02-WLAN命令参考

06-WLAN IDS命令

本章节下载  (209.83 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/H3C_WX3000/Command/Command_Manual/H3C_CR(E3703P61_R2509P61_R3709P61)-6W108/02/201707/1012733_30005_0.htm

06-WLAN IDS命令


1 WLAN IDS

1.1  WLAN非法设备检测配置命令

1.1.1  countermeasures enable

【命令】

countermeasures enable

undo countermeasures enable

【视图】

WLAN IDS视图

【缺省级别】

2:系统级

【参数】

【描述】

countermeasures enable命令用来使能对攻击列表里的rogue设备的采取反制功能。undo countermeasures enable命令用来恢复缺省情况。

缺省情况下,关闭反制rogue设备的功能。

【举例】

# 使能反制rogue设备的功能。

<Sysname> system-view

[Sysname] wlan ids

[Sysname-wlan-ids] countermeasures enable

1.1.2  countermeasures mode

【命令】

countermeasures mode { all | { rogue | adhoc | config }* }

undo countermeasures mode

【视图】

WLAN IDS视图

【缺省级别】

2:系统级

【参数】

all:对攻击列表里的所有rogue设备进行反制。

rogue:对rogue AP和客户端进行反制。

adhoc:对rogue adhoc设备进行反制。

config:对静态配置的rogue设备进行反制。

【描述】

countermeasures mode命令用来设置反制rogue设备功能的模式。undo countermeasures mode命令用来恢复缺省情况。

缺省情况下,反制模式为config

【举例】

# 设置反制模式为rogue。

<Sysname> system-view

[Sysname] wlan ids

[Sysname-wlan-ids] countermeasures mode rogue

1.1.3  countermeasures on-service interval

【命令】

countermeasures on-service interval interval [ max-device max-device ]

undo countermeasures on-service

【视图】

WLAN IDS视图

【缺省级别】

2:系统级

【参数】

interval:对rogue设备的反制时间间隔,取值范围为100~5000,缺省值为5000,单位毫秒。

max-device:AP可反制的最大设备数,取值范围为1~256,缺省值为256,256为当前反制列表的最大容量。

【描述】

countermeasures on-service interval命令用来设置AP在提供无线服务的同时,对攻击列表里的rogue设备进行反制的反制时间间隔和反制的最大设备数。

undo countermeasures on-service用来恢复缺省情况。

缺省情况下,反制时间间隔为5000毫秒,反制的最大设备数为256。

【举例】

# 设置反制时间间隔和AP最大反制设备数。

<Sysname> system-view

[Sysname] wlan ids

[Sysname-wlan-ids]  countermeasures  on-servce intervl 1000 max-device 5

1.1.4  device aging-duration

【命令】

device aging-duration duration

undo device aging-duration

【视图】

WLAN IDS视图

【缺省级别】

2:系统级

【参数】

duration:入侵列表中表项的老化时间,取值范围为300~1800,单位为秒。

【描述】

device aging-duration命令用来设置入侵列表中表项的老化时间。undo device aging-duration命令用来恢复缺省情况。

缺省情况下,入侵列表中表项的老化时间为600秒。

如果表项在老化时间内没有被设备检测到有入侵行为,那么入侵列表将删除此表项。如果被删除的是rogue表项,该表项将被添加到rogue的历史列表中去。

【举例】

# 设置入侵列表中表项的老化时间为1200秒。

<Sysname> system-view

[Sysname] wlan ids

[Sysname-wlan-ids] device aging-duration 1200

1.1.5  device attack mac-address

【命令】

device attack mac-address mac-address

undo device attack mac-address [ mac-address ]

【视图】

WLAN IDS视图

【缺省级别】

2:系统级

【参数】

mac-address:需要添加到攻击列表中的AP或客户端的MAC地址。

【描述】

device attack mac-address命令用来配置添加到攻击列表的表项。undo device attack mac-address命令用来删除已添加到攻击列表的表项。

执行undo device attack mac-address命令时,如果没有携带mac-address参数,则删除所有表项。

攻击列表中最多能配置64条表项。

【举例】

# 添加一条表项,MAC地址为aabb-cc00-0001。

<Sysname> system-view

[Sysname] wlan ids

[Sysname-wlan-ids] device attack mac-address aabb-cc00-0001

1.1.6  device permit

【命令】

device permit { mac-address mac-address | ssid ssid | vendor oui }

undo device permit { mac-address [ mac-address ] | ssid [ ssid ] | vendor [ oui ] }

