选择区域语言: EN CN HK

02-WLAN命令

06-WIPS命令

本章节下载  (462.21 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WiNet_WX/WX2500H-WiNet/Command/Command_Manual/H3C_WiNet_CR(R5223)-5W100/02/201807/1094283_30005_0.htm

06-WIPS命令

目  录

1 WIPS

1.1 WIPS配置命令

1.1.1 ap-channel-change

1.1.2 ap-classification rule

1.1.3 ap-flood

1.1.4 ap-impersonation

1.1.5 apply ap-classification rule

1.1.6 apply classification policy

1.1.7 apply countermeasure policy

1.1.8 apply detect policy

1.1.9 apply signature policy

1.1.10 apply signature rule

1.1.11 ap-rate-limit

1.1.12 ap-spoofing

1.1.13 ap-timer

1.1.14 association-table-overflow

1.1.15 authentication

1.1.16 block mac-address

1.1.17 classification policy

1.1.18 client-rate-limit

1.1.19 client-online

1.1.20 client-spoofing

1.1.21 client-timer

1.1.22 countermeasure adhoc

1.1.23 countermeasure attack all

1.1.24 countermeasure attack deauth-broadcast

1.1.25 countermeasure attack disassoc-broadcast

1.1.26 countermeasure attack honeypot-ap

1.1.27 countermeasure attack hotspot-attack

1.1.28 countermeasure attack ht-40-mhz-intolerance

1.1.29 countermeasure attack malformed-packet

1.1.30 countermeasure attack man-in-the-middle

1.1.31 countermeasure attack omerta

1.1.32 countermeasure attack power-save

1.1.33 countermeasure attack soft-ap

1.1.34 countermeasure attack unencrypted-trust-client

1.1.35 countermeasure attack weak-iv

1.1.36 countermeasure attack windows-bridge

1.1.37 countermeasure external-ap

1.1.38 countermeasure mac-address

1.1.39 countermeasure misassociation-client

1.1.40 countermeasure misconfigured-ap

1.1.41 countermeasure policy

1.1.42 countermeasure potential-authorized-ap

1.1.43 countermeasure potential-external-ap

1.1.44 countermeasure potential-rogue-ap

1.1.45 countermeasure rogue-ap

1.1.46 countermeasure unauthorized-client

1.1.47 countermeasure uncategorized-ap

1.1.48 countermeasure uncategorized-client

1.1.49 deauthentication-broadcast

1.1.50 detect dissociate-client enable

1.1.51 detect policy

1.1.52 detect signature

1.1.53 disassociation-broadcast

1.1.54 discovered-ap

1.1.55 display wips sensor

1.1.56 display wips statistics

1.1.57 display wips virtual-security-domain countermeasure record

1.1.58 display wips virtual-security-domain device

1.1.59 display wlan nat-detect

1.1.60 flood association-request

1.1.61 flood authentication

1.1.62 flood beacon

1.1.63 flood block-ack

1.1.64 flood cts

1.1.65 flood deauthentication

1.1.66 flood disassociation

1.1.67 flood eapol-logoff

1.1.68 flood eapol-start

1.1.69 flood eap-failure

1.1.70 flood eap-success

1.1.71 flood null-data

1.1.72 flood probe-request

1.1.73 flood reassociation-request

1.1.74 flood rts

1.1.75 frame-type

1.1.76 honeypot-ap

1.1.77 hotspot-attack

1.1.78 ht-40mhz-intolerance

1.1.79 ht-greenfield

1.1.80 ignorelist

1.1.81 import hotspot

1.1.82 import oui

1.1.83 invalid-oui-classify illegal

1.1.84 mac-address

1.1.85 malformed duplicated-ie

1.1.86 malformed fata-jack

1.1.87 malformed illegal-ibss-ess

1.1.88 malformed invalid-address-combination

1.1.89 malformed invalid-assoc-req

1.1.90 malformed invalid-auth

1.1.91 malformed invalid-deauth-code

1.1.92 malformed invalid-disassoc-code

1.1.93 malformed invalid-ht-ie

1.1.94 malformed invalid-ie-length

1.1.95 malformed invalid-pkt-length

1.1.96 malformed large-duration

1.1.97 malformed null-probe-resp

1.1.98 malformed overflow-eapol-key

1.1.99 malformed overflow-ssid

1.1.100 malformed redundant-ie

1.1.101 man-in-the-middle

1.1.102 manual-classify mac-address

1.1.103 omerta

1.1.104 oui

1.1.105 pattern

1.1.106 permit-channel

1.1.107 prohibited-channel

1.1.108 power-save

1.1.109 report-interval

1.1.110 reset wips statistics

1.1.111 reset wips virtual-security-domain

1.1.112 reset wips virtual-security-domain countermeasure record

1.1.113 reset wlan nat-detect

1.1.114 rssi

1.1.115 rssi-change-threshold

1.1.116 rssi-threshold

1.1.117 security

1.1.118 select sensor all

1.1.119 seq-number

1.1.120 signature policy

1.1.121 signature rule

1.1.122 soft-ap

1.1.123 ssid (AP分类规则视图)

1.1.124 ssid (Signature规则视图)

1.1.125 ssid-length

1.1.126 trust mac-address

1.1.127 trust oui

1.1.128 trust ssid

1.1.129 unencrypted-authorized-ap

1.1.130 unencrypted-trust-client

1.1.131 up-duration

1.1.132 virtual-security-domain

1.1.133 weak-iv

1.1.134 windows-bridge

1.1.135 wireless-bridge

1.1.136 wips

1.1.137 wips enable

1.1.138 wips virtual-security-domain

1.1.139 wlan nat-detect

 


1 WIPS

1.1  WIPS配置命令

1.1.1  ap-channel-change

ap-channel-change命令用来开启AP信道变化检测功能。

undo ap-channel-change命令用来关闭AP信道变化检测功能。

【命令】

ap-channel-change [ quiet quiet-value ]

undo ap-channel-change

【缺省情况】

不进行AP信道变化检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到AP信道变化,设备也不会发送告警日志。

【举例】

# 开启AP信道变化的检测功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-channel-change quiet 5

1.1.2  ap-classification rule

ap-classification rule命令用来创建AP分类规则,并进入AP分类规则视图。如果指定ID的AP分类规则已经存在,则直接进入AP分类规则视图。

undo ap-classification rule命令用来删除指定的AP分类规则。

【命令】

ap-classification rule rule-id

undo ap-classification rule rule-id

【缺省情况】

没有创建AP分类规则。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

rule-id:AP分类规则的ID,取值范围为1~65535。

【使用指导】

当指定ID的AP分类规则没有创建时,创建并进入AP分类规则视图;如果指定ID的AP分类规则已经创建,则直接进入AP分类规则视图。

【举例】

# 创建并进入ID为1的AP分类规则视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

1.1.3  ap-flood

ap-flood命令用来开启AP泛洪攻击检测功能。

undo ap-flood命令用来关闭AP泛洪攻击检测功能。

【命令】

ap-flood [ apnum apnum-value | exceed exceed-value | quiet quiet-value ] *

undo ap-flood

【缺省情况】

不进行AP泛洪攻击检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

apnum apnum-value:无线网络中AP设备的基准值,取值范围为10~200,缺省值为80。

exceed exceed-value:允许超过基准值的最大个数,取值范围为10~200,缺省值为80。当检测到AP设备数量超过基准值与允许超过基准值的最大个数之和,即判定设备受到AP 泛洪攻击,设备会发送告警日志。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到AP泛洪攻击,设备也不会发送告警日志。

【举例】

# 开启AP泛洪攻击检测功能,AP设备的基准值为50,允许超过基准值的最大个数为50,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-flood apnum 50 exceed 50 quiet 100

1.1.4  ap-impersonation

ap-impersonation命令用来开启AP扮演者攻击检测功能。

undo ap-impersonation命令用来恢复缺省情况。

【命令】

ap-impersonation [ quiet quiet-value ]

undo ap-impersonation

【缺省情况】

AP扮演者攻击检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的AP扮演者攻击达到告警阈值,也不会发送告警日志。

【举例】

# 在名称为home的分类策略中开启AP扮演者攻击检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-impersonation quiet 360

1.1.5  apply ap-classification rule

apply ap-classification rule命令用来在分类策略中应用AP分类规则。

undo apply ap-classification rule命令用来恢复缺省情况。

【命令】

apply ap-classification rule rule-id { authorized-ap | { { external-ap | misconfigured-ap | rogue-ap } [ severity-level level ] } }

undo apply ap-classification rule rule-id

【缺省情况】

分类策略中没有应用AP分类规则。

【视图】

分类视图

【缺省用户角色】

network-admin

【参数】

rule-id:AP分类规则的ID,取值范围为1~65535。

authorized-ap:通过合法认证的AP。

external-ap:外部的AP。

misconfigured-ap:错误配置的AP。

rogue-ap:非法的AP。

level:应用AP分类规则后设置的AP危险级别,取值范围为1~100,缺省值为50。

【举例】

# 将ID为1的AP分类规则应用到名称为home的分类策略内,并将AP分类为非法的AP,危险级别定义为80。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] apply ap-classification rule 1 rogue-ap severity-level 80

【相关命令】

·     ap-classification rule

1.1.6  apply classification policy

apply classification policy命令用来在VSD(Virtual Security Domain,虚拟安全域)上应用分类策略。

undo apply classification policy命令用来取消应用的分类策略。

【命令】

apply classification policy policy-name

undo apply classification policy policy-name

【缺省情况】

没有在VSD上应用分类策略。

【视图】

VSD视图

【缺省用户角色】

network-admin

【参数】

policy-name:分类策略名称,为1~63个字符的字符串,区分大小写。

【举例】

# 在VSD上应用分类策略policy1。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain home

[Sysname-wips-vsd-home] apply classification policy policy1

1.1.7  apply countermeasure policy

apply countermeasure policy命令用来在VSD上应用反制策略。

undo apply countermeasure policy命令用来取消应用的反制策略。

【命令】

apply countermeasure policy policy-name

undo apply countermeasure policy policy-name

【缺省情况】

没有在VSD上应用反制策略。

【视图】

VSD视图

【缺省用户角色】

network-admin

【参数】

policy-name:反制策略名称,为1~63个字符的字符串,区分大小写。

【举例】

# 在VSD上应用反制策略policy2。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain home

[Sysname-wips-vsd-home] apply countermeasure policy policy2

1.1.8  apply detect policy

apply detect policy命令用来在VSD上应用攻击检测策略。

undo apply detect policy命令用来取消应用的攻击检测策略。

【命令】

apply detect policy policy-name

undo apply detect policy policy-name

【缺省情况】

没有在VSD上应用攻击检测策略。

【视图】

VSD视图

【缺省用户角色】

network-admin

【参数】

policy-name:攻击检测策略名称,为1~63个字符的字符串,区分大小写。

【举例】

# 在VSD上应用攻击检测策略policy2。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain home

[Sysname-wips-vsd-home] apply detect policy policy2

1.1.9  apply signature policy

apply signature policy命令用来在VSD内应用Signature策略。

undo apply signature policy命令用来恢复缺省情况。

【命令】

apply signature policy policy-name

undo apply signature policy policy-name

【缺省情况】

VSD内没有应用Signature策略。

【视图】

VSD视图

【缺省用户角色】

network-admin

【参数】

policy-name:Signature策略的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 将名为policy1的Signature策略应用到名为home的VSD内。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain home

[Sysname-wips-vsd-home] apply signature policy policy1

1.1.10  apply signature rule

apply signature rule命令用来在Signature策略中应用Signature规则。

undo apply signature rule命令用来恢复缺省配置。

【命令】

apply signature rule rule-id

undo apply signature rule rule-id

【缺省情况】

Signature策略中没有应用Signature规则。

【视图】

Signature策略视图

【缺省用户角色】

network-admin

【参数】

rule-id:规则的规则编号值,取值范围为1~65535。

【举例】

# 配置Signature策略office中应用ID为1的Signature规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature policy office

[Sysname-wips-sig-office] apply signature rule 1

1.1.11  ap-rate-limit

ap-rate-limit命令用来控制AP表项学习的速率。

undo ap-rate-limit命令用来恢复缺省情况。

【命令】

ap-rate-limit [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo ap-rate-limit

【缺省情况】

学习AP表项的统计周期为60秒,发送告警信息后的静默时间为1200秒,AP表项的阈值为64。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:学习AP表项的统计周期,取值范围为1~3600,单位为秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为1200~3600,单位为秒。在静默期间,设备停止学习新的AP表项,也不会发送告警信息。

threshold threshold-value:AP表项的阈值,取值范围为1~4096。当设备在一个统计周期内学习AP表项达到触发阈值,设备会发送告警信息。

【举例】

# 配置控制AP表项学习的速率,学习AP表项的统计周期为60秒,发送告警信息后的静默时间为1600秒,AP表项的阈值为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-rate-limit interval 60 quiet 1600 threshold 100

1.1.12  ap-spoofing

ap-spoofing命令用来开启AP地址仿冒检测功能。

undo ap-spoofing命令用来关闭AP地址仿冒检测功能。

【命令】

ap-spoofing [ quiet quiet-value ]

undo ap-spoofing

【缺省情况】

AP地址仿冒检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备再次检测到AP地址仿冒也不会发送告警信息。

