06-WLAN IDS命令
本章节下载: 06-WLAN IDS命令 (209.83 KB)
1.1.3 countermeasures on-service interval
1.1.5 device attack mac-address
1.1.8 display wlan ids attack-list
1.1.9 display wlan ids detected
1.1.10 display wlan ids permitted
1.1.11 display wlan ids rogue-history
1.1.14 reset wlan ids detected
1.1.15 reset wlan ids rogue-history
1.2.2 display wlan ids history
1.2.3 display wlan ids statistics
1.2.5 reset wlan ids statistics
1.3.3 dynamic-blacklist enable
1.3.4 dynamic-blacklist lifetime
1.3.5 reset wlan dynamic-blacklist
1.3.6 static-blacklist mac-address
WLAN IDS视图
2:系统级
countermeasures enable命令用来使能对攻击列表里的rogue设备的采取反制功能。undo countermeasures enable命令用来恢复缺省情况。
缺省情况下,关闭反制rogue设备的功能。
# 使能反制rogue设备的功能。
[Sysname] wlan ids
[Sysname-wlan-ids] countermeasures enable
countermeasures mode { all | { rogue | adhoc | config }* }
WLAN IDS视图
2:系统级
all:对攻击列表里的所有rogue设备进行反制。
rogue:对rogue AP和客户端进行反制。
adhoc:对rogue adhoc设备进行反制。
config:对静态配置的rogue设备进行反制。
countermeasures mode命令用来设置反制rogue设备功能的模式。undo countermeasures mode命令用来恢复缺省情况。
# 设置反制模式为rogue。
[Sysname] wlan ids
[Sysname-wlan-ids] countermeasures mode rogue
countermeasures on-service interval interval [ max-device max-device ]
undo countermeasures on-service
WLAN IDS视图
2:系统级
interval:对rogue设备的反制时间间隔,取值范围为100~5000,缺省值为5000,单位毫秒。
max-device:AP可反制的最大设备数,取值范围为1~256,缺省值为256,256为当前反制列表的最大容量。
countermeasures on-service interval命令用来设置AP在提供无线服务的同时,对攻击列表里的rogue设备进行反制的反制时间间隔和反制的最大设备数。
undo countermeasures on-service用来恢复缺省情况。
缺省情况下,反制时间间隔为5000毫秒,反制的最大设备数为256。
# 设置反制时间间隔和AP最大反制设备数。
[Sysname] wlan ids
[Sysname-wlan-ids] countermeasures on-servce intervl 1000 max-device 5
device aging-duration duration
WLAN IDS视图
2:系统级
duration:入侵列表中表项的老化时间,取值范围为300~1800,单位为秒。
device aging-duration命令用来设置入侵列表中表项的老化时间。undo device aging-duration命令用来恢复缺省情况。
如果表项在老化时间内没有被设备检测到有入侵行为,那么入侵列表将删除此表项。如果被删除的是rogue表项,该表项将被添加到rogue的历史列表中去。
# 设置入侵列表中表项的老化时间为1200秒。
[Sysname] wlan ids
[Sysname-wlan-ids] device aging-duration 1200
device attack mac-address mac-address
undo device attack mac-address [ mac-address ]
WLAN IDS视图
2:系统级
mac-address:需要添加到攻击列表中的AP或客户端的MAC地址。
device attack mac-address命令用来配置添加到攻击列表的表项。undo device attack mac-address命令用来删除已添加到攻击列表的表项。
执行undo device attack mac-address命令时,如果没有携带mac-address参数,则删除所有表项。
攻击列表中最多能配置64条表项。
# 添加一条表项,MAC地址为aabb-cc00-0001。
[Sysname] wlan ids
[Sysname-wlan-ids] device attack mac-address aabb-cc00-0001
device permit { mac-address mac-address | ssid ssid | vendor oui }
undo device permit { mac-address [ mac-address ] | ssid [ ssid ] | vendor [ oui ] }
WLAN IDS视图
2:系统级
mac-address:将被添加到允许MAC地址列表中的AP或客户端的MAC地址,例如在RF扫描时被忽略的已知设备,最多可配置256条。