【视图】

WLAN IDS视图

【缺省级别】

2:系统级

【参数】

mac-address:将被添加到允许MAC地址列表中的AP或客户端的MAC地址,例如在RF扫描时被忽略的已知设备,最多可配置256条。

ssid:需要添加到允许SSID列表的SSID,为1~32个字符的字符串,区分大小写。最多可配置256条。

oui:需要添加到允许厂商列表的AP的OUI(Organizational Unique Identifier,全球统一标识符),OUI参数被定义为一个固定的16进制数字符串,该列表最多可配置64条。

【描述】

device permit命令用来添加允许表项,包括允许MAC地址列表,允许SSID列表和允许厂商列表。undo device permit命令用来删除已配置的允许条目。

执行undo device permit命令时,如果没有携带mac-addressssidoui参数,则表示删除已有的允许MAC地址列表,允许SSID列表和允许厂商列表。

【举例】

# 将MAC地址为aabb-cccc-dddd的AP或客户端加入friend列表。

<Sysname> system-view

[Sysname] wlan ids

[Sysname-wlan-ids] device permit mac-address aabb-cccc-dddd

1.1.7  device-detection enable

【命令】

device-detection enable

undo device-detection enable

【视图】

AP模板视图/AP组视图

【缺省级别】

2:系统级

【参数】

【描述】

device-detection enable命令用来设置AP工作在Hybrid模式。undo device-detection enable命令用来恢复缺省情况。

缺省情况下,AP设置为Normal模式,仅提供WLAN服务。

如果AP已经工作在Monitor模式,该命令不可见。

需要注意的是:

·     如果AP工作在Hybrid模式,需要配置服务模板,这样AP在监测的同时提供无线服务。

·     在AP模板视图下执行该命令,则该配置只对指定的AP生效。

·     在AP组视图下执行该命令,则该配置对AP组内的所有AP生效。

说明

 

【举例】

# 设置AP工作在Hybrid模式。

<Sysname> system-view

[Sysname] wlan ap 2 model WA3628i-AGN

[Sysname-wlan-ap2] device-detection enable

# 配置AP组名为office内所有成员AP工作在Hybrid模式。

<Sysname> system-view

[Sysname] wlan ap-group office

[Sysname-ap-group-office] device-detection enable

1.1.8  display wlan ids attack-list

【命令】

display wlan ids attack-list { config | all | ap ap-name } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

config:显示静态配置的攻击列表的表项。

all:显示所有基于Rogue检测设备的动态预攻击列表。对任意的AP如果列表项超出256项,只有前256项将被发送到AP的攻击列表。

ap ap-name:以字符串的形式显示AP上所有基于Rogue检测设备的动态预攻击列表。对任意的AP如果列表项超出256项,只有前256项将被发送到AP的攻击列表。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ids attack-list命令用来查看WIDS的反制攻击列表。

【举例】

# 显示所有AP的WIDS的反制攻击列表。

<Sysname> display wlan ids attack-list all

 Total Number of Entries: 2

 Flags: a = adhoc, w = ap, c = client

 #AP = number of active APs detecting, Ch = channel number

                               Attack List - All

--------------------------------------------------------------------------

 MAC Address    type #AP  Ch  Last Detected Time  SSID

--------------------------------------------------------------------------

 0009-5b94-2fb0 --c  1    1   2012-05-16/14:16:05 -

 001b-1109-a32b --c  1    5   2012-05-16/14:16:17 -

--------------------------------------------------------------------------

表1-1 display wlan ids attack-list all命令显示信息描述表

字段

描述

MAC Address

被攻击的设备的MAC地址

Flags

类型,包括Adhoc、AP和Client

#AP

检测到该设备的AP

如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型

Ch

最后一次检测到该设备的信道

Last Detected Time

最后一次被检测到的时间

SSID

用来标识ESS的SSID

 