【使用指导】

开启本功能后,如果设备检测到AP地址仿冒,则会发送告警信息。

【举例】

# 开启AP地址仿冒检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-spoofing quiet 360

1.1.13  ap-timer

ap-timer命令用来配置AP表项的时间参数。

undo ap-timer命令用来恢复缺省情况。

【命令】

ap-timer [ inactive inactive-value aging aging-value ]

undo ap-timer

【缺省情况】

AP表项的非活跃时间为300秒,老化时间为600秒。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

inactive inactive-value:非活跃时间,取值范围为60~1200,单位为秒。

aging aging-value:老化时间,取值范围为120~86400,单位为秒。

【使用指导】

非活跃时间为从创建AP表项到其状态变为Inactive的时间;老化时间为从创建AP表项到删除AP表项的时间。

配置的老化时间必须大于非活跃时间。

【举例】

# 配置AP表项的时间参数,非活跃时间为120秒,老化时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ap-timer inactive 120 aging 360

1.1.14  association-table-overflow

association-table-overflow命令用来开启关联/重关联DoS攻击检测功能。

undo association-table-overflow命令用来关闭关联/重关联DoS攻击检测功能。

【命令】

association-table-overflow [ quiet quiet-value ]

undo association-table-overflow

【缺省情况】

不进行关联/重关联DoS攻击检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到关联/重关联DoS攻击,设备也不会发送告警日志。

【举例】

# 配置开启关联/重关联DoS攻击检测功能,静默时间为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] association-table-overflow quiet 100

1.1.15  authentication

authentication命令用来在AP分类规则中对AP使用无线服务的安全认证方式进行匹配。

undo authentication命令用来恢复缺省情况。

【命令】

authentication { equal | include } { 802.1x | none | other | psk }

undo authentication

【缺省情况】

没有在AP分类规则中对AP使用无线服务的安全认证方式进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

equal:匹配项与条件相同。

include:匹配项包含条件。

802.1x:认证方式为802.1X认证。

none:无认证。

other:认证方式为除802.1X和PSK之外的其他认证。

psk:认证方式为PSK认证。

【举例】

# 在ID为1的AP分类规则中对采用PSK认证方式接入无线网络的AP设备进行匹配。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] authentication equal psk

1.1.16  block mac-address

block mac-address命令用来将指定的MAC地址添加到静态禁用设备列表中。

undo block mac-address命令用来删除静态禁用设备列表中的MAC地址。

【命令】

block mac-address mac-address

undo block mac-address { mac-address | all }

【缺省情况】

静态禁用设备列表中不存在MAC地址。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

mac-address:AP或客户端的MAC地址,格式为H-H-H。

all:所有MAC地址。

【举例】

# 将MAC地址78AC-C0AF-944F添加到静态禁用设备列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] block mac-address 78AC-C0AF-944F

1.1.17  classification policy

classification policy命令用来创建分类策略,并进入分类策略视图。

undo classification policy命令用来删除分类策略。

【命令】

classification policy policy-name

undo classification policy policy-name

【缺省情况】

没有创建分类策略。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

policy-name:分类策略名称,为1~63个字符的字符串,区分大小写。

【举例】

# 创建名称为home的分类策略,并进入分类策略视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home]

1.1.18  client-rate-limit

client-rate-limit命令用来控制客户端表项学习的速率。

undo client -rate-limit命令用来恢复缺省情况。

【命令】

client-rate-limit [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo client-rate-limit

【缺省情况】

学习客户端表项的统计周期为60秒,发送告警信息后的静默时间为1200秒,客户端表项的阈值为512。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:学习客户端表项的统计周期,取值范围为1~3600,单位为秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为1200~3600,单位为秒。在静默期间,设备停止学习新的客户端表项,也不会发送告警信息。

threshold threshold-value:客户端表项的阈值,取值范围为1~4096。当设备在一个统计周期内学习客户端表项达到触发阈值,设备会发送告警信息。

【举例】

# 配置控制客户端表项学习的速率,学习客户端表项的统计周期为80秒,发送告警信息后的静默时间为1600秒,客户端表项的阈值为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] client-rate-limit interval 80 threshold 100 quiet 1600

1.1.19  client-online

client-online命令用来在AP分类规则中对AP上已关联的无线客户端数量进行匹配。

undo client-online命令用来恢复缺省情况。

【命令】

client-online value1 [ to value2 ]

undo client-online

【缺省情况】

没有在AP分类规则中对AP上已关联的无线客户端数量进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

value1:指定与AP关联的无线客户端数量。value1的取值范围为0~128。

to value2:与value1共同作用,指定与AP关联的无线客户端数量范围,value2的取值范围为0~128且必须大于或等于value1

【举例】

# 在ID为1的AP分类规则中匹配关联的无线客户端的数量在20~40之间的AP。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] client-online 20 to 40

1.1.20  client-spoofing

client-spoofing命令用来开启客户端地址仿冒检测功能。

undo client-spoofing命令用来关闭客户端地址仿冒检测功能。

【命令】

client-spoofing [ quiet quiet-value ]

undo client-spoofing

【缺省情况】

客户端地址仿冒检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备再次检测到客户端地址仿冒也不会发送告警信息。

【使用指导】

设备检测到客户端地址仿冒后会发送告警信息。

【举例】

# 开启客户端地址仿冒检测功能,配置发送告警信息后的静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] client-spoofing quiet 360

1.1.21  client-timer

client-timer命令用来配置客户端表项的时间参数。

undo client-timer命令用来恢复缺省情况。

【命令】

client-timer inactive inactive-value aging aging-value

undo client-timer

【缺省情况】

客户端表项的非活跃时间为300秒,老化时间为600秒。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

inactive inactive-value:从创建客户端表项到非活跃状态的时间,即非活跃时间,取值范围为60~1200,单位为秒。

aging aging-value:从创建客户端表项到删除客户端表项的时间,即老化时间,取值范围为120~86400,单位为秒。

【使用指导】

配置的老化时间必须大于非活跃时间。

【举例】

# 配置客户端表项的时间参数,非活跃时间为120秒,老化时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] client-timer inactive 120 aging 360

1.1.22  countermeasure adhoc

countermeasure adhoc命令用来配置对ad hoc设备进行反制。

undo countermeasure adhoc命令用来恢复缺省情况。

【命令】

countermeasure adhoc

undo countermeasure adhoc

【缺省情况】

未配置对ad hoc设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对ad hoc设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure adhoc

1.1.23  countermeasure attack all

countermeasure attack all命令用来配置对所有发起攻击的设备进行反制。

undo countermeasure attack all命令用来恢复缺省情况。

【命令】

countermeasure attack all

undo countermeasure attack all

【缺省情况】

未配置对所有发起攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对所有发起攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack all

1.1.24  countermeasure attack deauth-broadcast

countermeasure attack deauth-broadcast命令用来配置对发起广播解除认证帧攻击的设备进行反制。

undo countermeasure deauth-broadcast命令用来恢复缺省情况。

【命令】

countermeasure attack deauth-broadcast

undo countermeasure attack deauth-broadcast

【缺省情况】

未配置对发起广播解除认证帧攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起广播解除认证帧攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack deauth-broadcast

1.1.25  countermeasure attack disassoc-broadcast

countermeasure attack disassoc-broadcast命令用来配置对发起广播解除关联帧攻击的设备进行反制。

undo countermeasure attack disassoc-broadcast命令用来恢复缺省情况。

【命令】

countermeasure attack disassoc-broadcast

undo countermeasure attack disassoc-broadcast

【缺省情况】

未配置对发起广播解除关联帧攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起广播解除关联帧攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack disassoc-broadcast

1.1.26  countermeasure attack honeypot-ap

countermeasure attack honeypot-ap命令用来配置对发起蜜罐AP攻击的设备进行反制。

undo countermeasure attack honeypot-ap命令用来恢复缺省情况。

【命令】

countermeasure attack honeypot-ap

undo countermeasure attack honeypot-ap

【缺省情况】

未配置对发起蜜罐AP攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起蜜罐AP攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack honeypot-ap

1.1.27  countermeasure attack hotspot-attack

countermeasure attack hotspot-attack命令用来配置对发起热点攻击的设备进行反制。

undo countermeasure attack hotspot-attack命令用来恢复缺省情况。

【命令】

countermeasure attack hotspot-attack

undo countermeasure attack hotspot-attack

【缺省情况】

未配置对发起热点攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起热点攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack hotspot-attack

1.1.28  countermeasure attack ht-40-mhz-intolerance

countermeasure attack ht-40-mhz-intolerance命令用来配置对禁用802.11n 40MHz模式的设备进行反制。

undo countermeasure attack ht-40-mhz-intolerance命令用来恢复缺省情况。

【命令】

countermeasure attack ht-40-mhz-intolerance

undo countermeasure attack ht-40-mhz-intolerance

【缺省情况】

未配置对禁用802.11n 40MHz模式的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对禁用802.11n 40MHz模式的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack ht-40-mhz-intolerance

1.1.29  countermeasure attack malformed-packet

countermeasure attack malformed-packet命令用来配置对发起畸形报文攻击的设备进行反制。

undo countermeasure attack malformed-packet命令用来恢复缺省情况。

【命令】

countermeasure attack malformed-packet

undo countermeasure attack malformed-packet

【缺省情况】

未配置对发起畸形报文攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起畸形报文攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack malformed-packet

1.1.30  countermeasure attack man-in-the-middle

countermeasure attack man-in-the-middle命令用来配置对发起中间人攻击的设备进行反制。

undo countermeasure attack man-in-the-middle命令用来恢复缺省情况。

【命令】

countermeasure attack man-in-the-middle

undo countermeasure attack man-in-the-middle

【缺省情况】

未配置对发起中间人攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起中间人攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack man-in-the-middle

1.1.31  countermeasure attack omerta

countermeasure attack omerta命令用来配置对发起Omerta攻击的设备进行反制。

undo countermeasure attack omerta命令用来恢复缺省情况。

【命令】

countermeasure attack omerta

undo countermeasure attack omerta

【缺省情况】

未配置对发起Omerta攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起Omerta攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack omerta

1.1.32  countermeasure attack power-save

countermeasure attack power-save命令用来配置对发起节电攻击的设备进行反制。

undo countermeasure attack power-save命令用来恢复缺省情况。

【命令】

countermeasure attack power-save

undo countermeasure attack power-save

【缺省情况】

未配置对发起节电攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起节电攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack power-save

1.1.33  countermeasure attack soft-ap

countermeasure attack soft-ap命令用来配置对发起软AP攻击的设备进行反制。

undo countermeasure attack soft-ap命令用来恢复缺省情况。

【命令】

countermeasure attack soft-ap

undo countermeasure attack soft-ap

【缺省情况】

未配置对发起软AP攻击的设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对发起软AP攻击的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack soft-ap

1.1.34  countermeasure attack unencrypted-trust-client

countermeasure attack unencrypted-trust-client命令用来配置对未加密的信任客户端进行反制。

undo countermeasure attack unencrypted-trust-client命令用来恢复缺省情况。

【命令】

countermeasure attack unencrypted-trust-client

undo countermeasure attack unencrypted-trust-client

【缺省情况】

未配置对未加密的信任客户端进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对未加密的信任客户端进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack unencrypted-trust-client

1.1.35  countermeasure attack weak-iv

countermeasure attack weak-iv命令用来配置对Weak IV设备进行反制。

undo countermeasure  weak-iv命令用来恢复缺省情况。

【命令】

countermeasure attack weak-iv

undo countermeasure attack weak-iv

【缺省情况】

未配置对Weak IV设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对Weak IV设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack weak-iv

1.1.36  countermeasure attack windows-bridge

countermeasure attack windows-bridge命令用来配置对Windows网桥设备进行反制。

undo countermeasure attack windows-bridge命令用来恢复缺省情况。

【命令】

countermeasure attack windows-bridge

undo countermeasure attack windows-bridge

【缺省情况】

未配置对Windows网桥设备进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对Windows网桥设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure attack windows-bridge

1.1.37  countermeasure external-ap

countermeasure external-ap命令对外部AP进行反制。

undo countermeasure external-ap命令用来恢复缺省情况。

【命令】

countermeasure external-ap

undo countermeasure external-ap

【缺省情况】

不对外部AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对外部AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure external-ap

1.1.38  countermeasure mac-address

countermeasure mac-address命令用来配置根据指定的MAC地址对设备进行手工反制。

undo countermeasure mac-address命令用来取消对指定的MAC地址进行手工反制。

【命令】

countermeasure mac-address mac-address

undo countermeasure mac-address { mac-address | all }

【缺省情况】

不对设备进行手工反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【参数】

mac-address:AP或客户端的MAC地址,格式为H-H-H。

all:表示所有AP或客户端的MAC地址。

【使用指导】

可以通过配置多条该命令对多个设备进行手工反制。

【举例】

# 配置对MAC地址为2a11-1fa1-141f的设备进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure mac-address 2a11-1fa1-141f

1.1.39  countermeasure misassociation-client

countermeasure misassociation-client命令对关联错误的客户端进行反制。

undo countermeasure misassociation-client令用来恢复缺省情况。

【命令】

countermeasure misassociation-client

undo countermeasure misassociation-client

【缺省情况】

不对关联错误的客户端进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对关联错误的客户端进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure misassociation-client

