运行在Ad hoc模式的AP

¡     authorized:授权AP

¡     rogue:非法AP

¡     misconfigured:配置错误的AP

¡     external:外部AP

¡     potential-authorized:潜在授权的AP

¡     potential-rogue:潜在非法的AP

¡     potential-external:潜在外部的AP

¡     uncategorized:无法确认的AP

·     对于无线客户端有以下几种:

¡     authorized:授权的客户端

¡     unauthorized:未授权的客户端

¡     misassociated:错误关联的客户端

¡     uncategorized:未分类的客户端

Severity level

检测到设备的安全级别

Classify way

AP或无线客户端的分类方法:

·     Manual:手工分类

·     Invalid OUI:导入无效OUI列表

·     Block List:禁用列表

·     Associated:与AC关联

·     Trust List:信任列表

·     User Define:用户自定义分类

·     Auto:自动分类

Dissociative status

是否是游离客户端

Status

AP或客户端表项的状态:

·     Active:AP或客户端表项处于激活状态

·     Inactive:AP或客户端表项处于非激活状态

Status duration

设备当前状态的持续时间

Vendor

如果该设备的OUI能够匹配import oui命令导入配置文件中的OUI,则显示设备厂商,没有配置或者没有匹配到显示为Not found

SSID

AP提供的SSID

Radio Type

无线设备使用的射频模式

40mhz intolerance

客户端是否支持40MHz

Countermeasuring

设备是否被反制:

·     No:没有被反制或是已经被通知反制过

·     Yes:正在被反制

Man in the middle

是否是中间人

Security

无线服务使用的安全方式:

·     None:未配置安全方式

·     WEP:WEP(Wired Equivalent Privacy,有线等效加密)方式

·     WPA:WPA(Wi-Fi Protected Access,WIFI保护访问)方式

·     WPA2:WPA第二版方式

Encryption method

·     无线数据的加密方式:

·     TKIP:TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)加密

·     CCMP:CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[密码块链接-消息验证码]协议)加密

·     WEP:WEP(Wired Equivalent Privacy,有线等效加密)加密

·     None:无加密方式

Authentication method

AP提供的接入无线网络的认证方式:

·     None:无认证方式

·     PSK:采用PSK认证方式

·     802.1X:采用802.1X认证方式

·     Others:采用除PSK和802.1X之外的认证方式

Broadcast SSID

AP是否是广播SSID,如果AP不广播SSID,显示信息的SSID显示为空

QoS supported

是否支持QoS

Ad-hoc

是否是Ad hoc

Beacon interval

信标间隔,单位为TU,1TU等于1024微秒

Up duration

AP设备从启动到当前的持续时间

Channel band-width supported

支持的信道带宽:

·     20/40/80MHZ:AP支持20MHz、40MHz和80MHz的信道带宽

·     20/40MHZ:AP支持20MHz和40MHz的信道带宽

·     20MHZ:AP支持20MHz的信道带宽

Hotspot AP

是否是热点AP

Soft AP

是否是软AP

Honeypot AP

是否是蜜罐AP

Sensor n

发现该设备的Sensor,n为系统自动的编号

Sensor ID

Sensor的ID,即Sensor的APID

Sensor name

检测到该无线设备的Sensor的名称

Radio ID

发现该设备的Sensor上的Radio ID

RSSI

Sensor的信号强度

Channel

该Sensor最近一次探测到该设备的信道

First reported time

该Sensor第一次检测到该AP或无线客户端的时间

Last reported time

该Sensor最近一次检测到该AP或无线客户端的时间

Total number of associated clients

关联该设备的Client的数量

n: H-H-H

AP上关联的无线客户端的MAC地址,n为系统自动的编号

Reported associated AP

该Sensor上报关联AP的MAC地址

 

【相关命令】

·     reset wips virtual-security-domain device

1.1.72  display wlan nat-detect

display wlan nat-detect命令用来显示私接代理检测信息。

【命令】

display wlan nat-detect [ mac-address mac-address ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

mac-address mac-address:显示指定MAC地址的私接代理检测信息。如果不指定本参数,将显示所有的私接代理检测信息。

【举例】

# 显示所有的私接代理检测信息。

<Sysname> display wlan nat-detect

Total 1 detected clients with NAT configured

 

MAC address    Last report         First report         Duration

0a98-2044-0000 2017-03-24/11:05:23 2017-03-24/10:05:23  01h 15m 00s

表1-11 display wlan nat-detect命令显示信息描述表

字段

描述

Total number detected clients with NAT configured

检测到的私接代理设备总数

MAC address

私接代理设备的MAC地址

Last report

最后一次检测到该私接代理设备的时间

First report

第一次检测到该私接代理设备的时间

Duration

私接代理设备总计开启代理的时间

 

【相关命令】

·     reset wlan nat-detect

1.1.73  flood association-request

flood association-request命令用来开启关联请求帧泛洪攻击检测功能。

undo flood association-request命令用来关闭关联请求帧泛洪攻击检测功能。

【命令】

flood association-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood association-request

【缺省情况】

关联请求帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测关联请求帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的关联请求帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测关联请求帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的关联请求帧达到触发阈值,即判定设备受到关联请求帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启关联请求帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood association-request interval 100 threshold 100 quiet 360

1.1.74  flood authentication

flood authentication命令用来开启认证请求帧泛洪攻击检测功能。

undo flood authentication命令用来关闭认证请求帧泛洪攻击检测功能。

【命令】

flood authentication [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood authentication

【缺省情况】

认证请求帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测认证请求帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的认证请求帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测认证请求帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的认证请求帧达到触发阈值,即判定设备受到认证请求帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启认证请求帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood authentication interval 100 threshold 100 quiet 360

1.1.75  flood beacon

flood beacon命令用来开启Beacon帧泛洪攻击检测功能。

undo flood beacon命令用来关闭Beacon帧泛洪攻击检测功能。

【命令】

flood beacon [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood beacon

【缺省情况】

Beacon帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测Beacon帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的Beacon帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测Beacon帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的Beacon帧达到触发阈值,即判定设备受到Beacon帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启Beacon帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood beacon interval 100 threshold 100 quiet 360

1.1.76  flood block-ack

flood block-ack命令用来开启Block ACK帧泛洪攻击检测功能。

undo flood block-ack命令用来关闭Block ACK帧泛洪攻击检测功能。

【命令】

flood block-ack [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood block-ack

【缺省情况】

Block ACK帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测Block ACK帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的Block ACK帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测Block ACK帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的Block ACK帧达到触发阈值,即判定设备受到Block ACK帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启Block ACK帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood block-ack interval 100 threshold 100 quiet 360