ssid:需要添加到允许SSID列表的SSID,为1~32个字符的字符串,区分大小写。最多可配置256条。
oui:需要添加到允许厂商列表的AP的OUI(Organizational Unique Identifier,全球统一标识符),OUI参数被定义为一个固定的16进制数字符串,该列表最多可配置64条。
device permit命令用来添加允许表项,包括允许MAC地址列表,允许SSID列表和允许厂商列表。undo device permit命令用来删除已配置的允许条目。
执行undo device permit命令时,如果没有携带mac-address、ssid、oui参数,则表示删除已有的允许MAC地址列表,允许SSID列表和允许厂商列表。
# 将MAC地址为aabb-cccc-dddd的AP或客户端加入friend列表。
[Sysname] wlan ids
[Sysname-wlan-ids] device permit mac-address aabb-cccc-dddd
AP模板视图/AP组视图
2:系统级
device-detection enable命令用来设置AP工作在Hybrid模式。undo device-detection enable命令用来恢复缺省情况。
缺省情况下,AP设置为Normal模式,仅提供WLAN服务。
如果AP已经工作在Monitor模式,该命令不可见。
· 如果AP工作在Hybrid模式,需要配置服务模板,这样AP在监测的同时提供无线服务。
· 在AP模板视图下执行该命令,则该配置只对指定的AP生效。
· 在AP组视图下执行该命令,则该配置对AP组内的所有AP生效。
# 设置AP工作在Hybrid模式。
[Sysname] wlan ap 2 model WA3628i-AGN
[Sysname-wlan-ap2] device-detection enable
# 配置AP组名为office内所有成员AP工作在Hybrid模式。
[Sysname] wlan ap-group office
[Sysname-ap-group-office] device-detection enable
2:系统级
config:显示静态配置的攻击列表的表项。
all:显示所有基于Rogue检测设备的动态预攻击列表。对任意的AP如果列表项超出256项,只有前256项将被发送到AP的攻击列表。
ap ap-name:以字符串的形式显示AP上所有基于Rogue检测设备的动态预攻击列表。对任意的AP如果列表项超出256项,只有前256项将被发送到AP的攻击列表。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ids attack-list命令用来查看WIDS的反制攻击列表。
# 显示所有AP的WIDS的反制攻击列表。
<Sysname> display wlan ids attack-list all
Total Number of Entries: 2
Flags: a = adhoc, w = ap, c = client
#AP = number of active APs detecting, Ch = channel number
Attack List - All
--------------------------------------------------------------------------
MAC Address type #AP Ch Last Detected Time SSID
--------------------------------------------------------------------------
0009-5b94-2fb0 --c 1 1 2012-05-16/14:16:05 -
001b-1109-a32b --c 1 5 2012-05-16/14:16:17 -
--------------------------------------------------------------------------
表1-1 display wlan ids attack-list all命令显示信息描述表
类型,包括Adhoc、AP和Client |
|
如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型 |
|
用来标识ESS的SSID |
# 显示指定AP的WIDS的反制攻击列表。
<Sysname> display wlan ids attack-list ap ap6
Total Number of Entries: 22
Flags: a = adhoc, w = ap, c = client
#AP = number of active APs detecting, Ch = channel number
Attack List - AP
--------------------------------------------------------------------------
MAC Address type #AP Ch Last Detected SSID
--------------------------------------------------------------------------
000b-6b8f-fc6a --c 1 11 2012-01-22/15:33:21 -
000f-e000-0052 -w- 1 10 2012-01-22/15:33:58 "xxxx-xxxx-xxxx"
000f-e200-0000 -w- 1 9 2012-01-22/15:33:59 "6103_kaifang"
000f-e200-0001 -w- 1 9 2012-01-22/15:33:59 "6103_youxian"
000f-e200-0002 -w- 1 9 2012-01-22/15:33:59 "6103_zhengshu"