1.1.40  countermeasure misconfigured-ap

countermeasure misconfigured-ap命令对配置错误的AP进行反制。

undo countermeasure misconfigured-ap命令用来恢复缺省情况。

【命令】

countermeasure misconfigured-ap

undo countermeasure misconfigured-ap

【缺省情况】

不对配置错误的AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对配置错误的AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure misconfigured-ap

1.1.41  countermeasure policy

countermeasure policy命令用来创建反制策略,并进入反制策略视图。

undo countermeasure policy命令用来删除反制策略。

【命令】

countermeasure policy policy-name

undo countermeasure policy policy-name

【缺省情况】

没有创建反制策略。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

policy-name:反制策略的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 创建名称为home的反制策略,并进入反制策略视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home]

1.1.42  countermeasure potential-authorized-ap

countermeasure potential-authorized-ap命令用来配置对潜在授权AP进行反制。

undo countermeasure potential-authorized-ap命令用来恢复缺省情况。

【命令】

countermeasure potential-authorized-ap

undo countermeasure potential-authorized-ap

【缺省情况】

不对潜在授权AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对潜在授权AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure potential-authorized-ap

1.1.43  countermeasure potential-external-ap

countermeasure potential-external-ap命令对潜在外部AP进行反制。

undo countermeasure potential-external-ap命令用来恢复缺省情况。

【命令】

countermeasure potential-external-ap

undo countermeasure potential-external-ap

【缺省情况】

不对潜在外部AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对潜在外部AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure potential-external-ap

1.1.44  countermeasure potential-rogue-ap

countermeasure potential-rogue-ap命令用来配置对潜在Rogue AP进行反制。

undo countermeasure potential-rogue-ap命令用来恢复缺省情况。

【命令】

countermeasure potential-rogue-ap

undo countermeasure potential-rogue-ap

【缺省情况】

不对潜在Rogue AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对潜在Rogue AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure potential-rogue-ap

1.1.45  countermeasure rogue-ap

countermeasure rogue-ap命令对Rogue AP进行反制。

undo countermeasure rogue-ap命令用来恢复缺省情况。

【命令】

countermeasure rogue-ap

undo countermeasure rogue-ap

【缺省情况】

不对Rogue AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对Rogue AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure rogue-ap

1.1.46  countermeasure unauthorized-client

countermeasure unauthorized-client命令对未授权的客户端进行反制。

undo countermeasure unauthorized-client命令用来恢复缺省情况。

【命令】

countermeasure unauthorized-client

undo countermeasure unauthorized-client

【缺省情况】

不对未授权的客户端进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对未授权的客户端进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure unauthorized-client

1.1.47  countermeasure uncategorized-ap

countermeasure uncategorized-ap命令用来配置对未确定分类的AP进行反制。

undo countermeasure uncategorized-ap命令用来恢复缺省情况。

【命令】

countermeasure uncategorized-ap

undo countermeasure uncategorized-ap

【缺省情况】

不对未确定分类的AP进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对未确定分类的AP进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure uncategorized-ap

1.1.48  countermeasure uncategorized-client

countermeasure uncategorized-client命令对未确定分类的客户端进行反制。

undo countermeasure uncategorized-client命令用来恢复缺省情况。

【命令】

countermeasure uncategorized-client

undo countermeasure uncategorized-client

【缺省情况】

不对未确定分类的客户端进行反制。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【举例】

# 对未确定分类的客户端进行反制。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-cms-home] countermeasure uncategorized-client

1.1.49  deauthentication-broadcast

deauthentication-broadcast命令用来开启广播解除认证帧检测功能。

undo deauthentication-broadcast命令用来关闭广播解除认证帧检测功能。

【命令】

deauthentication-broadcast [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo deauthentication-broadcast

【缺省情况】

广播解除认证帧检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测广播解除认证帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的广播解除认证帧的数量达到触发告警阈值,设备也不会发送告警日志。

threshold threshold-value:检测广播解除认证帧达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的广播解除认证帧的数量达到触发告警阈值,即判定设备检测到广播解除认证帧,设备会发送告警日志。

【举例】

# 配置检测广播解除认证帧功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] deauthentication-broadcast interval 100 threshold 100 quiet 360

1.1.50  detect dissociate-client enable

detect dissociate-client enable命令用来开启WIPS检测游离客户端功能。

undo detect dissociate-client enable命令用来关闭WIPS检测游离客户端功能。

【命令】

detect dissociate-client enable

undo detect dissociate-client enable

【缺省情况】

WIPS检测游离客户端功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【举例】

# 开启WIPS检测游离客户端功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] detect dissociate-client enable

1.1.51  detect policy

detect policy命令用来创建攻击检测策略,并进入攻击检测策略视图。

undo detect policy命令用来删除攻击检测策略。

【命令】

detect policy policy-name

undo detect policy policy-name

【缺省情况】

不存在攻击检测策略。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

policy-name:攻击检测策略的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 创建名称为home的攻击检测策略,并进入攻击检测策略视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home]

1.1.52  detect signature

detect signature命令用来开启对符合Signature规则的报文检测功能。

undo detect signature命令用来关闭对符合Signature规则的报文检测功能。

【命令】

detect signature [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo detect

【缺省情况】

对符合Signature规则的报文检测功能处于开启状态。

【视图】

Signature策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:对符合Signature规则的报文检测的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600。

threshold threshold-value:对符合Signature规则的报文检测达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备检测到符合Signature规则的报文的数量达到触发告警阈值,设备会发送告警日志。

【举例】

# 开启对符合Signature规则的报文检测功能,统计周期为60秒,统计次数的阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature policy home

[Sysname-wips-sig-home] detect signature interval 60 threshold 100 quiet 360

1.1.53  disassociation-broadcast

disassociation-broadcast命令用来开启广播解除关联帧检测功能。

undo disassociation-broadcast命令用来关闭广播解除关联帧检测功能。

【命令】

disassociation-broadcast [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo disassociation-broadcast

【缺省情况】

广播解除关联帧检测功能处于关闭状态。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测广播解除关联帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的广播解除关联帧的数量达到触发告警阈值,设备也不会发送告警日志。

threshold threshold-value:检测广播解除关联帧达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的广播解除关联帧的数量达到触发告警阈值,即判定设备检测到广播解除关联帧,设备会发送告警日志。

【举例】

# 配置检测广播解除关联帧功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] disassociation-broadcast interval 100 threshold 100 quiet 360

1.1.54  discovered-ap

discovered-ap命令用来在AP分类规则中对发现AP的Sensor数量进行匹配。

undo discovered-ap命令用来恢复缺省情况。

【命令】

discovered-ap value1 [ to value2 ]

undo discovered-ap

【缺省情况】

没有在AP分类规则中对发现AP的Sensor数量进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

value1:指定匹配发现AP数量。value1的取值范围为1~128。

to value2:与value1共同作用,指定匹配发现AP数量范围,value2的取值范围为1~128且必须大于或等于value1

【举例】

# 在ID为1的AP分类规则中配置对发现AP的Sensor数量大于10的AP进行匹配。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] discovered-ap 10 to 128

1.1.55  display wips sensor

display wips sensor命令用来显示所有Sensor的信息。

【命令】

display wips sensor

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示所有Sensor的信息。

<Sysname> display wips sensor

Total number of sensors: 1

Sensor ID    Sensor name                VSD name               Radio ID   Status

3            ap1                        aaa                    1          Active

表1-1 display wips sensor命令显示信息描述表

字段

描述

Sensor ID

Sensor设备的ID

Sensor name

Sensor设备的名称

VSD name

AP所在的虚拟安全域

Radio ID

开启WIPS的Radio ID

Status

Sensor的状态:

·     Active:已运行WIPS功能的Sensor

·     Inactive:未运行WIPS功能的Sensor

 

1.1.56  display wips statistics

display wips statistics命令用来显示AC收到Sensor上报的攻击检测统计信息。

【命令】

display wips statistics [ receive | virtual-security-domain vsd-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

receive:所有虚拟安全域中AC收到Sensor上报的攻击检测统计信息。

virtual-security-domain vsd-name:指定虚拟安全域中AC检测的攻击检测统计。

【举例】

# 显示所有的虚拟安全域中AC收到Sensor上报的攻击检测统计信息。

<Sysname> display wips statistics receive

Information from sensor 3

 Information about attack statistics:

   Detected association-request flood messages: 0

   Detected authentication flood messages: 0

   Detected beacon flood messages: 0

   Detected block-ack flood messages: 0

   Detected cts flood messages: 0

   Detected deauthentication flood messages: 0

   Detected disassociation flood messages: 0

   Detected eapol-start flood messages: 0

   Detected null-data flood messages: 0

   Detected probe-request flood messages: 0

   Detected reassociation-request flood messages: 0

   Detected rts flood messages: 0

   Detected eapol-logoff flood messages: 0

   Detected eap-failure flood messages: 0

   Detected eap-success flood messages: 0

   Detected duplicated-ie messages: 0

   Detected fata-jack messages: 0

   Detected illegal-ibss-ess messages: 0

   Detected invalid-address-combination messages: 0

   Detected invalid-assoc-req messages: 0

   Detected invalid-auth messages: 0

   Detected invalid-deauth-code messages: 0

   Detected invalid-disassoc-code messages: 0

   Detected invalid-ht-ie messages: 0

   Detected invalid-ie-length messages: 0

   Detected invalid-pkt-length messages: 0

   Detected large-duration messages: 0

   Detected null-probe-resp messages: 0

   Detected overflow-eapol-key messages: 0

   Detected overflow-ssid messages: 0

   Detected redundant-ie messages: 0

   Detected AP spoof AP messages: 0

   Detected AP spoof client messages: 0

   Detected AP spoof ad-hoc messages: 0

   Detected ad-hoc spoof AP messages: 0

   Detected client spoof AP messages: 0

   Detected weak IV messages: 0

   Detected excess AP messages: 0

   Detected excess client messages: 0

   Detected signature rule messages: 0

   Detected 40MHZ messages: 0

   Detected power save messages: 0

   Detected omerta messages: 0

   Detected windows bridge messages: 0

   Detected soft AP messages: 0

   Detected broadcast disassoc messages: 2

   Detected broadcast deauth messages: 0

   Detected AP impersonate messages: 0

   Detected HT greenfield messages: 0

   Detected association table overflow messages: 0

   Detected wireless bridge messages: 0

   Detected AP flood messages: 11

表1-2 display wips statistics receive命令显示信息描述表

字段

描述

Information from sensor n

Sensor n发送的消息,n表示sensor ID

Information about attack statistics

关于攻击信息统计

Detected association-request flood messages

检测到关联请求帧的泛洪攻击消息的上报计数

Detected authentication flood messages

检测到鉴权帧的泛洪攻击消息的上报计数

Detected beacon flood messages

检测到Beacon帧的泛洪攻击消息的上报计数

Detected block-ack flood messages

检测到批量确认帧的泛洪攻击消息的上报计数

Detected cts flood messages

检测到允许发送帧的泛洪攻击消息的上报计数

Detected deauthentication flood messages

检测到解除鉴权帧的泛洪攻击消息的上报计数

Detected disassociation flood messages

检测到解除关联帧的泛洪攻击消息的上报计数

Detected eapol-start flood messages

检测到握手开始帧的泛洪攻击消息的上报计数

Detected null-data flood messages

检测到空数据帧的泛洪攻击消息的上报计数

Detected probe-request flood messages

检测到探查请求帧的泛洪攻击消息的上报计数

Detected reassociation-request flood messages

检测到重关联请求帧的泛洪攻击消息的上报计数

Detected rts flood messages

检测到请求发送帧的泛洪攻击消息的上报计数

Detected eapol-logoff flood messages

检测到下线请求帧的泛洪攻击消息的上报计数

Detected eap-failure flood messages

检测到失败类型认证帧的泛洪攻击消息的上报计数

Detected eap-success flood messages

检测到成功类型认证帧的泛洪攻击消息的上报计数

Detected duplicated-ie messages

检测到重复的IE畸形消息的上报计数

Detected fata-jack messages

检测到认证算法错畸形消息的上报计数

Detected illegal-ibss-ess messages

检测到无效IBSS-ESS畸形消息的上报计数

Detected invalid-address-combination messages

检测到无效联合地址畸形消息的上报计数

Detected invalid-assoc-req messages

检测到无效关联请求畸形消息的上报计数

Detected invalid-auth messages

检测到无效鉴权畸形消息的上报计数

Detected invalid-deauth-code messages

检测到无效解除鉴权码畸形消息的上报计数

Detected invalid-disassoc-code messages

检测到无效解除关联码畸形消息的上报计数

Detected invalid-ht-ie messages

检测到无效HT IE畸形消息的上报计数

Detected invalid-ie-length messages

检测到无效IE长度畸形消息的上报计数

Detected invalid-pkt-length messages

检测到无效报文长度畸形消息的上报计数

Detected large-duration messages

检测到超大持续时间畸形消息的上报计数

Detected null-probe-resp messages

检测到空探查响应畸形消息的上报计数

Detected overflow-eapol-key messages

检测到Eapol-key溢出畸形消息的上报计数

Detected overflow-ssid messages

检测到SSID溢出畸形消息的上报计数

Detected redundant-ie messages

检测到冗余的IE畸形消息的上报计数

Detected AP spoof AP messages

检测到AP仿冒AP消息的上报计数

Detected AP spoof client messages

检测到AP仿冒Client消息的上报计数

Detected AP spoof ad-hoc messages

检测到AP仿冒Ad-hoc消息的上报计数

Detected ad-hoc spoof AP messages

检测到Ad-hoc 仿冒AP消息的上报计数

Detected client spoof AP messages

检测到Client仿冒AP消息的上报计数

Detected weak IV messages

检测到弱向量消息的上报计数

Detected excess AP messages

检测到AP设备表项超过规格消息的上报计数

Detected excess client messages

检测到客户端设备表项超过规格消息的上报计数

Detected 40MHZ messages

检测到客户端禁用40MHz模式消息的上报计数

Detected power save messages

检测到节电攻击消息的上报计数

Detected omerta messages

检测到Omerta攻击消息的上报计数

Detected windows bridge messages

检测到Windows网桥消息的上报计数

Detected soft AP messages

检测到软AP消息的上报计数

Detected broadcast disassoc messages

检测到广播解除关联帧消息的上报计数

Detected broadcast deauth messages

检测到广播解除认证帧消息的上报计数

Detected AP impersonate messages

检测到AP扮演消息的上报计数

Detected HT greenfield messages:

检测到绿野模式的上报计数

Detected association table overflow messages

检测到关联/重关联DoS攻击的上报计数

Detected wireless bridge messages

检测到无线网桥的上报计数

Detected AP flood messages

检测到AP泛洪攻击的上报计数

 

# 显示指定的虚拟安全域中AC的攻击检测统计信息。

<Sysname> display wips statistics virtual-security-domain 111

Information from VSD 111

Information about attack statistics:

   Detected hotspot attack messages: 1

   Detected unencrypted authorized AP messages: 0

   Detected unencrypted trust client messages: 0

   Detected honeypot AP messages: 1

   Detected man in the middle messages: 1

   Detected AP channel change messages: 0

表1-3 display wips statistics virtual-security-domain命令显示信息描述表

字段

描述

Information from VSD

指定虚拟安全域的统计消息

Information about attack statistics

关于攻击信息统计

Detected hotspot attack messages

检测到热点攻击的统计计数

Detected unencrypted authorized AP messages

检测到未加密授权AP的统计计数

Detected unencrypted trust client messages

检测到未加密的信任客户端的统计计数

Detected honeypot AP messages

检测到蜜罐AP的统计计数

Detected man in the middle messages

检测到中间人攻击的统计计数

Detected AP channel change messages

检测到AP信道变化的统计计数

 

【相关命令】

·     reset wips statistics

1.1.57  display wips virtual-security-domain countermeasure record

display wips virtual-security-domain countermeasure record命令用来显示指定VSD内被反制过设备的信息。

【命令】

display wips virtual-security-domain vsd-name countermeasure record

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 显示VSD office内被反制过设备的信息。

<Sysname> display wips virtual-security-domain office countermeasure record

Total 3 times countermeasure, current 3 countermeasure record in virtual-security-domain office

 

Reason: Attack; Ass - associated; Black - blacklist;

        Class - classification; Manu - manual;

 

MAC address    Type   Reason   Countermeasure AP     Radio ID   Time

1000-0000-00e3 AP     Manu     ap1                    1          2016-05-03/09:32:01

1000-0000-00e4 AP     Manu     ap2                    1          2016-05-03/09:32:11

2000-0000-f282 Client Black    ap3                    1          2016-05-03/09:31:56

表1-4 display wips virtual-security-domain countermeasure record命令显示信息描述表

字段

描述

Total 3 times countermeasure, current 3 countermeasure record in virtual-security-domain office

累计成功通知反制次数;当前成功通知反制次数,最多可以显示1024条反制记录

MAC Address

检测到的无线设备的MAC地址

Type

无线设备的类型:

·     AP

·     Client

Reason

无线设备的反制原因:

·     Attack:对发起攻击的设备进行的反制

·     Ass:由于关联的AP被反制,导致该AP下关联的客户端也被反制

·     Black:当被反制的客户端关联到AC下的AP时,该客户端会被加入到黑名单中

·     Class:根据设备分类类型进行的反制

·     Manu:根据指定的MAC地址对设备进行手工反制

Countermeasure AP

发起反制设备的Sensor名称

Radio ID

发起反制设备的Sensor的Radio ID

Time

通知反制的时间

 

【相关命令】

·     reset wips virtual-security-domain countermeasure record

1.1.58  display wips virtual-security-domain device

display wips virtual-security-domain device命令用来显示指定VSD内检测到的无线设备的信息。

【命令】

display wips virtual-security-domain vsd-name device [ ap [ ad-hoc | authorized | external | misconfigured | potential-authorized | potential-external | potential-rogue | rogue ] | client [ [ dissociative-client ] | [ authorized | misassociation | unauthorized | uncategorized ] ] | mac-address mac-address ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

device:显示所有设备的信息。

ap:显示检测到AP的信息。

ad-hoc:显示运行在Ad hoc模式的AP的信息。

authorized:显示授权AP的信息。

external:显示外部AP的信息。

misconfigured:显示配置错误的AP的信息。

potential-authorized:显示潜在授权AP的信息。

potential-rogue:显示潜在Rogue AP的信息。

potential-external:显示潜在外部AP的信息。

rogue:显示Rogue AP的信息。

client:显示客户端的信息。

dissociative-client:显示游离客户端信息。

authorized:显示授权客户端的信息。

misassociation:显示误关联客户端的信息。

unauthorized:显示未授权客户端的信息。

uncategorized:显示无法确定类别的客户端的信息。

mac-address mac-address:显示指定MAC地址的无线设备的信息,mac-address格式为H-H-H。

verbose:显示检测到设备的详细信息。

【举例】

# 显示在虚拟安全域office内检测到的所有无线设备信息。

<Sysname> display wips virtual-security-domain office device

Total 200 detected devices in virtual-security-domain office

 

Class: Auth - authorization; Ext - external; Mis - mistake;

       Unauth - unauthorized; Uncate - uncategorized;

       (A) - associate; (C) - config; (P) - potential

 

MAC address    Type   Class    Duration    Sensors Channel Status

1000-0000-0000 AP     Ext(P)   00h 10m 46s 1       11      Active

1000-0000-0001 AP     Ext(P)   00h 10m 46s 1       6       Active

1000-0000-0002 AP     Ext(P)   00h 10m 46s 1       1       Active

表1-5 display wips virtual-security-domain device命令显示信息描述表

字段

描述

MAC Address

检测到的无线设备的MAC地址

Type

无线设备的类型:

·     AP:AP设备

·     Client:无线客户端

·     Mesh:无线网桥

Class

无线设备的分类类别,具体参见表1-6中的相关内容

Duration

无线设备的当前状态的持续时间

Sensors

检测到该无线设备的Sensor的数量

Channel

最后一次检测到该无线设备的信道

Status

AP或客户端表项的状态:

·     Active:AP或客户端表项处于活跃状态

·     Inactive:AP或客户端表项处于非活跃状态

 

# 显示在虚拟安全域a内检测到的所有无线设备的详细信息。

<Sysname> display wips virtual-security-domain a device verbose

Total 2 detected devices in virtual-security-domain a

 

 AP: 1000-0000-0000

   Mesh Neighbor: None

   Classification: Mis(C)

   Severity level: 0

   Classify way: Auto

   Status: Active

   Status duration: 00h 27m 57s

   Vendor: Not found

   SSID: service

   Radio type: 802.11g

   Countermeasuring: No

   Security: None

   Encryption method: None

   Authentication method: None

   Broadcast SSID: Yes

   QoS supported: No

   Ad-hoc: No

   Beacon interval: 100 TU

   Up duration: 00h 27m 57s

Channel band-width supported: 20MHZ

   Hotspot AP: No

   Soft AP: No

   Honeypot AP: No

   Total number of reported sensors: 1

     Sensor 1:

       Sensor ID: 3

       Sensor name: 1

       Radio ID: 1

       RSSI: 15

       Channel: 149

       First reported time: 2014-06-03/09:05:51

       Last reported time: 2014-06-03/09:05:51

   Total number of associated clients: 1

     01: 2000-0000-0000

Client: 2000-0000-0000

  Last reported associated AP: 1000-0000-0000

  Classification: Uncate

  Severity level: 0

  Classify way: Auto

  Dissociative status: No

  Status: Active

  Status duration: 00h 00m 02s

  Vendor: Not found

  Radio type: 802.11a

  40mhz intolerance: No

  Countermeasuring: No

  Man in the middle: No

  Total number of reported sensors: 1

     Sensor 1:

       Sensor ID: 2

       Sensor name: 1

       Radio ID: 1

       RSSI: 50

       Channel: 149

       First reported time: 2014-06-03/14:52:56

       Last reported time: 2014-06-03/14:52:56

       Reported associated AP: 1000-0000-0000

表1-6 display wips virtual-security-domain device verbose命令显示信息描述表

字段

描述

Total number detected devices in virtual-security-domain name

在指定虚拟安全域内检测到无线设备的总数

AP

检测到AP的MAC地址

Mesh Neighbor

Mesh AP邻居的MAC地址

Client

检测到Client的MAC地址

Last reported associated AP

客户端最近一次上报关联AP的MAC地址

Classification

AP或无线客户端的分类:

·     对于AP设备有以下几种:

¡ ad_hoc:运行在Ad hoc模式的AP

¡ authorized:授权AP

¡ rogue:非法AP

¡ misconfigured:配置错误的AP

¡ external:外部AP

¡ potential-authorized:潜在授权的AP

¡ potential-rogue:潜在非法的AP

¡ potential-external:潜在外部的AP

¡ uncategorized:无法确认的AP

·     对于无线客户端有以下几种:

¡ authorized:授权的客户端

¡ unauthorized:未授权的客户端

¡ misassociated:错误关联的客户端

¡ uncategorized:未分类的客户端

Severity level

检测到设备的安全级别

Classify way

AP或无线客户端的分类方法:

·     Manual:手工分类

·     Invalid OUI:导入无效OUI列表

·     Block List:禁用列表

·     Associated:与AC关联

·     Trust List:信任列表

·     User Define:用户自定义分类

·     Auto:自动分类

Dissociative status

是否是游离客户端

Status

AP或客户端表项的状态:

·     Active:AP或客户端表项处于激活状态

·     Inactive:AP或客户端表项处于非激活状态

Status duration

设备当前状态的持续时间

Vendor

如果该设备的OUI能够匹配import oui命令导入配置文件中的OUI,则显示设备厂商,没有配置或者没有匹配到显示为Not found

SSID

AP提供的SSID

Radio Type

无线设备使用的射频模式

40mhz intolerance

客户端是否支持40MHz

Countermeasuring

设备是否被反制:

·     No:没有被反制或是已经被通知反制过

·     Yes:正在被反制

Man in the middle

是否是中间人

Security

无线服务使用的安全方式:

·     None:未配置安全方式

·     WEP:WEP(Wired Equivalent Privacy,有线等效加密)方式

·     WPA:WPA(Wi-Fi Protected Access,WIFI保护访问)方式

·     WPA2:WPA第二版方式

Encryption method

·     无线数据的加密方式:

·     TKIP:TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)加密

·     CCMP:CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[密码块链接-消息验证码]协议)加密

·     WEP:WEP(Wired Equivalent Privacy,有线等效加密)加密

·     None:无加密方式

Authentication method

AP提供的接入无线网络的认证方式:

·     None:无认证方式

·     PSK:采用PSK认证方式

·     802.1X:采用802.1X认证方式

·     Others:采用除PSK和802.1X之外的认证方式

Broadcast SSID

AP是否是广播SSID,如果AP不广播SSID,显示信息的SSID显示为空

QoS supported

是否支持QoS

Ad-hoc

是否是Ad hoc

Beacon interval

信标间隔,单位为TU,1TU等于1024微秒

Up duration

AP设备从启动到当前的持续时间

Channel band-width supported

支持的信道带宽:

·     20/40/80MHZ:AP支持20MHz、40MHz和80MHz的信道带宽

·     20/40MHZ:AP支持20MHz和40MHz的信道带宽

·     20MHZ:AP支持20MHz的信道带宽

Hotspot AP

是否是热点AP

Soft AP

是否是软AP

Honeypot AP

是否是蜜罐AP

Sensor n

发现该设备的Sensor,n为系统自动的编号

Sensor ID

Sensor的ID,即Sensor的APID

Sensor name

检测到该无线设备的Sensor的名称

Radio ID

发现该设备的Sensor上的Radio ID

RSSI

Sensor的信号强度

Channel

该Sensor最近一次探测到该设备的信道

First reported time

该Sensor第一次检测到该AP或无线客户端的时间

Last reported time

该Sensor最近一次检测到该AP或无线客户端的时间

Total number of associated clients

关联该设备的Client的数量

n: H-H-H

AP上关联的无线客户端的MAC地址,n为系统自动的编号

Reported associated AP

该Sensor上报关联AP的MAC地址

 

【相关命令】

·     reset wips virtual-security-domain device

1.1.59  display wlan nat-detect

display wlan nat-detect命令用来显示私接代理检测信息。

【命令】

display wlan nat-detect [ mac-address mac-address ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

mac-address mac-address:显示指定MAC地址的私接代理检测信息。如果不指定本参数,将显示所有的私接代理检测信息。

【举例】

# 显示所有的私接代理检测信息。

<Sysname> display wlan nat-detect

Total 1 detected clients with NAT configured

 