# 显示指定AP的WIDS的反制攻击列表。

<Sysname> display wlan ids attack-list ap ap6

 Total Number of Entries: 22

 Flags: a = adhoc, w = ap, c = client

 #AP = number of active APs detecting, Ch = channel number

                                Attack List - AP

--------------------------------------------------------------------------

 MAC Address    type #AP  Ch  Last Detected       SSID

--------------------------------------------------------------------------

 000b-6b8f-fc6a --c  1    11  2012-01-22/15:33:21 -

 000f-e000-0052 -w-  1    10  2012-01-22/15:33:58 "xxxx-xxxx-xxxx"

 000f-e200-0000 -w-  1    9   2012-01-22/15:33:59 "6103_kaifang"

 000f-e200-0001 -w-  1    9   2012-01-22/15:33:59 "6103_youxian"

 000f-e200-0002 -w-  1    9   2012-01-22/15:33:59 "6103_zhengshu"

 000f-e200-0003 -w-  1    9   2012-01-22/15:33:59 "6103_zhengshu+WPA2"

 000f-e200-00a2 --c  1    9   2012-01-22/15:33:29 -

 000f-e25d-f4b0 -w-  1    9   2012-01-22/15:33:58 "6103_kaifang"

 000f-e25d-f4b1 -w-  1    9   2012-01-22/15:33:59 "6103_youxian"

 000f-e25d-f4b2 -w-  1    9   2012-01-22/15:33:59 "6103_zhengshu"

 000f-e25d-f4b3 -w-  1    9   2012-01-22/15:33:59 "6103_zhengshu+WPA2"

 000f-e26c-2250 -w-  1    11  2012-01-22/15:33:59 "bjwifidata"

 000f-e26c-2251 -w-  1    11  2012-01-22/15:33:58 "bjwifivoice"

 000f-e26c-2252 -w-  1    11  2012-01-22/15:33:58 "voice"

 000f-e26c-28d0 -w-  1    11  2012-01-22/15:33:58 "wyg3000"

 000f-e278-8020 -w-  1    6   2012-01-22/15:33:58 "test11"

 000f-e278-8181 -w-  1    7   2012-01-22/15:33:59 "nsw-wep"

 000f-e27b-3f80 -w-  1    6   2012-01-22/15:33:38 "ytj-a"

 000f-e27b-4230 -w-  1    4   2012-01-22/15:33:58 "test2"

 0011-9548-4007 --c  1    7   2012-01-22/15:33:49 -

 0019-5bcf-cce3 --c  1    5   2012-01-22/15:33:25 -

 001a-9228-2d3e --c  1    11  2012-01-22/15:33:53 -

--------------------------------------------------------------------------

display wlan ids attack-list ap ap1命令参数的解释请参见表1-1

1.1.9  display wlan ids detected

【命令】

display wlan ids detected { all | rogue { ap | client } | adhoc | ssid | mac-address mac-address } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

all:显示WLAN中检测到的所有设备,包括网络周围的Rogue设备和被忽略的设备。

rogue:显示WLAN中检测到的Rogue AP或客户端。

adhoc:显示WLAN中检测到的属于Adhoc网络的客户端。

ssid:显示WLAN中检测到的SSID。

mac-address mac-address:显示WLAN中检测到的指定MAC的AP或客户端的信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ids detected命令用来查看WLAN检测到的各种设备。

【举例】

# 显示WLAN检测到的所有设备。

<Sysname> display wlan ids detected all

 Total Number of Entries : 18

 Flags: r = rogue, p = permit, a = adhoc, w = ap, b = wireless-bridge,

        c = client

 #AP = number of active APs detecting, Ch = channel number

                          Detected Device(s) List

--------------------------------------------------------------------------

 MAC Address    Vendor        Type  #AP  Ch  Last Detected       SSID

--------------------------------------------------------------------------

 000f-e281-1322 XEROX CORP... -p-w- 1    4   2012-05-16/10:49:15 "cyh-psk2"

 000f-e281-1323 XEROX CORP... -p-w- 1    4   2012-05-16/10:49:05 "cyh-ccmp"

 000f-e281-1460 XEROX CORP... -p-w- 1    6   2012-05-16/10:49:26 "fl"

 000f-e281-1461 XEROX CORP... -p-w- 1    6   2012-05-16/10:49:26 "fg2"