1.1.77  flood cts

flood cts命令用来开启CTS帧泛洪攻击检测功能。

undo flood cts命令用来关闭CTS帧泛洪攻击检测功能。

【命令】

flood cts [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood cts

【缺省情况】

CTS帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测CTS帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的CTS帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测CTS帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的CTS帧达到触发阈值,即判定设备受到CTS帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启CTS帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood cts interval 100 threshold 100 quiet 360

1.1.78  flood deauthentication

flood deauthentication命令用来开启解除认证帧泛洪攻击检测功能。

undo flood deauthentication命令用来关闭解除认证帧泛洪攻击检测功能。

【命令】

flood deauthentication [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood deauthentication

【缺省情况】

解除认证帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测解除认证帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的解除认证帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测解除认证帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的解除认证帧达到触发阈值,即判定设备受到解除认证帧泛洪攻击,设备会发送告警信息。

【举例】

#开启解除认证帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood deauthentication interval 100 threshold 100 quiet 360

1.1.79  flood disassociation

flood disassociation命令用来开启解除关联帧泛洪攻击检测功能。

undo flood disassociation命令用来关闭解除关联帧泛洪攻击检测功能。

【命令】

flood disassociation [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood disassociation

【缺省情况】

解除关联帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测解除关联帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的解除关联帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测解除关联帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的解除关联帧达到触发阈值,即判定设备受到解除关联帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启解除关联帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood disassociation interval 100 threshold 100 quiet 360

1.1.80  flood eapol-logoff

flood eapol-logoff命令用来开启EAPOL-Logoff帧泛洪攻击检测功能。

undo flood eapol-logoff命令用来关闭EAPOL-Logoff帧泛洪攻击检测功能。

【命令】

flood eapol-logoff [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood eapol-logoff

【缺省情况】

EAPOL-Logoff帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测EAPOL-Logoff帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的EAPOL-Logoff帧的数量达到触发告警阈值,也不会发送告警日志。

threshold threshold-value:检测EAPOL-Logoff帧达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAPOL-Logoff帧的数量达到触发告警阈值,即判定设备受到EAPOL-Logoff帧泛洪攻击,设备会发送告警日志。

【举例】

# 开启EAPOL-Logoff帧的泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood eapol-logoff interval 100 threshold 100 quiet 360

1.1.81  flood eapol-start

flood eapol-start命令用来开启EAPOL-Start帧泛洪攻击检测功能。

undo flood eapol-start命令用来关闭EAPOL-Start帧泛洪攻击检测功能。

【命令】

flood eapol-start [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood eapol-start

【缺省情况】

EAPOL-Start帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测EAPOL-Start帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的EAPOL-Start帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测EAPOL-Start帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAPOL-Start帧达到触发阈值,即判定设备受到EAPOL-Start帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启EAPOL-Start帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood eapol-start interval 100 threshold 100 quiet 360

1.1.82  flood eap-failure

flood eap-failure命令用来开启EAP-Failure帧泛洪攻击检测功能。

undo flood eap-failure命令用来关闭EAP-Failure帧泛洪攻击检测功能。

【命令】

flood eap-failure [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood eap-failure

【缺省情况】

EAP-Failure帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测EAP-Failure帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的EAP-Failure帧的数量达到触发告警阈值,也不会发送告警日志。

threshold threshold-value:检测EAP-Failure帧的数量达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAP-Failure帧的数量达到触发告警阈值,即判定设备受到EAP-Failure帧泛洪攻击,设备会发送告警日志。

【举例】

# 开启EAP-Failure帧的泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood eap-failure interval 100 threshold 100 quiet 360

1.1.83  flood eap-success

flood eap-success命令用来开启EAP-Success帧泛洪攻击检测功能。

undo flood eap-success命令用来关闭EAP-Success帧泛洪攻击检测功能。

【命令】

flood eap-success [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood eap-success

【缺省情况】

EAP-Success帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测EAP-Success帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的EAP-Success帧的数量达到触发告警阈值,也不会发送告警日志。

threshold threshold-value:检测EAP-Success帧的数量达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAP-Success帧达到触发告警阈值,即判定设备受到EAP-Success帧泛洪攻击,设备会发送告警日志。

【举例】

# 开启EAP-Success帧的泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood eap-success interval 100 threshold 100 quiet 360

1.1.84  flood null-data

flood null-data命令用来开启Null data帧泛洪攻击检测功能。

undo flood null-data命令用来关闭Null data帧泛洪攻击检测功能。

【命令】

flood null-data [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood null-data

【缺省情况】

Null data帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测Null data帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的Null data帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测Null data帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的Null data帧达到触发阈值,即判定设备受到Null data帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启Null data帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood null-data interval 100 threshold 100 quiet 360

1.1.85  flood probe-request

flood probe-request命令用来开启探查请求帧泛洪攻击检测功能。

undo flood probe-request命令用来关闭探查请求帧泛洪攻击检测功能。

【命令】

flood probe-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood probe-request

【缺省情况】

探查请求帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测探查请求帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的探查请求帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测探查请求帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的探查请求帧达到触发阈值,即判定设备受到探查请求帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启探查请求帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood probe-request interval 100 threshold 100 quiet 360

1.1.86  flood reassociation-request

flood reassociation-request命令用来开启重关联帧泛洪攻击检测功能。

undo flood reassociation-request命令用来关闭重关联帧泛洪攻击检测功能。

【命令】

flood reassociation-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood reassociation-request

【缺省情况】

重关联帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测重关联帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的重关联帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测重关联帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的重关联帧达到触发阈值,即判定设备受到重关联帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启重关联帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood reassociation-request interval 100 threshold 100 quiet 360

1.1.87  flood rts

flood rts命令用来开启RTS帧泛洪攻击检测功能。

undo flood rts命令用来关闭RTS帧泛洪攻击检测功能。

【命令】

flood rts [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood rts

【缺省情况】

RTS帧泛洪攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测RTS帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的RTS帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测RTS帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的RTS帧达到触发阈值,即判定设备受到RTS帧泛洪攻击,设备会发送告警信息。