MAC address    Last report         First report         Duration

0a98-2044-0000 2015-08-24/11:05:23 2015-08-24/10:05:23  01h 15m 00s

表1-7 display wlan nat-detect命令显示信息描述表

字段

描述

Total number detected clients with NAT configured

检测到的私接代理设备总数

MAC address

私接代理设备的MAC地址

Last report

最后一次检测到该私接代理设备的时间

First report

第一次检测到该私接代理设备的时间

Duration

私接代理设备总计开启代理的时间

 

【相关命令】

·     reset wlan nat-detect

1.1.60  flood association-request

flood association-request命令用来配置检测关联请求帧泛洪攻击。

undo flood association-request命令用来恢复缺省情况。

【命令】

flood association-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood association-request

【缺省情况】

不对关联请求帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测关联请求帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备在统计周期内收到的关联请求帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测关联请求帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的关联请求帧达到触发阈值,即判定设备受到关联请求帧泛洪攻击,设备会发送告警信息。

【举例】

# 配置检测关联请求帧泛洪攻击,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood association-request interval 100 threshold 100 quiet 360

1.1.61  flood authentication

flood authentication命令用来配置检测认证请求帧泛洪攻击。

undo flood authentication命令用来恢复缺省情况。

【命令】

flood authentication [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood authentication

【缺省情况】

不对认证请求帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测认证请求帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的认证请求帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测认证请求帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的认证请求帧达到触发阈值,即判定设备受到认证请求帧泛洪攻击,设备会发送告警信息。

【举例】

# 配置检测认证请求帧泛洪攻击,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood authentication interval 100 threshold 100 quiet 360

1.1.62  flood beacon

flood beacon命令用来配置检测Beacon帧泛洪攻击。

undo flood beacon命令用来恢复缺省情况。

【命令】

flood beacon [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood beacon

【缺省情况】

不对Beacon帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测Beacon帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的Beacon帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测Beacon帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的Beacon帧达到触发阈值,即判定设备受到Beacon帧泛洪攻击,设备会发送告警信息。

【举例】

# 配置检测Beacon帧泛洪攻击,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood beacon interval 100 threshold 100 quiet 360

1.1.63  flood block-ack

flood block-ack命令用来配置检测Block ACK帧泛洪攻击。

undo flood block-ack命令用来恢复缺省情况。

【命令】

flood block-ack [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood block-ack

【缺省情况】

不对Block ACK帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测Block ACK帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的Block ACK帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测Block ACK帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的Block ACK帧达到触发阈值,即判定设备受到Block ACK帧泛洪攻击,设备会发送告警信息。

【举例】

# 配置检测Block ACK帧泛洪攻击,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood block-ack interval 100 threshold 100 quiet 360

1.1.64  flood cts

flood cts命令用来配置检测CTS帧泛洪攻击。

undo flood cts命令用来恢复缺省情况。

【命令】

flood cts [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood cts

【缺省情况】

不对CTS帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测CTS帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的CTS帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测CTS帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的CTS帧达到触发阈值,即判定设备受到CTS帧泛洪攻击,设备会发送告警信息。

【举例】

# 配置检测CTS帧泛洪攻击,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood cts interval 100 threshold 100 quiet 360

1.1.65  flood deauthentication

flood deauthentication命令用来配置检测解除认证帧(单播、广播)泛洪攻击。

undo flood deauthentication命令用来恢复缺省情况。

【命令】

flood deauthentication [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood deauthentication

【缺省情况】

不对解除认证帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测解除认证帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的解除认证帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测解除认证帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的解除认证帧达到触发阈值,即判定设备受到解除认证帧泛洪攻击,设备会发送告警信息。

【举例】

# 配置检测解除认证帧泛洪攻击,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood deauthentication interval 100 threshold 100 quiet 360

1.1.66  flood disassociation

flood disassociation命令用来配置检测解除关联帧泛洪攻击。

undo flood disassociation命令用来恢复缺省情况。

【命令】

flood disassociation [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood disassociation

【缺省情况】

不对解除关联帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测解除关联帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的解除关联帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测解除关联帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的解除关联帧达到触发阈值,即判定设备受到解除关联帧泛洪攻击,设备会发送告警信息。

【举例】

# 配置检测解除关联帧泛洪攻击,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood disassociation interval 100 threshold 100 quiet 360

1.1.67  flood eapol-logoff

flood eapol-logoff命令用来配置检测EAPOL-Logoff帧泛洪攻击。

undo flood eapol-logoff命令用来恢复缺省情况。

【命令】

flood eapol-logoff [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood eapol-logoff

【缺省情况】

不对EAPOL-Logoff帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测EAPOL-Logoff帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的EAPOL-Logoff帧的数量达到触发告警阈值,也不会发送告警日志。

threshold threshold-value:检测EAPOL-Logoff帧达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAPOL-Logoff帧的数量达到触发告警阈值,即判定设备受到EAPOL-Logoff帧泛洪攻击,设备会发送告警日志。

【举例】

# 开启EAPOL-Logoff帧的泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood eapol-logoff interval 100 threshold 100 quiet 360

1.1.68  flood eapol-start

flood eapol-start命令用来配置检测EAPOL-Start帧泛洪攻击。

undo flood eapol-start命令用来恢复缺省情况。

【命令】

flood eapol-start [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood eapol-start

【缺省情况】

不对EAPOL-Start帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测EAPOL-Start帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的EAPOL-Start帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测EAPOL-Start帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAPOL-Start帧达到触发阈值,即判定设备受到EAPOL-Start帧泛洪攻击,设备会发送告警信息。

【举例】

# 配置检测EAPOL-Start帧泛洪攻击,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood eapol-start interval 100 threshold 100 quiet 360

1.1.69  flood eap-failure

flood eap-failure命令用来开启EAP-Failure帧的泛洪攻击检测功能。

undo flood eap-failure命令用来恢复缺省情况。

【命令】

flood eap-failure [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood eap-failure

【缺省情况】

不对EAP-Failure帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测EAP-Failure帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的EAP-Failure帧的数量达到触发告警阈值,也不会发送告警日志。

threshold threshold-value:检测EAP-Failure帧的数量达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAP-Failure帧的数量达到触发告警阈值,即判定设备受到EAP-Failure帧泛洪攻击,设备会发送告警日志。

【举例】

# 开启EAP-Failure帧的泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood eap-failure interval 100 threshold 100 quiet 360

1.1.70  flood eap-success

flood eap-success命令用来开启EAP-Success帧的泛洪攻击检测功能。

undo flood eap-success命令用来恢复缺省情况。

【命令】

flood eap-success [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood eap-success

【缺省情况】

不对EAP-Success帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测EAP-Success帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在统计周期内检测到的EAP-Success帧的数量达到触发告警阈值,也不会发送告警日志。

threshold threshold-value:检测EAP-Success帧的数量达到触发告警阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的EAP-Success帧达到触发告警阈值,即判定设备受到EAP-Success帧泛洪攻击,设备会发送告警日志。

【举例】

# 开启EAP-Success帧的泛洪攻击检测功能,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood eap-success interval 100 threshold 100 quiet 360

1.1.71  flood null-data

flood null-data命令用来配置检测Null data帧泛洪攻击。

undo flood null-data命令用来恢复缺省情况。

【命令】

flood null-data [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood null-data

【缺省情况】

不对Null data帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测Null data帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的Null data帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测Null data帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的Null data帧达到触发阈值,即判定设备受到Null data帧泛洪攻击,设备会发送告警信息。

【举例】

# 配置检测Null data帧泛洪攻击,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood null-data interval 100 threshold 100 quiet 360

1.1.72  flood probe-request

flood probe-request命令用来配置探查请求帧泛洪攻击。

undo flood probe-request命令用来恢复缺省情况。

【命令】

flood probe-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood probe-request

【缺省情况】

不对探查请求帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测探查请求帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的探查请求帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测探查请求帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的探查请求帧达到触发阈值,即判定设备受到探查请求帧泛洪攻击,设备会发送告警信息。

【举例】

# 配置检测探查请求帧泛洪攻击,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood probe-request interval 100 threshold 100 quiet 360

1.1.73  flood reassociation-request

flood reassociation-request命令用来配置检测重关联帧泛洪攻击。

undo flood reassociation-request命令用来恢复缺省情况。

【命令】

flood reassociation-request [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood reassociation-request

【缺省情况】

不对重关联帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测重关联帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的重关联帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测重关联帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的重关联帧达到触发阈值,即判定设备受到重关联帧泛洪攻击,设备会发送告警信息。

【举例】

# 配置检测重关联帧泛洪攻击,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood reassociation-request interval 100 threshold 100 quiet 360

1.1.74  flood rts

flood rts命令用来配置检测RTS帧泛洪攻击。

undo flood rts命令用来恢复缺省情况。

【命令】

flood rts [ interval interval-value | quiet quiet-value | threshold threshold-value ] *

undo flood rts

【缺省情况】

不对RTS帧泛洪攻击进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测RTS帧的统计周期,取值范围为1~3600,单位为秒,缺省值为60秒。

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备在统计周期内收到的RTS帧即使达到触发告警阈值,设备也不会发送告警信息。

threshold threshold-value:检测RTS帧达到触发阈值,取值范围为1~100000,缺省值为50。当设备在一个统计周期内检测到的RTS帧达到触发阈值,即判定设备受到RTS帧泛洪攻击,设备会发送告警信息。

【举例】

# 配置检测RTS帧泛洪攻击,统计周期为100秒,触发告警阈值为100,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] flood rts interval 100 threshold 100 quiet 360

1.1.75  frame-type

frame-type命令用来配置Signature规则中匹配帧类型的子规则。

undo frame-type命令用来恢复缺省情况。

【命令】

frame-type { control | data | management [ frame-subtype { association-request | association-response | authentication | beacon | deauthentication | disassociation | probe-request } ] }

undo frame-type

【缺省情况】

没有配置Signature规则中匹配帧类型的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

control:控制帧。

data:数据帧。

management:管理帧。

frame-subtype:帧的子类型。

association-request:Association Request帧。

association-response:Association Response帧。

authentication:Authentication帧。

beacon:Beacon帧。

deauthentication:De-authentication帧。

disassociation:Disassociation帧。

probe-request:Probe Request帧。

【举例】

# 配置ID为1的Signature规则中帧类型为数据帧的匹配子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[wips-sig-rule-1] frame-type data

1.1.76  honeypot-ap

honeypot-ap命令用来开启蜜罐AP检测功能。

undo honeypot-ap命令用来关闭蜜罐AP检测功能。

【命令】

honeypot-ap [ similarity similarity-value | quiet quiet-value ] *

undo honeypot-ap

【缺省情况】

不进行蜜罐AP检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

similarity similarity-value:SSID的相似度,取值范围为70~100,缺省值为80。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到蜜罐AP,设备也不会发送告警日志。

【举例】

# 开启蜜罐AP检测功能,SSID相似度为90%,静默时间为10秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] honeypot-ap similarity 90 quiet 10

1.1.77  hotspot-attack

hotspot-attack命令用来开启热点攻击检测功能。

undo hotspot-attack命令用来关闭对热点攻击的检测功能。

【命令】

hotspot-attack [ quiet quiet-value ]

undo hotspot-attack

【缺省情况】

不进行热点攻击检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备检测到热点攻击,设备也不会发送告警日志。

【举例】

# 开启热点攻击检测功能,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] hotspot-attack quiet 100

1.1.78  ht-40mhz-intolerance

ht-40mhz-intolerance命令用来配置检测客户端是否开启了禁用802.11n 40MHz模式。

undo ht-40mhz-intolerance命令用来关闭对客户端是否开启了禁用802.11n 40MHz模式的检测。

【命令】

ht-40mhz-intolerance [ quiet quiet-value ]

undo ht-40mhz-intolerance

【缺省情况】

不检测客户端是否开启了禁用802.11n 40MHz模式。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到客户端开启了禁用802.11n 40MHz模式,也不会发送告警日志。

【举例】

# 配置检测客户端是开启了否禁用802.11n 40MHz模式,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ht-40mhz-intolerance quiet 100

1.1.79  ht-greenfield

ht-greenfield命令用来开启绿野模式检测功能。

undo ht-greenfield命令用来关闭绿野模式检测功能。

【命令】

ht-greenfield [ quiet quiet-value ]

undo ht-greenfield

【缺省情况】

不进行绿野模式检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到AP工作在绿野模式,设备也不会发送告警日志。

【举例】

# 开启绿野模式检测功能,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] ht-greenfield quiet 100

1.1.80  ignorelist

ignorelist命令用来配置忽略WIPS告警信息的设备列表。

undo ignorelist命令用来删除忽略WIPS告警信息的设备列表。

【命令】

ignorelist mac-address mac-address

undo ignorelist mac-address { mac-address | all }

【缺省情况】

没有配置忽略WIPS告警信息的设备列表。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

mac-address:将要从忽略WIPS告警信息的设备列表中添加或删除的无线设备的MAC地址,格式为H-H-H。

all:删除忽略WIPS告警信息的设备列表的所有表项。

【使用指导】

对于忽略WIPS告警信息的设备列表中的无线设备,WIPS会监测其是否存在,但是不会对它的任何行为产生告警。

【举例】

# 配置MAC地址为2a11-1fa1-1311的设备加入到忽略告警信息的设备列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ignorelist mac-address 2a11-1fa1-1311