000f-e200-0003 -w- 1 9 2012-01-22/15:33:59 "6103_zhengshu+WPA2"
000f-e200-00a2 --c 1 9 2012-01-22/15:33:29 -
000f-e25d-f4b0 -w- 1 9 2012-01-22/15:33:58 "6103_kaifang"
000f-e25d-f4b1 -w- 1 9 2012-01-22/15:33:59 "6103_youxian"
000f-e25d-f4b2 -w- 1 9 2012-01-22/15:33:59 "6103_zhengshu"
000f-e25d-f4b3 -w- 1 9 2012-01-22/15:33:59 "6103_zhengshu+WPA2"
000f-e26c-2250 -w- 1 11 2012-01-22/15:33:59 "bjwifidata"
000f-e26c-2251 -w- 1 11 2012-01-22/15:33:58 "bjwifivoice"
000f-e26c-2252 -w- 1 11 2012-01-22/15:33:58 "voice"
000f-e26c-28d0 -w- 1 11 2012-01-22/15:33:58 "wyg3000"
000f-e278-8020 -w- 1 6 2012-01-22/15:33:58 "test11"
000f-e278-8181 -w- 1 7 2012-01-22/15:33:59 "nsw-wep"
000f-e27b-3f80 -w- 1 6 2012-01-22/15:33:38 "ytj-a"
000f-e27b-4230 -w- 1 4 2012-01-22/15:33:58 "test2"
0011-9548-4007 --c 1 7 2012-01-22/15:33:49 -
0019-5bcf-cce3 --c 1 5 2012-01-22/15:33:25 -
001a-9228-2d3e --c 1 11 2012-01-22/15:33:53 -
--------------------------------------------------------------------------
display wlan ids attack-list ap ap1命令参数的解释请参见表1-1。
2:系统级
all:显示WLAN中检测到的所有设备,包括网络周围的Rogue设备和被忽略的设备。
rogue:显示WLAN中检测到的Rogue AP或客户端。
adhoc:显示WLAN中检测到的属于Adhoc网络的客户端。
ssid:显示WLAN中检测到的SSID。
mac-address mac-address:显示WLAN中检测到的指定MAC的AP或客户端的信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ids detected命令用来查看WLAN检测到的各种设备。
# 显示WLAN检测到的所有设备。
<Sysname> display wlan ids detected all
Total Number of Entries : 18
Flags: r = rogue, p = permit, a = adhoc, w = ap, b = wireless-bridge,
c = client
#AP = number of active APs detecting, Ch = channel number
Detected Device(s) List
--------------------------------------------------------------------------
MAC Address Vendor Type #AP Ch Last Detected SSID
--------------------------------------------------------------------------
000f-e281-1322 XEROX CORP... -p-w- 1 4 2012-05-16/10:49:15 "cyh-psk2"
000f-e281-1323 XEROX CORP... -p-w- 1 4 2012-05-16/10:49:05 "cyh-ccmp"
000f-e281-1460 XEROX CORP... -p-w- 1 6 2012-05-16/10:49:26 "fl"
000f-e281-1461 XEROX CORP... -p-w- 1 6 2012-05-16/10:49:26 "fg2"
0012-f0cc-4789 XEROX CORP... -p--c 1 1 2012-05-16/10:49:11 -
0013-f702-dbd2 XEROX CORP... -p--c 1 7 2012-05-16/10:46:58 -
0016-6f99-fbf6 XEROX CORP... -p--c 1 11 2012-05-16/10:49:02 -
0016-6f99-fc21 XEROX CORP... -p--c 1 6 2012-05-16/10:49:25 -
0017-9a00-7986 XEROX CORP... -p--c 1 8 2012-05-16/10:48:04 -
0017-9a00-79bd XEROX CORP... -p--c 1 7 2012-05-16/10:47:18 -
0017-9a00-7b47 XEROX CORP... r---c 1 10 2012-05-16/10:48:49 -
0017-9a00-7cb8 XEROX CORP... -p--c 1 1 2012-05-16/10:49:20 -
0019-5bcf-ccfd XEROX CORP... -p--c 1 11 2012-05-16/10:49:24 -
001b-111d-b46f XEROX CORP... -p--c 1 6 2012-05-16/10:48:56 -