【举例】

# 开启RTS帧泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood rts interval 100 threshold 100 quiet 360

1.1.88  frame-type

frame-type命令用来配置Signature规则中匹配帧类型的子规则。

undo frame-type命令用来恢复缺省情况。

【命令】

frame-type { control | data | management [ frame-subtype { association-request | association-response | authentication | beacon | deauthentication | disassociation | probe-request } ] }

undo frame-type

【缺省情况】

未配置Signature规则中匹配帧类型的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

control:控制帧。

data:数据帧。

management:管理帧。

frame-subtype:帧的子类型。

association-request:Association Request帧。

association-response:Association Response帧。

authentication:Authentication帧。

beacon:Beacon帧。

deauthentication:De-authentication帧。

disassociation:Disassociation帧。

probe-request:Probe Request帧。

【举例】

# 配置ID为1的Signature规则中帧类型为数据帧的匹配子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[wips-sig-rule-1] frame-type data

1.1.89  honeypot-ap

honeypot-ap命令用来开启蜜罐AP检测功能。

undo honeypot-ap命令用来关闭蜜罐AP检测功能。

【命令】

honeypot-ap [ similarity similarity-value | quiet quiet-value ] *

undo honeypot-ap

【缺省情况】

蜜罐AP检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

similarity similarity-value:SSID的相似度,取值范围为70~100,缺省值为80。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到蜜罐AP,设备也不会发送告警日志。

【举例】

# 开启蜜罐AP检测功能,SSID相似度为90%,静默时间为10秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] honeypot-ap similarity 90 quiet 10

1.1.90  hotspot-attack

hotspot-attack命令用来开启热点攻击检测功能。

undo hotspot-attack命令用来关闭热点攻击检测功能。

【命令】

hotspot-attack [ quiet quiet-value ]

undo hotspot-attack

【缺省情况】

热点攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备检测到热点攻击,设备也不会发送告警日志。

【举例】

# 开启热点攻击检测功能,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] hotspot-attack quiet 100

1.1.91  ht-40mhz-intolerance

ht-40mhz-intolerance命令用来开启客户端是否开启了禁用802.11n 40MHz模式检测功能。

undo ht-40mhz-intolerance命令用来关闭客户端是否开启了禁用802.11n 40MHz模式检测功能。

【命令】

ht-40mhz-intolerance [ quiet quiet-value ]

undo ht-40mhz-intolerance

【缺省情况】

客户端是否开启了禁用802.11n 40MHz模式检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到客户端开启了禁用802.11n 40MHz模式,也不会发送告警日志。

【举例】

# 开启客户端是开启了否禁用802.11n 40MHz模式检测功能,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ht-40mhz-intolerance quiet 100

1.1.92  ht-greenfield

ht-greenfield命令用来开启绿野模式检测功能。

undo ht-greenfield命令用来关闭绿野模式检测功能。

【命令】

ht-greenfield [ quiet quiet-value ]

undo ht-greenfield

【缺省情况】

绿野模式检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到AP工作在绿野模式,设备也不会发送告警日志。

【举例】

# 开启绿野模式检测功能,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ht-greenfield quiet 100

1.1.93  ignorelist

ignorelist命令用来配置忽略WIPS告警信息的设备列表。

undo ignorelist命令用来删除忽略WIPS告警信息的设备列表。

【命令】

ignorelist mac-address mac-address

undo ignorelist mac-address { mac-address | all }

【缺省情况】

未配置忽略WIPS告警信息的设备列表。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

mac-address:将要从忽略WIPS告警信息的设备列表中添加或删除的无线设备的MAC地址,格式为H-H-H。

all:删除忽略WIPS告警信息的设备列表的所有表项。

【使用指导】

对于忽略WIPS告警信息的设备列表中的无线设备,WIPS会监测其是否存在,但是不会对它的任何行为产生告警。

【举例】

# 配置MAC地址为2a11-1fa1-1311的设备加入到忽略告警信息的设备列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ignorelist mac-address 2a11-1fa1-1311

1.1.94  import hotspot

import hotspot命令用来导入热点信息的配置文件。

undo import hotspot命令用来删除已导入的热点信息配置文件。

【命令】

import hotspot file-name

undo import hotspot

【缺省情况】

未导入热点信息的配置文件。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

file-name:导入配置文件名称,1~255个字符的字符串,不区分大小写,且文件名不能包含如下字符:\ / : * ? “ < > |。

【使用指导】

最多只能导入一个热点信息的配置文件。

【举例】

# 导入热点信息的配置文件。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] import hotspot hotspot_cfg

1.1.95  import oui

import oui命令用来导入配置文件中的OUI信息。

undo import oui命令用来恢复缺省情况。

【命令】

import oui file-name

undo import oui

【缺省情况】

未导入配置文件的OUI信息。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

oui:导入配置文件名称,1~255个字符的字符串,不区分大小写,且文件名不能包含如下字符:\ / : * ? “ < > |。

【使用指导】

·     该配置文件可以从IEEE网站下载。

·     最多只能导入一个配置文件。

【举例】

# 导入配置文件中的OUI信息。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] import oui oui_import_cfg

【相关命令】

·     invalid-oui-classify illegal

1.1.96  invalid-oui-classify illegal

invalid-oui-classify illegal命令用来配置对非法OUI的设备进行分类。

undo invalid-oui-classify命令用来恢复缺省情况。

【命令】

invalid-oui-classify illegal

undo invalid-oui-classify

【缺省情况】

不对非法OUI的设备进行分类。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对非法OUI的设备进行分类。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] invalid-oui-classify illegal

【相关命令】

·     import oui

1.1.97  mac-address

mac-address命令用来配置Signature规则中匹配报文中携带的MAC地址的子规则。

undo mac-address命令用来恢复缺省情况。

【命令】

mac-address { bssid | destination | source } mac-address

undo mac-address

【缺省情况】

未配置Signature规则中匹配报文中携带的MAC地址的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

bssid:对BSSID进行匹配。

destination:对目的MAC地址进行匹配。

source:对源MAC地址进行匹配。

mac-address:指定MAC地址,格式为H-H-H。

【举例】

# 在编号为1的Signature规则中配置匹配报文源MAC地址为000f-e201-0101的子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[Sysname-wips-sig-rule-1] mac-address source 000f-e201-0101

1.1.98  malformed duplicated-ie

malformed duplicated-ie命令用来开启IE重复的畸形报文检测功能。

undo malformed duplicated-ie命令用来关闭IE重复的畸形报文检测功能。

【命令】

malformed duplicated-ie [ quiet quiet-value ]

undo malformed duplicated-ie

【缺省情况】

IE重复的畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到IE重复的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。当解析某报文时,该报文所包含的某IE重复出现时,则判断该报文为重复IE畸形报文。因为厂商自定义IE是允许重复的,所以检测IE重复时,不检测厂商自定义IE。