 0012-f0cc-4789 XEROX CORP... -p--c 1    1   2012-05-16/10:49:11 -

 0013-f702-dbd2 XEROX CORP... -p--c 1    7   2012-05-16/10:46:58 -

 0016-6f99-fbf6 XEROX CORP... -p--c 1    11  2012-05-16/10:49:02 -

 0016-6f99-fc21 XEROX CORP... -p--c 1    6   2012-05-16/10:49:25 -

 0017-9a00-7986 XEROX CORP... -p--c 1    8   2012-05-16/10:48:04 -

 0017-9a00-79bd XEROX CORP... -p--c 1    7   2012-05-16/10:47:18 -

 0017-9a00-7b47 XEROX CORP... r---c 1    10  2012-05-16/10:48:49 -

 0017-9a00-7cb8 XEROX CORP... -p--c 1    1   2012-05-16/10:49:20 -

 0019-5bcf-ccfd XEROX CORP... -p--c 1    11  2012-05-16/10:49:24 -

 001b-111d-b46f XEROX CORP... -p--c 1    6   2012-05-16/10:48:56 -

 001c-f017-41dc XEROX CORP... -p--c 1    6   2012-05-16/10:48:00 -

 001c-f017-41dd XEROX CORP... -p--c 1    6   2012-05-16/10:49:19 -

 001d-0f32-4305 XEROX CORP... -p--c 1    1   2012-05-16/10:48:33 -

 0810-741a-1b4c XEROX CORP... -p--c 1    11  2012-05-16/10:49:04 -

--------------------------------------------------------------------------

表1-2 display wlan ids detected命令显示信息描述表

字段

描述

MAC Address

检测到的设备的MAC地址

Vendor

检测到的设备的厂商

Flags

类型,包括Adhoc、AP、无线网桥和Client

#AP

检测到该设备的AP

如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型

Ch

最后一次检测到该设备的信道

Last Detected

最后一次被检测到的时间

SSID

用来标识ESS的SSID

 

# 显示检测到的rogue AP信息。

<Sysname> display wlan ids detected rogue ap

Total Number of Entries : 6                                              

#AP = number of active APs detecting, Ch = channel number

                           Detected Rogue AP(s) List                     

----------------------------------------------------------------------

 MAC Address    Vendor     #AP Ch  Last Detected Time   SSID   

---------------------------------------------------------------------

 000B-8580-738F Aires...  1   10  2012-03-16/12:44:11  "Diamond"

 000F-E212-1230 Hangz...  1   5   2012-03-16/12:44:11  "1"     

 000F-E234-0200 Hangz...  1   11  2012-03-16/12:44:11  "VClear"

 000F-E2AA-CC04 Hangz...  1   12  2012-03-16/12:44:11  "baba"  

 000F-E2BB-CCD0 Hangz...  1   1   2012-03-16/12:44:11  "Rogue AP Team B..."

 000F-E2F2-2230 Hangz...  1   7   2012-03-16/12:44:11  "int-RT"

表1-3 display wlan ids detected rogue ap命令显示信息描述表

字段

描述

MAC Address

检测到的AP的MAC地址

Vendor

检测到的AP的厂商名称

#AP

检测到该设备的AP

如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型

Ch

最后一次检测到该设备的信道

Last Detected Time

最后一次被检测到的时间

SSID

用来标识ESS的SSID

 

# 显示检测到的rogue client的信息。

<Sysname> display wlan ids detected rogue client

Total Number of Entries : 1

#AP = number of active APs detecting, Ch = channel number

                         Detected Rogue Client(s) List

--------------------------------------------------------------------------

 MAC Address    Vendor        #AP  Ch  Last Detected       SSID

--------------------------------------------------------------------------

 0017-9a00-7b47 XEROX CORP... 1    9   2012-05-16/10:49:30 -

--------------------------------------------------------------------------

表1-4 display wlan ids detected rogue client命令显示信息描述表

字段

描述

MAC Address

检测到的client端的MAC地址

Vendor

检测到的client端厂商

#AP

检测到该设备的AP

如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型

Ch

最后一次检测到该设备的信道

Last Detected Time

最后一次被检测到的时间

SSID

用来标识ESS的SSID

 

# 显示检测到的adhoc的信息。

<Sysname> display wlan ids detected adhoc

Total Number of Entries : 4

#AP = number of active APs, Ch = channel number

                           Detected Adhoc(s) List

----------------------------------------------------------------------

 MAC Address    Vendor   #AP Ch  Last Detected Time SSID

----------------------------------------------------------------------

 000F-E212-1230 Hangz... 1   5   2012-03-16/12:44:11 -

 000F-E234-0200 Hangz... 1   11  2012-03-16/12:44:11 -

 000F-E2AA-CC04 Hangz... 1   12  2012-03-16/12:44:11 -

 000F-E2BB-CCD0 Hangz... 1   1   2012-03-16/12:44:11 -...