1.1.81  import hotspot

import hotspot命令用来导入热点信息的配置文件。

undo import hotspot命令用来删除已导入的热点信息配置文件。

【命令】

import hotspot file-name

undo import hotspot

【缺省情况】

没有导入热点信息的配置文件。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

file-name:导入配置文件名称,1~255个字符的字符串,不区分大小写,且文件名不能包含如下字符:\ / : * ? “ < > |。

【使用指导】

最多只能导入一个热点信息的配置文件。

【举例】

# 导入热点信息的配置文件。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] import hotspot hotspot_cfg

1.1.82  import oui

import oui命令用来导入配置文件中的OUI信息。

undo import oui命令用来删除已导入的OUI信息。

【命令】

import oui file-name

undo import oui

【缺省情况】

没有导入配置文件的OUI信息。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

oui:导入配置文件名称,1~255个字符的字符串,不区分大小写,且文件名不能包含如下字符:\ / : * ? “ < > |。

【使用指导】

·     该配置文件可以从IEEE网站下载。

·     最多只能导入一个配置文件。

【举例】

# 导入配置文件中的OUI信息。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] import oui oui_import_cfg

【相关命令】

·     invalid-oui-classify illegal

1.1.83  invalid-oui-classify illegal

invalid-oui-classify illegal命令用来配置对非法OUI的设备进行分类。

undo invalid-oui-classify命令用来恢复缺省情况。

【命令】

invalid-oui-classify illegal

undo invalid-oui-classify

【缺省情况】

不对非法OUI的设备进行分类。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【举例】

# 配置对非法OUI的设备进行分类。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] invalid-oui-classify illegal

【相关命令】

·     import oui

1.1.84  mac-address

mac-address命令用来配置Signature规则中匹配报文中携带的MAC地址的子规则。

undo mac-address命令用来恢复缺省情况。

【命令】

mac-address { bssid | destination | source } mac-address

undo mac-address

【缺省情况】

没有Signature规则中匹配报文中携带的MAC地址的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

bssid:对BSSID进行匹配。

destination:对目的MAC地址进行匹配。

source:对源MAC地址进行匹配。

mac-address:指定MAC地址,格式为H-H-H。

【举例】

# 在编号为1的Signature规则中配置匹配报文源MAC地址为000f-e201-0101的子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[Sysname-wips-sig-rule-1] mac-address source 000f-e201-0101

1.1.85  malformed duplicated-ie

malformed duplicated-ie命令用来配置检测IE重复的畸形报文。

undo malformed duplicated-ie命令用来恢复缺省情况。

【命令】

malformed duplicated-ie [ quiet quiet-value ]

undo malformed duplicated-ie

【缺省情况】

不检测IE重复的畸形报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到IE重复的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。当解析某报文时,该报文所包含的某IE重复出现时,则判断该报文为重复IE畸形报文。因为厂商自定义IE是允许重复的,所以检测IE重复时,不检测厂商自定义IE。

【举例】

# 配置检测IE重复的畸形报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed duplicated-ie quiet 360

1.1.86  malformed fata-jack

malformed fata-jack命令用来配置检测Fata-Jack畸形报文。

undo malformed fata-jack命令用来恢复缺省情况。

【命令】

malformed fata-jack [ quiet quiet-value ]

undo malformed fata-jack

【缺省情况】

不检测Fata-Jack畸形报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到Fata-Jack畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对认证帧的检测。Fata-Jack畸形类型规定,当身份认证算法编号即Authentication algorithm number的值等于2时,则判定该帧为Fata-Jack畸形报文。

【举例】

# 配置检测Fata-Jack畸形报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed fata-jack quiet 360

1.1.87  malformed illegal-ibss-ess

malformed illegal-ibss-ess命令用来配置检测IBSS和ESS置位异常的畸形报文。

undo malformed illegal-ibss-ess命令用来恢复缺省情况。

【命令】

malformed illegal-ibss-ess [ quiet quiet-value ]

undo malformed illegal-ibss-ess

【缺省情况】

不检测IBSS和ESS置位异常的畸形报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到IBSS和ESS置位异常的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对Beacon帧和探查响应帧进行的检测。当报文中的IBSS和ESS都置位为1时,由于此种情况在协议中没有定义,所以这类报文被判定为IBSS和ESS置位异常的畸形报文。

【举例】

# 配置检测IBSS和ESS置位异常的畸形报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed illegal-ibss-ess quiet 360

1.1.88  malformed invalid-address-combination

malformed invalid-address-combination命令用来配置检测源地址为广播或者组播的认证和关联畸形报文。

undo malformed invalid-address-combination命令用来恢复缺省情况。

【命令】

malformed invalid-address-combination [ quiet quiet-value ]

undo malformed invalid-address-combination

【缺省情况】

不检测源地址为广播或者组播的认证和关联畸形报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到报文长度非法的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。当检测到该帧的TO DS等于1时,表明该帧为客户端发给AP的,如果同时又检测到该帧的源MAC地址为广播或组播,则该帧被判定为Invalid-source-address畸形报文。

【举例】

# 配置检测源地址为广播或者组播的认证和关联畸形报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-address-combination quiet 360

1.1.89  malformed invalid-assoc-req

malformed invalid-assoc-req命令用来配置检测畸形关联请求报文。

undo malformed invalid-assoc-req命令用来恢复缺省情况。

【命令】

malformed invalid-assoc-req [ quiet quiet-value ]

undo malformed invalid-assoc-req

【缺省情况】

不检测畸形关联请求报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到畸形关联请求报文,也不会发送告警信息。

【使用指导】

该检测是针对认证请求帧的检测。当收到认证请求帧中的SSID长度等于零时,判定该报文为畸形关联请求报文。

【举例】

# 配置检测畸形关联请求报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-assoc-req quiet 360

1.1.90  malformed invalid-auth

malformed invalid-auth命令用来配置检测畸形认证请求报文。

undo malformed invalid-auth命令用来恢复缺省情况。

【命令】

malformed invalid-auth [ quiet quiet-value ]

undo malformed invalid-auth

【缺省情况】

不检测畸形认证请求报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到畸形认证请求报文,也不会发送告警信息。

【使用指导】

该检测是针对认证帧的检测。当检测到以下情况时请求认证过程失败,会被判断判定为认证畸形报文。

·     当对认证帧的身份认证算法编号(Authentication algorithm number)的值不符合协议规定,并且其值大于3时;

·     当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number 的值等于1,且状态代码status code不为零时;

·     当标记客户端和AP之间的身份认证的进度的Authentication Transaction Sequence Number的值大于4时。

【举例】

# 配置检测畸形认证请求报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-auth quiet 360

1.1.91  malformed invalid-deauth-code

malformed invalid-deauth-code命令用来配置检测含有无效原因值的解除认证畸形报文。

undo malformed invalid-deauth-code命令用来恢复缺省情况。

【命令】

malformed invalid-deauth-code [ quiet quiet-value ]

undo malformed invalid-deauth-code

【缺省情况】

不检测含有无效原因值的解除认证畸形报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到含有无效原因值的解除认证畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对解除认证畸形帧的检测。当解除认证畸形帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除认证畸形报文。

【举例】

# 配置检测含有无效原因值的解除认证畸形报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-deauth-code quiet 360

1.1.92  malformed invalid-disassoc-code

malformed invalid-disassoc-code命令用来配置检测含有无效原因值的解除关联畸形报文。

undo malformed invalid-disassoc-code命令用来恢复缺省情况。

【命令】

malformed invalid-disassoc-code [ quiet quiet-value ]

undo malformed invalid-disassoc-code

【缺省情况】

不检测含有无效原因值的解除关联畸形报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到含有无效原因值的解除关联畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对解除关联帧的检测。当解除关联帧携带的Reason code的值属于集合[0,67~65535]时,则属于协议中的保留值,此时判定该帧为含有无效原因值的解除关联畸形报文。

【举例】

# 配置检测含有无效原因值的解除关联畸形报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-disassoc-code quiet 360

1.1.93  malformed invalid-ht-ie

malformed invalid-ht-ie命令用来配置检测畸形HT IE报文。

undo malformed invalid-ht-ie命令用来恢复缺省情况。

【命令】

malformed invalid-ht-ie [ quiet quiet-value ]

undo malformed invalid-ht-ie

【缺省情况】

不检测畸形HT IE报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到畸形HT IE报文,也不会发送告警信息。

【使用指导】

该检测是针对Beacon、探查响应帧、关联响应帧、重关联响应帧的检测。当检测到以下情况时,判定为HT IE的畸形报文,发出告警,在静默时间内不再告警。

·     解析出HT Capabilities IE的SM Power Save值为2时;

·     解析出HT Operation IE 的Secondary Channel Offset值等于2时。

【举例】

# 配置检测畸形HT IE报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-ht-ie quiet 360

1.1.94  malformed invalid-ie-length

malformed invalid-ie-length命令用来配置检测IE长度非法的畸形报文。

undo malformed invalid-ie-length命令用来恢复缺省情况。

【命令】

malformed invalid-ie-length [ quiet quiet-value ]

undo malformed invalid-ie-length

【缺省情况】

不检测IE长度非法的畸形报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到IE长度非法的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。信息元素(Information Element,简称IE)是管理帧的组成元件,其长度不定。信息元素通常包含一个元素识别码位(Element ID)、一个长度位(Length)以及一个长度不定的位。每种类型的管理帧包含特定的几种IE,IE的长度的取值范围应遵守最新802.11协议的规定。报文解析过程中,当检测到该报文包含的某个IE的长度为非法时,该报文被判定为IE长度非法的畸形报文。

【举例】

# 配置检测IE长度非法的畸形报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-ie-length quiet 360

1.1.95  malformed invalid-pkt-length

malformed invalid-pkt-length命令用来配置检测报文长度非法的畸形报文。

undo malformed invalid-pkt-length命令用来恢复缺省情况。

【命令】

malformed invalid-pkt-length [ quiet quiet-value ]

undo malformed invalid-pkt-length

【缺省情况】

不检测报文长度非法的畸形报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到报文长度非法的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。当解析完报文主体后,IE的剩余长度不等于零时,则该报文被判定为报文长度非法畸形报文。

【举例】

# 配置检测报文长度非法的畸形报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed invalid-pkt-length quiet 360

1.1.96  malformed large-duration

malformed large-duration命令用来配置检测Duration字段超大的畸形报文。

undo malformed large-duration命令用来恢复缺省情况。

【命令】

malformed large-duration [ quiet quiet-value |  threshold value ]

undo malformed large-duration

【缺省情况】

不检测Duration字段超大的畸形报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到Duration字段超大的畸形报文,也不会发送告警信息。

threshold value:检测报文中Duration字段超大的触发阈值,取值范围为1~32767,缺省值为5000。当设备在一个统计周期内检测报文的Duration字段达到触发阈值,即判定设备受到Duration字段超大的畸形报文,设备会发送告警信息。

【使用指导】

该检测是针对单播管理帧、单播数据帧以及RTS、CTS、ACK帧的检测。如果报文解析结果中该报文的Duration值大于指定的门限值,则为Duration超大的畸形报文。

【举例】

# 配置检测Duration字段超大的畸形报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed large-duration quiet 360

1.1.97  malformed null-probe-resp

malformed null-probe-resp命令用来配置检测无效探查响应报文。

undo malformed null-probe-resp命令用来恢复缺省情况。

【命令】

malformed null-probe-resp [ quiet quiet-value ]

undo malformed null-probe-resp

【缺省情况】

不检测无效探查响应报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到无效探查响应报文,也不会发送告警信息。

【使用指导】

该检测是针对探查响应报文。当检测到该帧为非Mesh帧,但同时该帧的SSID Length等于零,这种情况不符合协议(协议规定SSID等于零的情况是Mesh帧),则判定为无效探查响应报文。

【举例】

# 配置检测无效探查响应报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed null-probe-resp quiet 360

1.1.98  malformed overflow-eapol-key

malformed overflow-eapol-key命令用来配置检测key长度超长的EAPOL报文。

undo malformed overflow-eapol-key命令用来恢复缺省情况。

【命令】

malformed overflow-eapol-key [ quiet quiet-value ]

undo malformed overflow-eapol-key

【缺省情况】

不检测key长度超长的EAPOL报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到key长度超长的EAPOL报文,也不会发送告警信息。

【使用指导】

该检测是针对EAPOL-Key帧的检测。当检测到该帧的TO DS等于1且其Key Length大于零时,则判定该帧为key长度超长的EAPOL报文。Key length长度异常的恶意的EAPOL-Key帧可能会导致DOS攻击。

【举例】

# 配置检测key长度超长的EAPOL报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed overflow-eapol-key quiet 360

1.1.99  malformed overflow-ssid

malformed overflow-ssid命令用来配置检测SSID长度超长的畸形报文。

undo malformed overflow-ssid命令用来恢复缺省情况。

【命令】

malformed overflow-ssid [ quiet quiet-value ]

undo malformed overflow-ssid

【缺省情况】

不检测SSID长度超长的畸形报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到SSID长度超长的畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对Beacon、探查请求、探查响应、关联请求帧的检测。当解析报文的SSID length大于32字节时,不符合协议规定的0~32字节的范围,则判定该帧为SSID超长的畸形报文。