【举例】

# 开启IE重复的畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed duplicated-ie quiet 360

1.1.99  malformed fata-jack

malformed fata-jack命令用来开启Fata-Jack畸形报文检测功能。

undo malformed fata-jack命令用来关闭Fata-Jack畸形报文检测功能。

【命令】

malformed fata-jack [ quiet quiet-value ]

undo malformed fata-jack

【缺省情况】

Fata-Jack畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到Fata-Jack畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对认证帧的检测。Fata-Jack畸形类型规定,当身份认证算法编号即Authentication algorithm number的值等于2时,则判定该帧为Fata-Jack畸形报文。

【举例】

# 开启Fata-Jack畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed fata-jack quiet 360

1.1.100  malformed illegal-ibss-ess

malformed illegal-ibss-ess命令用开启IBSS和ESS置位异常的畸形报文检测功能。

undo malformed illegal-ibss-ess命令用来关闭IBSS和ESS置位异常的畸形报文检测功能。

【命令】

malformed illegal-ibss-ess [ quiet quiet-value ]

undo malformed illegal-ibss-ess

【缺省情况】

IBSS和ESS置位异常的畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到IBSS和ESS置位异常的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对Beacon帧和探查响应帧进行的检测。当报文中的IBSS和ESS都置位为1时,由于此种情况在协议中没有定义,所以这类报文被判定为IBSS和ESS置位异常的畸形报文。

【举例】

# 开启IBSS和ESS置位异常的畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed illegal-ibss-ess quiet 360

1.1.101  malformed invalid-address-combination

malformed invalid-address-combination命令用来开启源地址为广播或者组播的认证和关联畸形报文检测功能。

undo malformed invalid-address-combination命令用来关闭源地址为广播或者组播的认证和关联畸形报文检测功能。

【命令】

malformed invalid-address-combination [ quiet quiet-value ]

undo malformed invalid-address-combination

【缺省情况】

源地址为广播或者组播的认证和关联畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到报文长度非法的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。当检测到该帧的TO DS等于1时,表明该帧为客户端发给AP的,如果同时又检测到该帧的源MAC地址为广播或组播,则该帧被判定为Invalid-source-address畸形报文。

【举例】

# 开启源地址为广播或者组播的认证和关联畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-address-combination quiet 360

1.1.102  malformed invalid-assoc-req

malformed invalid-assoc-req命令用来开启畸形关联请求报文检测功能。

undo malformed invalid-assoc-req命令用来关闭畸形关联请求报文检测功能。

【命令】

malformed invalid-assoc-req [ quiet quiet-value ]

undo malformed invalid-assoc-req

【缺省情况】

畸形关联请求报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到畸形关联请求报文,也不会发送告警信息。

【使用指导】

该检测是针对认证请求帧的检测。当收到认证请求帧中的SSID长度等于零时,判定该报文为畸形关联请求报文。

【举例】

# 开启畸形关联请求报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-assoc-req quiet 360

1.1.103  malformed invalid-auth

malformed invalid-auth命令用来开启畸形认证请求报文检测功能。

undo malformed invalid-auth命令用来关闭畸形认证请求报文检测功能。

【命令】

malformed invalid-auth [ quiet quiet-value ]

undo malformed invalid-auth

【缺省情况】

畸形认证请求报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到畸形认证请求报文,也不会发送告警信息。

【使用指导】

该检测是针对认证帧的检测。当检测到以下情况时请求认证过程失败,会被判断判定为认证畸形报文。

·     当对认证帧的身份认证算法编号(Authentication algorithm number)的值不符合协议规定,并且其值大于3时;

·     当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number 的值等于1,且状态代码status code不为零时;

·     当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number的值大于4时。

【举例】

# 关闭畸形认证请求报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-auth quiet 360

1.1.104  malformed invalid-deauth-code

malformed invalid-deauth-code命令用来开启含有无效原因值的解除认证畸形报文检测功能。

undo malformed invalid-deauth-code命令用来关闭含有无效原因值的解除认证畸形报文检测功能。

【命令】

malformed invalid-deauth-code [ quiet quiet-value ]

undo malformed invalid-deauth-code

【缺省情况】

含有无效原因值的解除认证畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到含有无效原因值的解除认证畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对解除认证畸形帧的检测。当解除认证畸形帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除认证畸形报文。

【举例】

# 开启含有无效原因值的解除认证畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-deauth-code quiet 360

1.1.105  malformed invalid-disassoc-code

malformed invalid-disassoc-code命令用来开启含有无效原因值的解除关联畸形报文检测功能。

undo malformed invalid-disassoc-code命令用来关闭含有无效原因值的解除关联畸形报文检测功能。

【命令】

malformed invalid-disassoc-code [ quiet quiet-value ]

undo malformed invalid-disassoc-code

【缺省情况】

含有无效原因值的解除关联畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到含有无效原因值的解除关联畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对解除关联帧的检测。当解除关联帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除关联畸形报文。

【举例】

# 开启含有无效原因值的解除关联畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-disassoc-code quiet 360

1.1.106  malformed invalid-ht-ie

malformed invalid-ht-ie命令用来开启畸形HT IE报文检测功能。

undo malformed invalid-ht-ie命令用来关闭畸形HT IE报文检测功能。

【命令】

malformed invalid-ht-ie [ quiet quiet-value ]

undo malformed invalid-ht-ie

【缺省情况】

畸形HT IE报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到畸形HT IE报文,也不会发送告警信息。

【使用指导】

该检测是针对Beacon、探查响应帧、关联响应帧、重关联响应帧的检测。当检测到以下情况时,判定为HT IE的畸形报文,发出告警,在静默时间内不再告警。

·     解析出HT Capabilities IE的SM Power Save值为2时;

·     解析出HT Operation IE 的Secondary Channel Offset值等于2时。

【举例】

# 开启畸形HT IE报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-ht-ie quiet 360

1.1.107  malformed invalid-ie-length

malformed invalid-ie-length命令用来开启IE长度非法的畸形报文检测功能。

undo malformed invalid-ie-length命令用来关闭IE长度非法的畸形报文检测功能。

【命令】

malformed invalid-ie-length [ quiet quiet-value ]

undo malformed invalid-ie-length

【缺省情况】

IE长度非法的畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到IE长度非法的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。信息元素(Information Element,简称IE)是管理帧的组成元件,其长度不定。信息元素通常包含一个元素识别码位(Element ID)、一个长度位(Length)以及一个长度不定的位。每种类型的管理帧包含特定的几种IE,IE的长度的取值范围应遵守最新802.11协议的规定。报文解析过程中,当检测到该报文包含的某个IE的长度为非法时,该报文被判定为IE长度非法的畸形报文。