001c-f017-41dc XEROX CORP... -p--c 1 6 2012-05-16/10:48:00 -
001c-f017-41dd XEROX CORP... -p--c 1 6 2012-05-16/10:49:19 -
001d-0f32-4305 XEROX CORP... -p--c 1 1 2012-05-16/10:48:33 -
0810-741a-1b4c XEROX CORP... -p--c 1 11 2012-05-16/10:49:04 -
--------------------------------------------------------------------------
表1-2 display wlan ids detected命令显示信息描述表
类型,包括Adhoc、AP、无线网桥和Client |
|
如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型 |
|
用来标识ESS的SSID |
# 显示检测到的rogue AP信息。
<Sysname> display wlan ids detected rogue ap
Total Number of Entries : 6
#AP = number of active APs detecting, Ch = channel number
Detected Rogue AP(s) List
----------------------------------------------------------------------
MAC Address Vendor #AP Ch Last Detected Time SSID
---------------------------------------------------------------------
000B-8580-738F Aires... 1 10 2012-03-16/12:44:11 "Diamond"
000F-E212-1230 Hangz... 1 5 2012-03-16/12:44:11 "1"
000F-E234-0200 Hangz... 1 11 2012-03-16/12:44:11 "VClear"
000F-E2AA-CC04 Hangz... 1 12 2012-03-16/12:44:11 "baba"
000F-E2BB-CCD0 Hangz... 1 1 2012-03-16/12:44:11 "Rogue AP Team B..."
000F-E2F2-2230 Hangz... 1 7 2012-03-16/12:44:11 "int-RT"
表1-3 display wlan ids detected rogue ap命令显示信息描述表
检测到的AP的MAC地址 |
|
检测到的AP的厂商名称 |
|
如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型 |
|
用来标识ESS的SSID |
# 显示检测到的rogue client的信息。
<Sysname> display wlan ids detected rogue client
Total Number of Entries : 1
#AP = number of active APs detecting, Ch = channel number
Detected Rogue Client(s) List
--------------------------------------------------------------------------
MAC Address Vendor #AP Ch Last Detected SSID
--------------------------------------------------------------------------
0017-9a00-7b47 XEROX CORP... 1 9 2012-05-16/10:49:30 -
--------------------------------------------------------------------------
表1-4 display wlan ids detected rogue client命令显示信息描述表
检测到的client端的MAC地址 |
|
检测到的client端厂商 |
|
如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型 |
|
用来标识ESS的SSID |
# 显示检测到的adhoc的信息。
<Sysname> display wlan ids detected adhoc
Total Number of Entries : 4
#AP = number of active APs, Ch = channel number
Detected Adhoc(s) List
----------------------------------------------------------------------
MAC Address Vendor #AP Ch Last Detected Time SSID
----------------------------------------------------------------------
000F-E212-1230 Hangz... 1 5 2012-03-16/12:44:11 -
000F-E234-0200 Hangz... 1 11 2012-03-16/12:44:11 -
000F-E2AA-CC04 Hangz... 1 12 2012-03-16/12:44:11 -
000F-E2BB-CCD0 Hangz... 1 1 2012-03-16/12:44:11 -...