【举例】

# 配置检测SSID长度超长的畸形报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed overflow-ssid quiet 360

1.1.100  malformed redundant-ie

malformed redundant-ie命令用来配置检测多余IE畸形报文。

undo malformed redundant-ie命令用来恢复缺省情况。

【命令】

malformed redundant-ie [ quiet quiet-value ]

undo malformed redundant-ie

【缺省情况】

不检测多余IE畸形报文。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,即使设备检测到多余IE畸形报文,也不会发送告警信息。

【使用指导】

该检测是针对所有管理帧的检测。报文解析过程中,当遇到既不属于报文应包含的IE,也不属于reserved IE时,判断该IE为多余IE,则该报文被判定为多余IE畸形报文。

【举例】

# 配置检测多余IE畸形报文,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] malformed redundant-ie quiet 360

1.1.101  man-in-the-middle

man-in-the-middle命令用来开启中间人攻击检测功能。

undo man-in-the-middle命令用来关闭中间人攻击检测功能。

【命令】

man-in-the-middle [ quiet quiet-value ]

undo man-in-the-middle

【缺省情况】

不对进行中间人攻击检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到中间人攻击,设备也不会发送告警日志。

【使用指导】

在配置中间人攻击检测之前需要开启蜜罐AP检测。

【举例】

# 开启中间人攻击检测功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] honeypot-ap

[Sysname-wips-dtc-home] man-in-the-middle

1.1.102  manual-classify mac-address

manual-classify mac-address命令用来将指定的AP进行手工分类。

undo manual-classify mac-address命令用来恢复缺省情况。

【命令】

manual-classify mac-address mac-address { authorized-ap | external-ap | misconfigured-ap | rogue-ap }

undo manual-classify mac-address { mac-address | all }

【缺省情况】

没有对AP进行手工分类。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

mac-address:AP的MAC地址,格式为H-H-H。

authorized-ap:将指定AP设置为授权AP。

external-ap:将指定AP设置为外部AP。

misconfigured-ap:将指定AP设置为配置错误的AP。

rogue-ap:将指定AP设置为Rogue AP。

all:取消对所有AP的手工分类。

【举例】

# 将MAC地址为000f-00e2-0001的AP配置为授权AP。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] manual-classify mac-address 000f-00e2-0001 authorized-ap

1.1.103  omerta

omerta命令用来开启Omerta攻击检测功能。

undo omerta命令用来关闭对Omerta攻击的检测功能。

【命令】

omerta [ quiet quiet-value ]

undo omerta

【缺省情况】

不检测Omerta攻击。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到Omerta攻击,也不会发送告警日志。

【举例】

# 开启Omerta攻击检测功能,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] omerta quiet 100

1.1.104  oui

oui 命令用来在AP分类规则中对AP设备的OUI信息进行匹配。

undo oui命令用来恢复缺省情况。

【命令】

oui oui-info

undo oui

【缺省情况】

没有在AP分类规则中对AP设备的OUI信息进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

oui-info:对AP设备进行匹配的OUI信息,格式XXXXXX,16进制字符串,不区分大小写。

【举例】

# 在ID为1的AP分类规则中配置OUI为000fe4的AP匹配规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] oui 000fe4

1.1.105  pattern

pattern命令用来配置Signature规则中匹配报文中指定位置的字段的子规则。

undo pattern命令用来恢复缺省情况。

【命令】

pattern pattern-number offset offset-value mask mask value1 [ to value2 ] [ from-payload ]

undo pattern { pattern-number | all }

【缺省情况】

没有配置Signature规则中匹配报文中指定位置的字段的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

pattern-number:Signature规则中匹配报文中指定位置的字段的子规则序列号,取值范围0~65535。

offset offset-value:指定匹配字段相对于参考位置的偏移量,offset-value为偏移量,取值范围为0~2346,单位为bit。参考位置可以为帧头部(缺省情况)或帧载荷头部(配置from-payload参数后)。

mask mask:指定用于匹配指定字段的掩码值,mask为十六进制的掩码值,长度为两字节,取值范围为0~ffff。

value1 [ to value2 ]:指定匹配条件值的范围。value1value2为匹配条件的值,取值范围为0~65535。value2的值要大于或等于value1的值。

from-payload:指定偏移量的参考位置为帧载荷的头部。不指定该参数时,偏移量的参考位置为帧头部。

【举例】

# 在编号为1的Signature规则中,创建以下匹配规则:匹配从报文头开始第2、3两个字节的取值为0x0015~0x0020之间的报文。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[Sysname-wips-sig-rule-1] pattern 1 offset 8 mask ffff 15 to 20

1.1.106  permit-channel

permit-channel命令用来配置合法信道集。

undo permit-channel命令用来删除配置的合法信道集。

【命令】

permit-channel channel-id-list

undo permit-channel { channel-id-list | all }

【缺省情况】

没有配置合法信道集。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

channel-id-list :合法信道列表。表示方式为channel-id-list = { value1 [ to value2 ] } &<1-10>,取值范围为1~224,value2的值要大于或等于value1的值,<1-10>表示在一条命令中最多可以配置10个合法信道或合法信道范围。

all:表示删除所有已配置的合法信道。

【使用指导】

在配置非法信道检测之前请先配置合法信道集,否则所有信道都会被检测为非法信道。

【举例】

# 设置合法信道为1。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] permit-channel 1

【相关命令】

·     prohibited-channel

1.1.107  prohibited-channel

prohibited-channel命令用来配置非法信道检测。

undo prohibited-channel命令用来关闭对非法信道的检测。

【命令】

prohibited-channel [ quiet quiet-value ]

undo prohibited-channel

【缺省情况】

没有配置非法信道检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备在非法信道检测到任何帧,也不会发送告警日志。

【使用指导】

在配置非法信道检测之前请先使用permit-channel命令配置合法信道,否则所有信道都会被检测为非法信道。

【举例】

# 配置非法信道检测,静默时间为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] prohibited-channel quiet 100

【相关命令】

·     permit-channel

1.1.108  power-save

power-save命令用来开启节电攻击检测功能。

undo power-save命令用来关闭节电攻击的检测功能。

【命令】

power-save [ interval interval-value | minoffpacket packet-value | onoffpercent percent-value | quiet quiet-value ] *

undo power-save

【缺省情况】

不检测节电攻击。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval interval-value:检测节电报文的统计周期,取值范围为1~3600,单位为秒,缺省值为10。

minoffpacket packet-value:统计周期内检测到最少节电关闭报文的阈值,取值范围为10~150,单位为个,缺省值为50。

onoffpercent percent-value:检测节电开始报文和节电关闭报文的百分比的阈值,取值范围为0~100,缺省值为80。

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使设备检测到节电攻击,也不会发送告警日志。

【举例】

# 开启节电攻击检测功能,统计周期为20秒,检测最少节电关闭报文的个数为20,节电开启报文与节电关闭报文的百分比为90,静默时间为100。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] power-save interval 20 minoffpacket 20 onoffpercent 90 quiet 100

1.1.109  report-interval

report-interval命令用来配置Sensor上报检测到的设备信息的时间间隔。

undo report-interval命令用来恢复缺省情况。

【命令】

report-interval interval

undo report-interval

【缺省情况】

Sensor上报检测到的设备信息的时间间隔为30000毫秒。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

interval:Sensor上报检测到的设备信息的时间间隔,取值范围为1000~300000,单位为毫秒。

【举例】

# 配置Sensor上报检测到的设备信息的时间间隔为10000毫秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] report-interval 10000

1.1.110  reset wips statistics

reset wips statistics命令用来清除所有Sensor上报的信息。

【命令】

reset wips statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除所有Sensor上报的信息。

<Sysname> reset wips statistics

【相关命令】

·     display wips statistics receive

1.1.111  reset wips virtual-security-domain

reset wips virtual-security-domain命令用来清除指定VSD内学习到的AP表项和客户端表项。

【命令】

reset wips virtual-security-domain vsd-name device { ap { all | mac-address mac-address } | client { all | mac-address mac-address } | all }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

device:虚拟安全域中检测到的设备。

ap:虚拟安全域中检测到的AP。

all:虚拟安全域中检测到的所有AP。

mac-address mac-address:指定AP的MAC地址。

client:虚拟安全域中检测到的客户端。

all:虚拟安全域中检测到的所有客户端。

mac-address mac-address:指定客户端的MAC地址。

all:虚拟安全域中检测到的所有AP和客户端。

【举例】

# 清除VSD aaa内学习到的AP表项和客户端表项。

<Sysname> reset wips virtual-security-domain aaa device all

【相关命令】

·     display wips virtual-security-domain device

1.1.112  reset wips virtual-security-domain countermeasure record

reset wips virtual-security-domain countermeasure record命令用来清除指定VSD内所有被反制过的设备信息。

【命令】

reset wips virtual-security-domain vsd-name countermeasure record

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 清除指定VSD内所有被反制过的设备信息。

<Sysname> reset wips virtual-security-domain aaa countermeasure record

【相关命令】

·     display wips virtual-security-domain countermeasure record

1.1.113  reset wlan nat-detect

reset wlan nat-detect命令用来清除私接代理检测信息表项。

【命令】

reset wlan nat-detect

【视图】

用户视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 清除私接代理检测信息表项。

<Sysname> reset wlan nat-detect

【相关命令】

·     display wlan nat-detect

1.1.114  rssi

rssi命令用来在AP分类规则中对AP信号的信号强度进行匹配。

undo rssi命令用来恢复缺省情况。

【命令】

rssi value1 [ to value2 ]

undo rssi

【缺省情况】

没有在AP分类规则中对AP信号的信号强度进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

value1 [ to value2 ]:指定匹配信号强度值的范围。value1value2为匹配信号强度值,取值范围为0~100。value2的值要大于或等于value1的值。

【举例】

# 在ID为1的AP分类规则中对信号强度在20~40之间的AP进行匹配。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] rssi 20 to 40

1.1.115  rssi-change-threshold

rssi-change-threshold命令用来配置WIPS检测无线设备的信号强度变化阈值。

undo rssi-change-threshold命令用来恢复缺省情况。

【命令】

rssi-change-threshold threshold-value

undo rssi-change-threshold

【缺省情况】

WIPS检测无线设备的信号强度变化阈值为20。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

threshold-value:指定WIPS检测无线设备的信号强度变化阈值,取值范围为1~100。

【举例】

# 配置WIPS检测无线设备的信号强度变化阈值为80。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] rssi-change-threshold 80

1.1.116  rssi-threshold

rssi-threshold命令用来配置WIPS根据信号强度对无线设备进行检测。

undo rssi-threshold命令用来恢复缺省情况。

【命令】

rssi-threshold { ap ap-rssi-value | client client-rssi-value }

undo rssi-threshold { ap | client }

【缺省情况】

未配置WIPS根据信号强度对无线设备进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

ap ap-rssi-valueWIPS检测AP设备的信号强度阈值,取值范围为1~100。

client client-rssi-valueWIPS检测客户端设备的信号强度阈值,取值范围为1~100。

【举例】

# 配置WIPS检测信号强度大于80的AP设备。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] rssi-threshold ap 80

1.1.117  security

security命令用来在AP分类规则中对AP使用无线服务的数据安全方式进行匹配。

undo security命令用来恢复缺省情况。

【命令】

security { equal | include } { clear | wep | wpa | wpa2 }

undo security

【缺省情况】

没有在AP分类规则中对AP使用无线服务的数据安全方式进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

equal:匹配项与条件相同。

include:匹配项包含条件。

clear:明文方式。

wep:WEP方式。

wpa:WPA方式。

wpa2:WPA2方式。

【举例】

# 在ID为1的AP分类策略中对采用WEP方式接入无线网络的AP设备进行匹配。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] security equal wep

1.1.118  select sensor all

select sensor all命令用来开启所有Sensor进行反制功能。

undo select sensor all命令用来关闭所有Sensor进行反制功能。

【命令】

select sensor all

undo select sensor all

【缺省情况】

所有Sensor进行反制功能处于关闭状态。

【视图】

反制策略视图

【缺省用户角色】

network-admin

【使用指导】

开启所有sensor反制功能后,当一个攻击者同时被多个Sensor检测到时,所有Sensor都会对其进行反制。没有开启该功能时,被最近一次检测到该攻击者的Sensor进行反制。

【举例】

# 开启所有Sensor进行反制功能。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] countermeasure policy home

[Sysname-wips-ctm-home] select sensor all

1.1.119  seq-number

seq-number命令用来配置Signature规则中匹配序列号的子规则。

undo seq-number 命令用来恢复缺省情况。

【命令】

seq-number seq-value1 [ to seq-value2 ]

undo seq-number

【缺省情况】

没有配置Signature规则中匹配序列号的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

seq-value1 [ to seq-value2 ]:指定报文序列号的范围。seq-value1seq-value2为报文序列号大小,取值范围为0~4095。seq-value2的值要大于或等于seq-value1的值。

【举例】

# 在编号为1的Signature规则中配置匹配对指定报文序列号为100的子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[wips-sig-rule-1] seq-number 100