【举例】

# 开启IE长度非法的畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-ie-length quiet 360

1.1.108  malformed invalid-pkt-length

malformed invalid-pkt-length命令用来开启报文长度非法的畸形报文检测功能。

undo malformed invalid-pkt-length命令用来关闭报文长度非法的畸形报文检测功能。

【命令】

malformed invalid-pkt-length [ quiet quiet-value ]

undo malformed invalid-pkt-length

【缺省情况】

报文长度非法的畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到报文长度非法的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。当解析完报文主体后,IE的剩余长度不等于零时,则该报文被判定为报文长度非法畸形报文。

【举例】

# 开启报文长度非法的畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-pkt-length quiet 360

1.1.109  malformed large-duration

malformed large-duration命令用来开启Duration字段超大的畸形报文检测功能。

undo malformed large-duration命令用来关闭Duration字段超大的畸形报文检测功能。

【命令】

malformed large-duration [ quiet quiet-value | threshold value ]

undo malformed large-duration

【缺省情况】

Duration字段超大的畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到Duration字段超大的畸形报文,也不会发送告警信息。

threshold value:检测报文中Duration字段超大的触发阈值,取值范围为1~32767,缺省值为5000。当设备在一个统计周期内检测报文的Duration字段达到触发阈值,即判定设备受到Duration字段超大的畸形报文,设备会发送告警信息。

【使用指导】

该检测是针对单播管理帧、单播数据帧以及RTS、CTS、ACK帧的检测。如果报文解析结果中该报文的Duration值大于指定的门限值,则为Duration超大的畸形报文。

【举例】

# 开启Duration字段超大的畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed large-duration quiet 360

1.1.110  malformed null-probe-resp

malformed null-probe-resp命令用来开启无效探查响应报文检测功能。

undo malformed null-probe-resp命令用来关闭无效探查响应报文检测功能。

【命令】

malformed null-probe-resp [ quiet quiet-value ]

undo malformed null-probe-resp

【缺省情况】

无效探查响应报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到无效探查响应报文,也不会发送告警信息。

【使用指导】

该检测是针对探查响应报文。当检测到该帧为非Mesh帧,但同时该帧的SSID Length等于零,这种情况不符合协议(协议规定SSID等于零的情况是Mesh帧),则判定为无效探查响应报文。

【举例】

# 开启无效探查响应报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed null-probe-resp quiet 360

1.1.111  malformed overflow-eapol-key

malformed overflow-eapol-key命令用来开启key长度超长的EAPOL报文检测功能。

undo malformed overflow-eapol-key命令用来关闭key长度超长的EAPOL报文检测功能。

【命令】

malformed overflow-eapol-key [ quiet quiet-value ]

undo malformed overflow-eapol-key

【缺省情况】

key长度超长的EAPOL报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到key长度超长的EAPOL报文,也不会发送告警信息。

【使用指导】

该检测是针对EAPOL-Key帧的检测。当检测到该帧的TO DS等于1且其Key Length大于零时,则判定该帧为key长度超长的EAPOL报文。Key length长度异常的恶意的EAPOL-Key帧可能会导致DOS攻击。

【举例】

# 开启key长度超长的EAPOL报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed overflow-eapol-key quiet 360

1.1.112  malformed overflow-ssid

malformed overflow-ssid命令用来开启SSID长度超长的畸形报文检测功能。

undo malformed overflow-ssid命令用来关闭SSID长度超长的畸形报文检测功能。

【命令】

malformed overflow-ssid [ quiet quiet-value ]

undo malformed overflow-ssid

【缺省情况】

SSID长度超长的畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到SSID长度超长的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对Beacon、探查请求、探查响应、关联请求帧的检测。当解析报文的SSID length大于32字节时,不符合协议规定的0~32字节的范围,则判定该帧为SSID超长的畸形报文。

【举例】

# 开启SSID长度超长的畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed overflow-ssid quiet 360

1.1.113  malformed redundant-ie

malformed redundant-ie命令用来开启多余IE畸形报文检测功能。

undo malformed redundant-ie命令用来关闭多余IE畸形报文检测功能。

【命令】

malformed redundant-ie [ quiet quiet-value ]

undo malformed redundant-ie

【缺省情况】

多余IE畸形报文检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到多余IE畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。报文解析过程中,当遇到既不属于报文应包含的IE,也不属于reserved IE时,判断该IE为多余IE,则该报文被判定为多余IE畸形报文。

【举例】

# 开启多余IE畸形报文检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed redundant-ie quiet 360

1.1.114  man-in-the-middle

man-in-the-middle命令用来开启中间人攻击检测功能。

undo man-in-the-middle命令用来关闭中间人攻击检测功能。

【命令】

man-in-the-middle [ quiet quiet-value ]

undo man-in-the-middle

【缺省情况】

中间人攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到中间人攻击,设备也不会发送告警日志。

【使用指导】

在配置中间人攻击检测之前需要开启蜜罐AP检测。

【举例】

# 开启中间人攻击检测功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] honeypot-ap

[Sysname-wips-dtc-home] man-in-the-middle

1.1.115  manual-classify mac-address

manual-classify mac-address命令用来将指定的AP进行手工分类。

undo manual-classify mac-address命令用来恢复缺省情况。

【命令】

manual-classify mac-address mac-address { authorized-ap | external-ap | misconfigured-ap | rogue-ap }

undo manual-classify mac-address { mac-address | all }

【缺省情况】

没有对AP进行手工分类。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

mac-address:AP的MAC地址,格式为H-H-H。

authorized-ap:将指定AP设置为授权AP。

external-ap:将指定AP设置为外部AP。

misconfigured-ap:将指定AP设置为配置错误的AP。

rogue-ap:将指定AP设置为Rogue AP。

all:取消对所有AP的手工分类。

【举例】

# 将MAC地址为000f-00e2-0001的AP配置为授权AP。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] manual-classify mac-address 000f-00e2-0001 authorized-ap