----------------------------------------------------------------------
表1-5 display wlan ids detected adhoc命令显示信息描述表
检测到的adhoc的MAC地址 |
|
如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型 |
|
用来标识ESS的SSID |
# 显示检测到的SSID的信息。
<Sysname> display wlan ids detected ssid
Total Number of Entries : 7
#Device = number of devices using SSID
Detected SSID List
----------------------------------------------------------------------
SSID #Device Last Detected Time
----------------------------------------------------------------------
"Crywep" 1 2012-03-16/12:44:37
"H3COMTEST11" 1 2012-03-16/12:44:37
"autowep" 2 2012-03-16/12:44:37
"baba" 2 2012-03-16/12:44:37
"s1" 1 2012-03-16/12:44:37
"s2" 1 2012-03-16/12:44:37
"s4crypto" 1 2012-03-16/12:43:48
----------------------------------------------------------------------
表1-6 display wlan ids detected ssid命令显示信息描述表
用来标识ESS的SSID |
|
使用此SSID的设备的数量 |
|
使用SSID的表项最后一次被检测到的时间 |
# 显示检测到的某个设备的详细信息。
<Sysname> display wlan ids detected mac-address 000F-E2BB-CCD0
Detected Device Profile
----------------------------------------------------------------------
MAC Address : 000F-E2BB-CCD0
BSSID : 000F-E2BB-CCD0
Type : Rogue-AP
SSID : "H3C"
Vendor : New H3C Tech. Co., Ltd
Number of APs detected it : 2
Channel : 11
Maximum RSSI Detected : 47
Beacon Interval : 100
First Detected(yyyy-mm-dd/hh:mm:ss) : 2012-03-16/11:32:54
Reported AP 1:
MAC Address : 000F-E210-2000
AP Name : ap1
Radio Type : 11g
RSSI : 75
Last Detected(yyyy-mm-dd/hh:mm:ss): 2012-03-16/12:43:37
Reported AP 2:
MAC Address : 000F-E210-2001
AP Name : ap12
Radio Type : 11g
RSSI : 75
Last Detected(yyyy-mm-dd/hh:mm:ss): 2012-03-16/12:44:37
----------------------------------------------------------------------
表1-7 display wlan ids detected mac-address命令显示信息描述表
类型,包括Adhoc、AP、Client、friend、无线网桥和rogue |
|
用来标识ESS的SSID |
|
如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型。以本显示信息为例,该数值表示了有2个AP检测到了MAC地址为000F-E2BB-CCD0的设备,并认为此设备是Rogue设备 |
|
检测到的AP和adhoc表项的Beacon间隔 |
|
上一次检测AP的MAC地址 |
|
上一次检测的AP的名称 |
|
AP使用的射频 |
|
rogue AP上一次检测的时间 |
2:系统级
mac-address:设备的MAC地址。
ssid:SSID号。
vendor:包含AP在内各种设备的OUI。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ids permitted命令用来查看WLAN信任的mac-address、ssid或者vendor列表。
# 显示WLAN IDS允许的MAC地址列表。
<Sysname> display wlan ids permitted mac-address
Total Number of Entries: 4
Flags: a = adhoc, w = ap, c = client
Permitted Mac Address(s)
----------------------------------------------------------------------
MAC Address Detected Type
----------------------------------------------------------------------
0000-0000-0001 Yes a--
0000-1111-1111 Yes -b-
0000-1111-1234 No -
0000-1111-5634 Yes --c
----------------------------------------------------------------------
表1-8 display wlan ids permitted mac-address命令显示信息描述表
设备的MAC地址 |
|
该MAC地址是否被检测到 |
|
类型,包括Adhoc、AP、无线网桥和Client |
# 显示允许的SSID列表信息。
<Sysname> display wlan ids permitted ssid
Total Number of Entries: 5
Permitted SSID(s)
----------------------------------------------------------------------
SSID Detected
----------------------------------------------------------------------
"s1" Yes
"s2" Yes
"s3" Yes
"s4" Yes
"s5" No
----------------------------------------------------------------------
表1-9 display wlan ids permitted ssid命令显示信息描述表
用来标识ESS的SSID |
|
# 显示允许的OUI列表信息。
<Sysname> display wlan ids permitted vendor
Total Number of Entries: 3
Permitted Vendor(s)
--------------------------------------------------------------------------------
OUI Vendor Name
--------------------------------------------------------------------------------
New H3C Tech. Co., Ltd.Netgear Inc.Cisco Systems, Inc.