1.1.120  signature policy

signature policy命令用来创建Signature策略,并进入Signature策略视图。

undo signature policy命令用来删除指定的Signature策略。

【命令】

signature policy policy-name

undo signature policy policy-name

【缺省情况】

没有创建Signature策略。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

policy-name:Signature策略名称,为1~63个字符的字符串,区分大小写。

【使用指导】

当指定名称的Signature策略没有创建时,配置此命令将创建并进入Signature策略视图;如果指定名称的Signature策略已经创建,则直接进入Signature策略视图。

【举例】

# 创建一个名称为home的Signature策略,并进入Signature策略视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature policy home

1.1.121  signature rule

signature rule命令用来创建Signature规则,并进入Signature规则视图。

undo signature rule命令用来删除指定的Signature规则。

【命令】

signature rule rule-id

undo signature rule rule-id

【缺省情况】

没有创建Signature规则。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

rule-id:Signature规则的编号,取值范围为1~65535。

【使用指导】

当指定编号的Signature规则视图没有创建时,配置此命令将创建并进入Signature规则视图;如果指定编号的Signature规则视图已经创建,则直接进入Signature规则视图。

【举例】

# 创建编号为1的Signature规则,并进入Signature规则视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

1.1.122  soft-ap

soft-ap命令用来开启对软AP的检测功能。

undo soft-ap命令用来关闭对软AP的检测功能。

【命令】

soft-ap [ convert-time time-value ]

undo soft-ap

【缺省情况】

不进行软AP检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

convert-time time-value:配置检测设备为软AP的时间间隔,即如果某个MAC地址从无线客户端切换为AP的时间间隔大于配置的检测时间间隔时,则认定该设备为软AP。time-value为时间间隔,取值范围5~600,单位为秒,缺省取值为10秒。

【举例】

# 开启对软AP的检测功能,判断软AP的依据为设备在100秒内发生角色切换。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] soft-ap convert-time 100

1.1.123  ssid (AP分类规则视图)

ssid命令用来在AP分类规则中对AP使用无线服务的SSID进行匹配。

undo ssid命令用来恢复缺省情况。

【命令】

ssid [ case-sensitive ] [ not ] { equal | include } ssid-string

undo ssid

【缺省情况】

没有在AP分类规则中对AP使用无线服务的SSID进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

case-sensitive:与SSID匹配时需要按照字母的大小写匹配。

not:匹配项与条件不等于或者不包括。

equal:匹配项与条件相同。

include:匹配项包含条件。

ssid-string:与SSID进行匹配的字符串,为1~32个字符的字符串,区分大小写。

【举例】

# 在ID为1的AP分类策略中匹配SSID为abc的AP。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] ssid equal abc

1.1.124  ssid (Signature规则视图)

ssid命令用来配置Signature规则中匹配SSID的子规则。

undo ssid命令用来恢复缺省情况。

【命令】

ssid [ case-sensitive ] [ not ] { equal | include } string

undo ssid

【缺省情况】

没有配置Signature规则中匹配SSID的子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

case-sensitive:与SSID匹配时需要按照字母的大小写匹配。

not:匹配项与条件不等于或不包括。

equal:匹配项与条件相同。

include:匹配项包含条件。

string:与SSID进行匹配的字符串,为1~32个字符的字符串,区分大小写。

【举例】

# 配置ID为1的Signature规则中SSID等于office的匹配子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[Sysname-wips-sig-rule-1] ssid equal office

1.1.125  ssid-length

ssid-length命令用来配置Signature规则中SSID长度的匹配子规则。

undo ssid-length命令用来恢复缺省情况。

【命令】

ssid-length length-value1 [ to length-value2 ]

undo ssid-length

【缺省情况】

没有配置Signature规则中SSID长度的匹配子规则。

【视图】

Signature规则视图

【缺省用户角色】

network-admin

【参数】

length-value1 [ to length-value2 ]:指定SSID长度的范围。length-value1length-value2为SSID长度,取值范围为1~32。length-value2的值要大于或等于length-value1的值。

【举例】

# 配置ID为1的Signature规则中SSID长度为10的匹配子规则。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] signature rule 1

[Sysname-wips-sig-1] ssid-length 10

1.1.126  trust mac-address

trust mac-address命令用来将指定的MAC地址添加到信任设备列表中。

undo trust mac-address命令用来删除信任设备列表中的MAC地址。

【命令】

trust mac-address mac-address

undo trust mac-address { mac-address | all }

【缺省情况】

信任设备列表中不存在MAC地址。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

mac-address:AP或客户端的MAC地址。

all:所有MAC地址。

【举例】

# 将MAC地址78AC-C0AF-944F添加到信任设备列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] trust mac-address 78AC-C0AF-944F

1.1.127  trust oui

trust oui命令用来将指定的OUI添加到信任OUI列表中。

undo trust oui命令用来删除信任OUI列表中的OUI。

【命令】

trust oui oui

undo trust oui { oui | all }

【缺省情况】

信任OUI列表中不存在OUI。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

oui:OUI名称,为6个字符的字符串,不区分大小写。

all:所有OUI。

【举例】

# 将名为000fe4、000fe5的OUI添加到信任OUI列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] trust oui 000fe4

[Sysname-wips-cls-home] trust oui 000fe5

1.1.128  trust ssid

trust ssid命令用来将指定的SSID添加到信任设备列表中。

undo trust ssid命令用来删除信任设备列表中的SSID。

【命令】

trust ssid ssid-name

undo trust ssid { ssid-name | all }

【缺省情况】

信任设备列表中不存在SSID。

【视图】

分类策略视图

【缺省用户角色】

network-admin

【参数】

ssid-name:SSID的名称,为1~32个字符的字符串,区分大小写。

all:所有SSID。

【举例】

# 将名为flood1的SSID添加到信任设备列表中。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] classification policy home

[Sysname-wips-cls-home] trust ssid flood1

1.1.129  unencrypted-authorized-ap

unencrypted-authorized-ap命令用来开启未加密授权AP检测功能。

undo unencrypted-authorized-ap命令用来关闭对未加密授权AP的检测功能。

【命令】

unencrypted-authorized-ap [ quiet quiet-value ]

undo unencrypted-authorized-ap

【缺省情况】

不进行未加密授权AP的检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。

【举例】

# 开启未加密授权的AP检测功能,静默时间为10秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] unencrypted-authorized-ap quiet 10

1.1.130  unencrypted-trust-client

unencrypted-trust-client命令用来开启未加密的信任客户端检测功能。

undo unencrypted-trust-client命令用来关闭对未加密的信任客户端的检测功能。

【命令】

unencrypted-trust-client [ quiet quiet-value ]

undo unencrypted-trust-client

【缺省情况】

不对未加密的信任客户端进行检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。

【举例】

# 开启未加密的信任客户端的检测功能,静默时间为10秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] unencrypted-trust-client quiet 10

1.1.131  up-duration

up-duration 命令用来在AP分类规则中对AP的运行时间进行匹配。

undo up-duration命令用来恢复缺省情况。

【命令】

up-duration value1 [ to value2 ]

undo up-duration

【缺省情况】

没有在AP分类规则中对AP的运行时间进行匹配。

【视图】

AP分类规则视图

【缺省用户角色】

network-admin

【参数】

value1 [ to value2 ]:指定匹配运行时间条件值的范围。value1value2为匹配运行时间条件值,取值范围为0~2592000,单位为秒。value2的值要大于或等于value1的值。

【举例】

# 在ID为1的AP分类规则中配置匹配运行时间在2000~40000秒之间的AP。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] ap-classification rule 1

[Sysname-wips-cls-rule-1] up-duration 2000 to 40000

1.1.132  virtual-security-domain

virtual-security-domain命令用来创建VSD(Virtual Security Domain,虚拟安全域),并进入VSD视图。

undo virtual-security-domain命令用来删除已创建的VSD。

【命令】

virtual-security-domain vsd-name

undo virtual-security-domain vsd-name

【缺省情况】

不存在VSD。

【视图】

WIPS视图

【缺省用户角色】

network-admin

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 创建名为office的VSD,并进入VSD视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] virtual-security-domain office

[Sysname-wips-vsd-office]

1.1.133  weak-iv

weak-iv命令用来配置Weak IV检测。

undo weak-iv命令用来恢复缺省情况。

【命令】

weak-iv [ quiet quiet-value ]

undo weak-iv

【缺省情况】

不进行Weak IV检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警信息后的静默时间,取值范围为5~604800,单位为秒,缺省值为600秒。在静默期间,设备再次检测到Weak IV也不会发送告警信息。

【使用指导】

设备检测到Weak IV后会发送告警信息。

【举例】

# 配置Weak IV检测。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] weak-iv

1.1.134  windows-bridge

windows-bridge命令用来开启Windows网桥检测功能。

undo windows-bridge命令用来关闭对Windows网桥的检测功能。

【命令】

windows-bridge [ quiet quiet-value ]

undo windows-bridge

【缺省情况】

不进行Windows网桥检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,设备检测到Windows网桥,设备也不会发送告警日志。

【举例】

# 开启Windows网桥检测功能,静默时间为360秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] windows-bridge quiet 360

1.1.135  wireless-bridge

wireless-bridge命令用来开启无线网桥检测功能。

undo wireless-bridge命令用来关闭无线网桥检测功能。

【命令】

wireless-bridge [ quiet quiet-value ]

undo wireless-bridge

【缺省情况】

不进行无线网桥检测。

【视图】

攻击检测策略视图

【缺省用户角色】

network-admin

【参数】

quiet quiet-value:发送告警日志后的静默时间,取值范围为5~604800,单位为秒,缺省值为600。在静默期间,即使检测到无线网桥,设备也不会发送告警日志。

【举例】

# 开启无线网桥检测功能,静默时间为100秒。

<Sysname> system-view

[Sysname] wips

[Sysname-wips] detect policy home

[Sysname-wips-dtc-home] wireless-bridge quiet 100

1.1.136  wips

wips命令用来进入WIPS视图。

undo wips命令用来删除WIPS视图下所有配置。

【命令】

wips

undo wips

【缺省情况】

没有配置WIPS视图。

【视图】

系统视图

【缺省用户角色】

network-admin

【举例】

# 进入WIPS视图。

<Sysname> system-view

[Sysname] wips

[Sysname-wips]

1.1.137  wips enable

wips enable命令用来开启WIPS功能。

undo wips enable命令用来恢复缺省情况。

【命令】

wips enable

undo wips enable

【缺省情况】

Radio视图下,继承AP组配置。

AP组Radio视图下,WIPS功能处于关闭状态。

【视图】

Radio视图

AP组Radio视图

【缺省用户角色】

network-admin

【举例】

# 在AP 1的Radio 1上开启WIPS功能。

<Sysname> system-view

[Sysname] wlan ap ap1 model WA5320E-WiNet

[Sysname-wlan-ap-ap1] radio 1

[Sysname-wlan-ap-ap1-radio-1] wips enable

# 在AP组apgroup1下WA5320E-WiNet的Radio 1上开启WIPS功能。

<Sysname> system-view

[Sysname] wlan ap-group apgroup1

[Sysname-wlan-ap-group-apgroup1] ap-model WA5320E-WiNet

[Sysname-wlan-ap-group-apgroup1-ap-model-WA5320E-WiNet] radio 1

[Sysname-wlan-ap-group-apgroup1-ap-model-WA5320E-WiNet-radio-1] wips enable

1.1.138  wips virtual-security-domain

wips virtual-security-domain命令用来将AP加入到指定的VSD中。

undo wips virtual-security-domain命令用来删除已加入VSD的AP。

【命令】

wips virtual-security-domain vsd-name

undo wips virtual-security-domain

【缺省情况】

AP视图下,继承AP组配置。

AP组视图下,没有将AP组加入到任何的VSD中。

【视图】

AP视图

【缺省用户角色】

network-admin

【参数】

vsd-name:虚拟安全域的名称,为1~63个字符的字符串,区分大小写。

【举例】

# 将ap1加入到名为office的VSD中。

<Sysname> system-view

[Sysname] wlan ap ap1 model WA5320E-WiNet

[Sysname-wlan-ap-ap1] wips virtual-security-domain office

# 将AP组apgroup1加入到名为office的VSD中。

<Sysname> system-view

[Sysname] wlan ap-group apgroup1

[Sysname-wlan-ap-group-apgroup1] wips virtual-security-domain office

1.1.139  wlan nat-detect

wlan nat-detect enable命令用来开启私接代理检测功能。

wlan nat-detect disable命令用来关闭私接代理检测功能。

undo wlan nat-detect命令用来恢复缺省情况。

【命令】

wlan nat-detect { disable | enable }

undo wlan nat-detect

【缺省情况】

AP视图下,继承AP组配置。

AP组视图下,私接代理检测功能处于关闭状态。

【视图】

AP视图

AP组视图

【缺省用户角色】

network-admin

【参数】

disable:关闭私接代理检测功能。

enable:开启私接代理检测功能。

【使用指导】

设备检测到私接代理设备后会发送告警信息,使用display wlan nat-detect命令可以查看私接代理检测信息。

【举例】

# 在AP 1上开启私接代理检测功能。

<Sysname> system-view

[Sysname] wlan ap ap1 model WA5320E-WiNet

[Sysname-wlan-ap-ap1] wlan nat-detect enable

# 在AP组aaa上开启私接代理检测功能。

<Sysname> system-view

[Sysname] wlan ap-group aaa

[Sysname-wlan-ap-group-aaa] wlan nat-detect enable

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!