1.1.116  omerta

omerta命令用来开启Omerta攻击检测功能。

undo omerta命令用来关闭对Omerta攻击的检测功能。

【命令】

omerta [ quiet quiet-value ]

undo omerta

【缺省情况】

Omerta攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到Omerta攻击,也不会发送告警日志。

【举例】

# 开启Omerta攻击检测功能,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] omerta quiet 100

1.1.117  oui

oui 命令用来在AP分类规则中对AP设备的OUI信息进行匹配。

undo oui命令用来恢复缺省情况。

【命令】

oui oui-info

undo oui

【缺省情况】

没有在AP分类规则中对AP设备的OUI信息进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

oui-info:对AP设备进行匹配的OUI信息,格式XXXXXX,16进制字符串,不区分大小写。

【举例】

# 在ID为1的AP分类规则中配置OUI为000fe4的AP匹配规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] oui 000fe4

1.1.118  pattern

pattern命令用来配置Signature规则中匹配报文中指定位置的字段的子规则。

undo pattern命令用来恢复缺省情况。

【命令】

pattern pattern-number offset offset-value mask mask value1 [ to value2 ] [ from-payload ]

undo pattern { pattern-number | all }

【缺省情况】

未配置Signature规则中匹配报文中指定位置的字段的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

pattern-number:Signature规则中匹配报文中指定位置的字段的子规则序列号,取值范围0~65535。

offset offset-value:指定匹配字段相对于参考位置的偏移量,offset-value为偏移量,取值范围为0~2346,单位为bit。参考位置可以为帧头部(缺省情况)或帧载荷头部(配置from-payload参数后)。

mask mask:指定用于匹配指定字段的掩码值,mask为十六进制的掩码值,长度为两字节,取值范围为0~ffff。

value1 [ to value2 ]:指定匹配条件值的范围。value1value2为匹配条件的值,取值范围为0~65535。value2的值要大于或等于value1的值。

from-payload:指定偏移量的参考位置为帧载荷的头部。不指定该参数时,偏移量的参考位置为帧头部。

【举例】

# 在编号为1的Signature规则中,创建以下匹配规则:匹配从报文头开始第2、3两个字节的取值为0x0015~0x0020之间的报文。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[Sysname-wips-sig-rule-1] pattern 1 offset 8 mask ffff 15 to 20

1.1.119  permit-channel

permit-channel命令用来配置合法信道集。

undo permit-channel命令用来删除配置的合法信道集。

【命令】

permit-channel channel-id-list

undo permit-channel { channel-id-list | all }

【缺省情况】

未配置合法信道集。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

channel-id-list :合法信道列表。表示方式为channel-id-list = { value1 [ to value2 ] } &<1-10>,取值范围为1~224,value2的值要大于或等于value1的值,<1-10>表示在一条命令中最多可以配置10个合法信道或合法信道范围。

all:表示删除所有已配置的合法信道。

【使用指导】

在配置非法信道检测之前请先配置合法信道集,否则所有信道都会被检测为非法信道。

【举例】

# 设置合法信道为1~10、20、30~40、100、200。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] permit-channel 1 to 10 20 30 to 40 100 200

【相关命令】

·     prohibited-channel

1.1.120  prohibited-channel

prohibited-channel命令用来开启非法信道检测功能。

undo prohibited-channel命令用来关闭非法信道检测功能。

【命令】

prohibited-channel [ quiet quiet-value ]

undo prohibited-channel

【缺省情况】

非法信道检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在非法信道检测到任何帧,也不会发送告警日志。

【使用指导】

在配置非法信道检测之前请先使用permit-channel命令配置合法信道,否则所有信道都会被检测为非法信道。

【举例】

# 开启非法信道检测功能,静默时间为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] prohibited-channel quiet 100

【相关命令】

·     permit-channel

1.1.121  power-save

power-save命令用来开启节电攻击检测功能。

undo power-save命令用来关闭节电攻击检测功能。

【命令】

power-save [ interval interval-value | minoffpacket packet-value | onoffpercent percent-value | quiet quiet-value ] *

undo power-save

【缺省情况】

节电攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测节电报文的统计周期,取值范围为1~3600,单位为秒,缺省值为10。

minoffpacket packet-value:统计周期内检测到最少节电关闭报文的阈值,取值范围为10~150,单位为个,缺省值为50。

onoffpercent percent-value:检测节电开始报文和节电关闭报文的百分比的阈值,取值范围为0~100,缺省值为80。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到节电攻击,也不会发送告警日志。

【举例】

# 开启节电攻击检测功能,统计周期为20秒,检测最少节电关闭报文的个数为20,节电开启报文与节电关闭报文的百分比为90,静默时间为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] power-save interval 20 minoffpacket 20 onoffpercent 90 quiet 100

1.1.122  reset client-proximity-sensor device

reset client-proximity-sensor device命令用来清除无线设备表项。

【命令】

reset client-proximity-sensor device { ap | client | mac-address mac-address | all }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

ap:清除所有检测到的AP信息。

client:清除所有检测到的客户端信息。

mac-address mac-address:清除指定MAC地址的信息,格式为H-H-H。

all:清除所有检测到的设备信息。

【举例】

# 清除所有检测到的客户端信息。

<Sysname> reset client-proximity-sensor device client

# 清除指定MAC地址的设备信息。

<Sysname> reset client-proximity-sensor device mac-address 0023-1212-2323

【相关命令】

·     display client-proximity-sensor entry

1.1.123  reset client-proximity-sensor statistics

reset client-proximity-sensor statistics命令用来清除所有探针AP上报的信息。

【命令】

reset client-proximity-sensor statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除所有探针AP上报的信息。

<Sysname> reset client-proximity-sensor statistics

【相关命令】

·     display client-proximity-sensor statistics receive

1.1.124  reset wips statistics

reset wips statistics命令用来清除所有Sensor上报的信息。

【命令】

reset wips statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除所有Sensor上报的信息。

<Sysname> reset wips statistics

【相关命令】

·     display wips statistics receive

1.1.125  reset wips virtual-security-domain

reset wips virtual-security-domain命令用来清除指定VSD内学习到的AP表项和客户端表项。

【命令】

reset wips virtual-security-domain vsd-name device { ap { all | mac-address mac-address } | client { all | mac-address mac-address } | all }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

device:虚拟安全域中检测到的设备。

ap:虚拟安全域中检测到的AP。

all:虚拟安全域中检测到的所有AP。

mac-address mac-address:指定AP的MAC地址。

client:虚拟安全域中检测到的客户端。

all:虚拟安全域中检测到的所有客户端。

mac-address mac-address:指定客户端的MAC地址。

all:虚拟安全域中检测到的所有AP和客户端。

【举例】

# 清除VSD aaa内学习到的AP表项和客户端表项。

<Sysname> reset wips virtual-security-domain aaa device all

【相关命令】

·     display wips virtual-security-domain device

1.1.126  reset wips virtual-security-domain countermeasure record

reset wips virtual-security-domain countermeasure record命令用来清除指定VSD内所有被反制过的设备信息。

【命令】

reset wips virtual-security-domain vsd-name countermeasure record

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 清除指定VSD内所有被反制过的设备信息。

<Sysname> reset wips virtual-security-domain aaa countermeasure record

【相关命令】

·     display wips virtual-security-domain countermeasure record

1.1.127  reset wlan nat-detect

reset wlan nat-detect命令用来清除私接代理检测信息表项。

【命令】

reset wlan nat-detect

【视图】

用户视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 清除私接代理检测信息表项。

<Sysname> reset wlan nat-detect

【相关命令】

·     display wlan nat-detect

1.1.128  rssi

rssi命令用来在AP分类规则中对AP信号的信号强度进行匹配。

undo rssi命令用来恢复缺省情况。

【命令】

rssi value1 [ to value2 ]

undo rssi

【缺省情况】

没有在AP分类规则中对AP信号的信号强度进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

value1 [ to value2 ]:指定匹配信号强度值的范围。value1value2为匹配信号强度值,取值范围为0~100。value2的值要大于或等于value1的值。