--------------------------------------------------------------------------------
表1-10 display wlan ids permitted vendor命令显示信息描述表
包含AP在内各种设备的OUI |
|
指定设备OUI的生产厂商 |
display wlan ids rogue-history [ | { begin | exclude | include } regular-expression ]
2:系统级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ids rogue-history命令用来显示所有已经因超时而被从入侵列表中删除的rogue设备。
# 显示所有已经因超时而被从入侵列表中删除的rogue设备。
<Sysname> display wlan ids rogue-history
Total Number of Entries: 6
Flags: a = adhoc, w = ap, b = wireless-bridge, c = client
Ch = channel number
Rogue History List
----------------------------------------------------------------------
MAC Address Vendor Type Ch Last Detected SSID
----------------------------------------------------------------------
00E0-9855-1D9A AboCo... -w- 11 2012-03-16/11:38:22 "ATNet"
000F-E2CC-0005 Hangz... -b- 4 2012-03-16/11:37:06 -
000F-E2CC-0004 Hangz... --c 4 2012-03-16/11:36:20 -
000F-E2CC-DD00 Hangz... -w- 2 2012-03-16/11:36:17 "AKHIL"
000F-E2CC-0003 Hangz... --c 4 2012-03-16/11:35:34 -
0013-4651-23E7 D-Lin... -w- 6 2012-03-16/11:35:10 "home"
----------------------------------------------------------------------
表1-11 display wlan ids rogue-history命令显示信息描述表
设备的MAC地址 |
|
类型,包括Adhoc、AP、无线网桥和Client |
|
用来标识ESS的SSID |
2:系统级
wlan ids命令用来进入WLAN IDS视图。
# 进入WLAN IDS视图。
[Sysname] wlan ids
[Sysname-wlan-ids]
AP模板视图/AP组视图
2:系统级
work-mode monitor命令用来设置AP的工作模式为Monitor模式。undo work-mode命令用来恢复缺省情况。
缺省情况下,AP设置为Normal模式,仅提供WLAN服务。
· 在AP模板视图下执行该命令,则该配置只对指定的AP生效。
· 在AP组视图下执行该命令,则该配置对AP组内的所有AP生效。
· 如果AP的工作模式为Monitor模式,那么此时AP仅做监测AP,不能提供无线服务,不需要配置服务模板。
· AC设备支持工作在Monitor模式的AP的数量为AC设备支持的最大AP数量,在AC上所有工作在Monitor模式的AP数量之和不能超过支持的上限。假设某AC上最多可配置32个Monitor模式的AP,已经配置有30个AP工作在Monitor模式,某个AP组中有5个AP成员,在该AP组视图下执行work-mode monitor命令,那么以APID排序,只有排列在前2位的AP成员可以工作在Monitor模式。
· 当AP从Hybrid模式切换成Monitor模式时,需要首先执行undo device-detection enable 命令。
# 配置AP的工作模式为Monitor模式。
[Sysname] wlan ap ap2 model WA3628i-AGN
[Sysname-wlan-ap-ap2] work-mode monitor
# 配置AP组名为office内所有成员AP的工作模式为Monitor模式。
[Sysname] wlan ap-group office
[Sysname-ap-group-office] work-mode monitor
reset wlan ids detected { all | rogue { ap | client } | adhoc | ssid | mac-address mac-address }
2:系统级
all:WLAN中检测到的所有设备。
rogue:WLAN中检测到的所有rogue设备(AP或者Clients)。
adhoc:WLAN中检测到的所有adhoc。
ssid:WLAN中检测到的所有ssid。
mac-address mac-address:指定设备的MAC地址(AP或者Client)。
reset wlan ids detected命令用于清除WLAN中检测到的设备列表。
# 清除WLAN中检测到的所有设备。
<Sysname> reset wlan ids detected all
2:系统级
reset wlan ids rogue-history命令用来清除rogue历史列表。
# 清除rogue历史列表。
<Sysname> reset wlan ids rogue-history
attack-detection enable { all | flood | spoof | weak-iv }
WLAN IDS视图
2:系统级
all:使能所有攻击检测功能。
flood:使能泛洪攻击检测功能。
weak-iv:使能weak-iv攻击检测功能。
spoof:使能spoof攻击检测功能。
attack-detection enable命令用来使能攻击检测功能。undo attack-detection enable命令用来恢复缺省情况。
# 使能spoof攻击检测功能。
[Sysname] wlan ids
[Sysname-wlan-ids] attack-detection enable spoof
display wlan ids history [ | { begin | exclude | include } regular-expression ]
2:系统级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ids history命令用来显示WLAN系统的攻击检测历史信息,最多可以显示512条历史信息。
