选择区域语言: EN CN HK

09-安全命令参考

15-攻击检测与防范命令

本章节下载  (99.29 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S5560/S5560X-EI/Command/Command_Manual/H3C_S5560X-EI_CR-R1118[1118P07]-6W101/09/201906/1191786_30005_0.htm

15-攻击检测与防范命令


1 攻击检测与防范

1.1  攻击检测与防范配置命令

1.1.1  attack-defense login reauthentication-delay

attack-defense login reauthentication-delay命令用来配置Login用户登录失败后重新进行认证的等待时长。

undo attack-defense login reauthentication-delay命令用来恢复缺省情况。

【命令】

attack-defense login reauthentication-delay seconds

undo attack-defense login reauthentication-delay

【缺省情况】

Login用户登录失败后重新进行认证不需要等待。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

seconds:设备管理用户登录失败后重新进行认证的等待时长,取值范围为4~60,单位为秒。

【使用指导】

Login用户登录失败后,若设备上配置了重新进行认证的等待时长,则系统将会延迟一定的时长之后再允许用户进行认证,可以避免设备受到字典式攻击。

Login用户延迟认证功能与Login用户攻击防范功能无关,只要配置了延迟认证等待时间,即可生效。

【举例】

# 配置Login用户登录失败后重新进行认证的等待时长为5秒钟。

<Sysname> system-view

[Sysname] attack-defense login reauthentication-delay 5

1.1.2  attack-defense tcp fragment enable

attack-defense tcp fragment enable命令用来开启TCP分片攻击防范功能。

undo attack-defense tcp fragment enable命令用来关闭TCP分片攻击防范功能。

【命令】

attack-defense tcp fragment enable

undo attack-defense tcp fragment enable

【缺省情况】

TCP分片攻击防范功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

设备的包过滤功能一般是通过判断TCP首个分片中的五元组(源IP地址、源端口号、目的IP地址、目的端口号、传输层协议号)信息来决定后续TCP分片是否允许通过。RFC 1858对TCP分片报文进行了规定,认为TCP分片报文中,首片报文中TCP报文长度小于20字节,或后续分片报文中分片偏移量等于8字节的报文为TCP分片攻击报文。这类报文可以成功绕过上述包过滤功能,对设备造成攻击。为防止这类攻击,可以在设备上开启TCP分片攻击防范功能,对TCP分片攻击报文进行丢弃。

如果设备上开启了TCP分片攻击防范功能,并应用了单包攻击防范策略,则TCP分片攻击防范功能会先于单包攻击防范策略检测并处理入方向的TCP报文。

【举例】

# 开启TCP分片攻击防范功能。

<Sysname> system-view

[Sysname] attack-defense tcp fragment enable

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!