【举例】

# 在ID为1的AP分类规则中对信号强度在20~40之间的AP进行匹配。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] rssi 20 to 40

1.1.129  security

security命令用来在AP分类规则中对AP使用无线服务的数据安全方式进行匹配。

undo security命令用来恢复缺省情况。

【命令】

security { equal | include } { clear | wep | wpa | wpa2 }

undo security

【缺省情况】

没有在AP分类规则中对AP使用无线服务的数据安全方式进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

equal:匹配项与条件相同。

include:匹配项包含条件。

clear:明文方式。

wep:WEP方式。

wpa:WPA方式。

wpa2:WPA2方式。

【举例】

# 在ID为1的AP分类策略中对采用WEP方式接入无线网络的AP设备进行匹配。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] security equal wep

1.1.130  select sensor all

select sensor all命令用来开启所有Sensor进行反制功能。

undo select sensor all命令用来关闭所有Sensor进行反制功能。

【命令】

select sensor all

undo select sensor all

【缺省情况】

所有Sensor进行反制功能处于关闭状态。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【使用指导】

开启所有sensor反制功能后,当一个攻击者同时被多个Sensor检测到时,所有Sensor都会对其进行反制。没有开启该功能时,被最近一次检测到该攻击者的Sensor进行反制。

【举例】

# 开启所有Sensor进行反制功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-ctm-home] select sensor all

1.1.131  seq-number

seq-number命令用来配置Signature规则中匹配序列号的子规则。

undo seq-number 命令用来恢复缺省情况。

【命令】

seq-number seq-value1 [ to seq-value2 ]

undo seq-number

【缺省情况】

未配置Signature规则中匹配序列号的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

seq-value1 [ to seq-value2 ]:指定报文序列号的范围。seq-value1seq-value2为报文序列号大小,取值范围为0~4095。seq-value2的值要大于或等于seq-value1的值。

【举例】

# 在编号为1的Signature规则中配置匹配对指定报文序列号为100的子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[wips-sig-rule-1] seq-number 100

1.1.132  signature policy

signature policy命令用来创建Signature策略,并进入Signature策略视图。如果指定的Signature策略已经存在,则直接进入Signature策略视图。

undo signature policy命令用来删除指定的Signature策略。

【命令】

signature policy policy-name

undo signature policy policy-name

【缺省情况】

不存在Signature策略。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

policy-name:Signature策略名称,为1~63个字符的字符串,区分大小写。

【举例】

# 创建一个名称为home的Signature策略,并进入Signature策略视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature policy home

1.1.133  signature rule

signature rule命令用来创建Signature规则,并进入Signature规则视图。如果指定的Signature规则已经存在,则直接进入Signature规则视图。

undo signature rule命令用来删除指定的Signature规则。

【命令】

signature rule rule-id

undo signature rule rule-id

【缺省情况】

不存在Signature规则。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

rule-id:Signature规则的编号,取值范围为1~65535。

【举例】

# 创建编号为1的Signature规则,并进入Signature规则视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

1.1.134  soft-ap

soft-ap命令用来开启软AP检测功能。

undo soft-ap命令用来关闭软AP检测功能。

【命令】

soft-ap [ convert-time time-value ]

undo soft-ap

【缺省情况】

软AP检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

convert-time time-value:配置判定设备为软AP的角色切换周期,即如果某个MAC地址在指定的时间间隔内在无线客户端与AP两个角色之间发生切换,则认定该设备为软AP。time-value为时间间隔,取值范围5~600,单位为秒,缺省取值为10。

【举例】

# 开启软AP检测功能,判断软AP的依据为设备在100秒内发生角色切换。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] soft-ap convert-time 100

1.1.135  ssid (AP分类规则视图)

ssid命令用来在AP分类规则中对AP使用无线服务的SSID进行匹配。

undo ssid命令用来恢复缺省情况。

【命令】

ssid [ case-sensitive ] [ not ] { equal | include } ssid-string

undo ssid

【缺省情况】

没有在AP分类规则中对AP使用无线服务的SSID进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

case-sensitive:与SSID匹配时需要按照字母的大小写匹配。

not:匹配项与条件不等于或者不包括。

equal:匹配项与条件相同。

include:匹配项包含条件。

ssid-string:与SSID进行匹配的字符串,为1~32个字符的字符串,区分大小写。

【举例】

# 在ID为1的AP分类策略中匹配SSID为abc的AP。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] ssid equal abc

1.1.136  ssid (Signature规则视图)

ssid命令用来配置Signature规则中匹配SSID的子规则。

undo ssid命令用来恢复缺省情况。

【命令】

ssid [ case-sensitive ] [ not ] { equal | include } string

undo ssid

【缺省情况】

未配置Signature规则中匹配SSID的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

case-sensitive:与SSID匹配时需要按照字母的大小写匹配。

not:匹配项与条件不等于或不包括。

equal:匹配项与条件相同。

include:匹配项包含条件。

string:与SSID进行匹配的字符串,为1~32个字符的字符串,区分大小写。

【举例】

# 配置ID为1的Signature规则中SSID等于office的匹配子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[Sysname-wips-sig-rule-1] ssid equal office

1.1.137  ssid-length

ssid-length命令用来配置Signature规则中SSID长度的匹配子规则。

undo ssid-length命令用来恢复缺省情况。

【命令】

ssid-length length-value1 [ to length-value2 ]

undo ssid-length

【缺省情况】

未配置Signature规则中SSID长度的匹配子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

length-value1 [ to length-value2 ]:指定SSID长度的范围。length-value1length-value2为SSID长度,取值范围为1~32。length-value2的值要大于或等于length-value1的值。

【举例】

# 配置ID为1的Signature规则中SSID长度为10的匹配子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[Sysname-wips-sig-1] ssid-length 10