# 显示历史攻击信息。
<Sysname> display wlan ids history
Total Number of Entries: 5
Flags:
act = Action Frame asr = Association Request
aur = Authentication Request daf = Deauthentication Frame
dar = Disassociation Request ndf = Null Data Frame
pbr = Probe Request rar = Reassociation Request
saf = Spoofed Disassociation Frame
sdf = Spoofed Deauthentication Frame
wiv = Weak IV Detected
AT - Attack Type, Ch - Channel Number, AR - Average RSSI
WIDS History Table
----------------------------------------------------------------------
MAC Address AT Ch AR Detected Time AP
----------------------------------------------------------------------
0027-E699-CA71 asr 8 44 2010-06-12/19:47:54 ap12
0015-E9A4-D7F4 wiv 8 45 2010-06-12/19:45:28 ap48
0027-E699-CA71 asr 8 20 2010-06-12/19:18:17 ap12
003d-B5A6-539F pbr 8 43 2010-06-12/19:10:48 ap56
0015-E9A4-D7F4 wiv 8 50 2010-06-12/19:01:28 ap48
----------------------------------------------------------------------
表1-12 display wlan ids history命令显示信息描述表
在欺骗攻击模式下,该阈值提供用于欺骗攻击的BSSID;在其它攻击模式下,该阈值用于提供发起攻击的设备的MAC地址 |
|
检测到攻击的AP名称 |
display wlan ids statistics [ | { begin | exclude | include } regular-expression ]
2:系统级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan ids statistics命令用来显示检测到的攻击数。
# 显示wlan ids的统计信息。
<Sysname> display wlan ids statistics
Current attack tracking since: 2010-06-21/12:46:33
----------------------------------------------------------------------
Type Current Total
----------------------------------------------------------------------
Probe Request Frame Flood Attack 2 7
Authentication Request Frame Flood Attack 0 0
Deauthentication Frame Flood Attack 0 0
Association Request Frame Flood Attack 1 1
Disassociation Request Frame Flood Attack 4 8
Reassociation Request Frame Flood Attack 0 0
Action Frame Flood Attack 0 0
Null Data Frame Flood Attack 0 0
Weak IVs Detected 12 21
Spoofed Deauthentication Frame Attack 0 0
Spoofed Disassociation Frame Attack 0 2
----------------------------------------------------------------------
表1-13 display wlan ids statistics命令显示信息描述表.
标识当前攻击的跟踪时间,该字段提供了从当前攻击跟踪时间(在显示信息中“Current attack tracking since:”定义的时间)起的攻击检测数。当前攻击的跟踪时间在系统启动时开始计算,后续以小时为单位刷新 |
|
弱IV数 |
|
2:系统级
reset wlan ids history命令用来重置WLAN系统攻击检测的历史信息。在执行了这条命令后所有关于攻击的历史信息将被清除,历史信息列表将被清空。
# 重置wlan ids历史信息。
<Sysname> reset wlan ids history
2:系统级
reset wlan ids statistics命令用来重置WLAN系统攻击检测的统计信息。该命令将重置包括current和total字段的所有在WIDS统计列表内的攻击类型。
# 重置wlan ids统计信息。
<Sysname> reset wlan ids statistics
display wlan blacklist { static | dynamic } [ | { begin | exclude | include } regular-expression ]
2:系统级
static:只显示静态配置的黑名单列表。
dynamic:显示所有动态配置的黑名单列表。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan blacklist命令用来显示静态或动态配置的黑名单列表。
# 显示静态配置的黑名单列表。
<Sysname> display wlan blacklist static
Total Number of Entries: 3
Static Blacklist
----------------------------------------------------------------------
MAC-Address
----------------------------------------------------------------------
0014-6c8a-43ff
0016-6F9D-61F3
0019-5B79-F04A
----------------------------------------------------------------------