1.1.138  trust mac-address

trust mac-address命令用来将指定的MAC地址添加到信任设备列表中。

undo trust mac-address命令用来删除信任设备列表中的MAC地址。

【命令】

trust mac-address mac-address

undo trust mac-address { mac-address | all }

【缺省情况】

信任设备列表中不存在MAC地址。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

mac-address:AP或客户端的MAC地址。

all:所有MAC地址。

【举例】

# 将MAC地址78AC-C0AF-944F添加到信任设备列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] trust mac-address 78AC-C0AF-944F

1.1.139  trust oui

trust oui命令用来将指定的OUI添加到信任OUI列表中。

undo trust oui命令用来删除信任OUI列表中的OUI。

【命令】

trust oui oui

undo trust oui { oui | all }

【缺省情况】

信任OUI列表中不存在OUI。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

oui:OUI名称,为6个字符的字符串,不区分大小写。

all:所有OUI。

【举例】

# 将名为000fe4、000fe5的OUI添加到信任OUI列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] trust oui 000fe4

[Sysname-wips-cls-home] trust oui 000fe5

1.1.140  trust ssid

trust ssid命令用来将指定的SSID添加到信任设备列表中。

undo trust ssid命令用来删除信任设备列表中的SSID。

【命令】

trust ssid ssid-name

undo trust ssid { ssid-name | all }

【缺省情况】

信任设备列表中不存在SSID。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

ssid-name:SSID的名称,为1~32个字符的字符串,区分大小写。

all:所有SSID。

【举例】

# 将名为flood1的SSID添加到信任设备列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] trust ssid flood1

1.1.141  unencrypted-authorized-ap

unencrypted-authorized-ap命令用来开启未加密授权AP检测功能。

undo unencrypted-authorized-ap命令用来关闭对未加密授权AP的检测功能。

【命令】

unencrypted-authorized-ap [ quiet quiet-value ]

undo unencrypted-authorized-ap

【缺省情况】

未加密授权AP检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。

【举例】

# 开启未加密授权的AP检测功能,静默时间为10秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] unencrypted-authorized-ap quiet 10

1.1.142  unencrypted-trust-client

unencrypted-trust-client命令用来开启未加密的信任客户端检测功能。

undo unencrypted-trust-client命令用来关闭未加密的信任客户端检测功能。

【命令】

unencrypted-trust-client [ quiet quiet-value ]

undo unencrypted-trust-client

【缺省情况】

未加密的信任客户端检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。

【举例】

# 开启未加密的信任客户端检测功能,静默时间为10秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] unencrypted-trust-client quiet 10

1.1.143  up-duration

up-duration 命令用来在AP分类规则中对AP的运行时间进行匹配。

undo up-duration命令用来恢复缺省情况。

【命令】

up-duration value1 [ to value2 ]

undo up-duration

【缺省情况】

没有在AP分类规则中对AP的运行时间进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

value1 [ to value2 ]:指定匹配运行时间条件值的范围。value1value2为匹配运行时间条件值,取值范围为0~2592000,单位为秒。value2的值要大于或等于value1的值。

【举例】

# 在ID为1的AP分类规则中配置匹配运行时间在2000~40000秒之间的AP。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] up-duration 2000 to 40000

1.1.144  virtual-security-domain

virtual-security-domain命令用来创建VSD(Virtual Security Domain,虚拟安全域),并进入VSD视图,如果指定的VSD已经存在,则直接进入VSD视图。

undo virtual-security-domain命令用来删除已创建的VSD。

【命令】

virtual-security-domain vsd-name

undo virtual-security-domain vsd-name

【缺省情况】

不存在VSD。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 创建名称为office的VSD,并进入VSD视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain office

[Sysname-wips-vsd-office]

1.1.145  weak-iv

weak-iv命令用来开启Weak IV检测功能。

undo weak-iv命令用来关闭Weak IV检测功能。

【命令】

weak-iv [ quiet quiet-value ]

undo weak-iv

【缺省情况】

Weak IV检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备再次检测到Weak IV也不会发送告警信息。

【使用指导】

设备检测到Weak IV后会发送告警信息。

【举例】

# 开启Weak IV检测功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] weak-iv

1.1.146  windows-bridge

windows-bridge命令用来开启Windows网桥检测功能。

undo windows-bridge命令用来关闭Windows网桥检测功能。

【命令】

windows-bridge [ quiet quiet-value ]

undo windows-bridge

【缺省情况】

Windows网桥检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备检测到Windows网桥,设备也不会发送告警日志。

【举例】

# 开启Windows网桥检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] windows-bridge quiet 360

1.1.147  wireless-bridge

wireless-bridge命令用来开启无线网桥检测功能。

undo wireless-bridge命令用来关闭无线网桥检测功能。

【命令】

wireless-bridge [ quiet quiet-value ]

undo wireless-bridge

【缺省情况】

无线网桥检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到无线网桥,设备也不会发送告警日志。

【举例】

# 开启无线网桥检测功能,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] wireless-bridge quiet 100

1.1.148  wips (System view)

wips命令用来进入WIPS视图。

undo wips命令用来删除WIPS视图下所有配置。

【命令】

wips

undo wips

【缺省情况】

未配置WIPS视图。

【视图】

系统视图

【缺省用户角色】

network-admin

【举例】

# 进入WIPS视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips]

1.1.149  wips (Radio view)

wips enable命令用来开启WIPS功能。

undo wips命令用来恢复缺省情况。

【命令】

wips enable

undo wips

【缺省情况】

WIPS功能处于关闭状态。

【视图】

Radio接口视图

【缺省用户角色】

network-admin

【举例】

# 开启WIPS功能。

<Sysname> system-view

[Sysname] interface wlan-radio 1/0/1

[Sysname-wlan-radio-1] wips enable

1.1.150  wips virtual-security-domain

wips virtual-security-domain命令用来将AP加入到指定的VSD中。

undo wips virtual-security-domain命令用来删除已加入VSD的AP。

【命令】

wips virtual-security-domain vsd-name

undo wips virtual-security-domain

【缺省情况】

没有将AP加入到任何的VSD中。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 将AP加入到名为office的VSD中。

<Sysname> system-view

[Sysname] wips virtual-security-domain office

1.1.151  wlan nat-detect

wlan nat-detect enable命令用来开启私接代理检测功能。

undo wlan nat-detect命令用来恢复缺省情况。

【命令】

wlan nat-detect enable

undo wlan nat-detect

【缺省情况】

私接代理检测功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

设备检测到私接代理设备后会发送告警信息,使用display wlan nat-detect命令可以查看私接代理检测信息。

【举例】

# 在AP上开启私接代理检测功能。

<Sysname> system-view

[Sysname] wlan nat-detect enable

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!