表1-14 display wlan blacklist static命令显示信息描述表
# 显示设备检测到的动态黑名单列表。
<Sysname> display wlan blacklist dynamic
Total Number of Entries: 3
Dynamic Blacklist
-------------------------------------------------------------------------------
MAC-Address APID Lifetime(s) Blacklisted For (hh:mm:ss) Reason
-------------------------------------------------------------------------------
000f-e2cc-0001 1 60 00:02:11 Assoc-Flood
000f-e2cc-0002 2 60 00:01:17 Deauth-Flood
000f-e2cc-0003 3 60 00:02:08 Auth-Flood
表1-15 display wlan blacklist dynamic命令显示信息描述表
display wlan whitelist [ | { begin | exclude | include } regular-expression ]
2:系统级
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display wlan whitelist命令用来显示白名单列表。
# 显示白名单列表信息。
<Sysname> display wlan whitelist
Total Number of Entries: 3
Whitelist
----------------------------------------------------------------------
MAC-Address
----------------------------------------------------------------------
000e-35b2-000e
0019-5b8e-b709
001c-f0bf-9c92
----------------------------------------------------------------------
表1-16 display wlan whitelist命令显示信息描述表
WLAN IDS视图
2:系统级
enable:使能动态黑名单功能。
dynamic-blacklist enable命令用来开启动态黑名单功能。undo dynamic-blacklist enable命令用来关闭动态黑名单功能。
当WLAN设备检测到来自某一设备的泛洪攻击时,可以选择将该设备加入到动态黑名单中,拒绝接收任何来自于该设备的报文,直至该动态黑名单表项老化为止。
不同型号的设备支持的最大动态黑名名单数量不同,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
# 开启动态黑名单功能。
[Sysname] wlan ids
[Sysname-wlan-ids] dynamic-blacklist enable
dynamic-blacklist lifetime lifetime
undo dynamic-blacklist lifetime
WLAN IDS视图
2:系统级
lifetime:动态黑名单中的对应列表的生存时间,单位为秒,取值范围为60~3600。
dynamic-blacklist lifetime命令用来设置动态黑名单中的对应列表的生存时间。undo dynamic-blacklist lifetime命令用来恢复缺省情况。
如果在老化时间超时后,该设备没有再次被检测到,则从列表中清除该表项。
# 定义动态黑名单的生存时间为1200秒。
[Sysname] wlan ids
[Sysname-wlan-ids] dynamic-blacklist lifetime 1200
reset wlan dynamic-blacklist { mac-address mac-address | all }
2:系统级
mac-address:将要从动态黑名单中删除的客户端的MAC地址。
all:删除动态黑名单中的所有表项。
reset wlan dynamic-blacklist命令用来清除动态黑名单中指定的MAC地址或者所有动态客户端。
# 从动态黑名单中清除MAC地址为001d-0f31-87d的客户端。
<Sysname> reset wlan dynamic-blacklist mac-address 001d-0f31-87d
static-blacklist mac-address mac-address
undo static-blacklist { mac-address mac-address | all }
WLAN IDS视图
2:系统级
mac-address:将要从静态黑名单中添加或删除的客户端的MAC地址。
all:删除静态黑名单中的所有表项。
static-blacklist mac-address命令用来添加指定的MAC地址到静态黑名单。undo static-blacklist命令用来删除静态黑名单中指定MAC地址的或者所有的客户端。
不同型号的设备支持的最大静态黑名单数量不同,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
# 添加MAC地址为0014-6c8a-43ff的客户端到静态黑名单。
[Sysname] wlan ids
[Sysname-wlan-ids] static-blacklist mac-address 0014-6c8a-43ff
whitelist mac-address mac-address
undo whitelist { mac-address mac-address | all }
WLAN IDS视图
2:系统级
mac-address:将要从白名单中添加或删除的客户端的MAC地址。
all:删除白名单中的所有表项。
whitelist mac-address命令用来添加指定的MAC地址到白名单。undo whitelist命令用来删除白名单中指定MAC地址的或者所有的客户端,也就是需要与AP相关联的客户端。不同型号的设备支持的最多可以输入静态白名单数不同,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
# 添加MAC地址为001c-f0bf-9c92的客户端到白名单。
[Sysname] wlan ids
[Sysname-wlan-ids] whitelist mac-address 001c-f0bf-9c92
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!