----------------------------------------------------------------------

表1-5 display wlan ids detected adhoc命令显示信息描述表

字段

描述

MAC Address

检测到的adhoc的MAC地址

Vendor

检测到的adhoc厂商

#AP

检测到该设备的AP

如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型

Ch

最后一次检测到该设备的信道

Last Detected Time

最后一次被检测到的时间

SSID

用来标识ESS的SSID

 

# 显示检测到的SSID的信息。

<Sysname> display wlan ids detected ssid

 Total Number of Entries : 7                                             

 #Device = number of devices using SSID                              

                             Detected SSID List                       

----------------------------------------------------------------------

 SSID                             #Device Last Detected Time             

----------------------------------------------------------------------

 "Crywep"                           1     2012-03-16/12:44:37            

 "H3COMTEST11"                      1     2012-03-16/12:44:37

 "autowep"                          2     2012-03-16/12:44:37            

 "baba"                             2     2012-03-16/12:44:37            

 "s1"                               1     2012-03-16/12:44:37            

 "s2"                               1     2012-03-16/12:44:37            

 "s4crypto"                         1     2012-03-16/12:43:48           

----------------------------------------------------------------------

表1-6 display wlan ids detected ssid命令显示信息描述表

字段

描述

SSID

用来标识ESS的SSID

#Device

使用此SSID的设备的数量

Last Detected Time

使用SSID的表项最后一次被检测到的时间

 

# 显示检测到的某个设备的详细信息。

<Sysname> display wlan ids detected mac-address 000F-E2BB-CCD0

                            Detected Device Profile

----------------------------------------------------------------------

 MAC Address                         : 000F-E2BB-CCD0

 BSSID                               : 000F-E2BB-CCD0

 Type                                : Rogue-AP

 SSID                                : "H3C"

 Vendor                              : New H3C Tech. Co., Ltd

 Number of APs detected it           : 2

 Channel                             : 11

 Maximum RSSI Detected               : 47

 Beacon Interval                     : 100

 First Detected(yyyy-mm-dd/hh:mm:ss) : 2012-03-16/11:32:54

 Reported AP 1:

   MAC Address                       : 000F-E210-2000

   AP Name                           : ap1

   Radio Type                        : 11g

   RSSI                              : 75

   Last Detected(yyyy-mm-dd/hh:mm:ss): 2012-03-16/12:43:37

 Reported AP 2:

   MAC Address                       : 000F-E210-2001

   AP Name                           : ap12

   Radio Type                        : 11g

   RSSI                              : 75

   Last Detected(yyyy-mm-dd/hh:mm:ss): 2012-03-16/12:44:37                    

----------------------------------------------------------------------

表1-7 display wlan ids detected mac-address命令显示信息描述表

字段

描述

MAC Address

检测到的设备的MAC地址

BSSID

检测到的设备的BSSID

Type

类型,包括Adhoc、AP、Client、friend、无线网桥和rogue

SSID

用来标识ESS的SSID

Vendor

检测到的设备厂商

Number of APs detected it

检测到该设备的AP

如果在多个AP上开启了WIDS功能,那么有可能出现多个AP都检测到某一个设备的设备类型。以本显示信息为例,该数值表示了有2个AP检测到了MAC地址为000F-E2BB-CCD0的设备,并认为此设备是Rogue设备

Channel

最后一次检测到该设备的信道

RSSI

设备最大检测到的RSSI

Beacon Interval

检测到的AP和adhoc表项的Beacon间隔

First Detected

表项首次被检测到的时间

Reported AP

Mac Address

上一次检测AP的MAC地址

AP name

上一次检测的AP的名称

Radio type

AP使用的射频

RSSI

设备最大检测到的RSSI

Last Detected (yyyy-mm-dd/hh:mm:ss)

rogue AP上一次检测的时间

 

1.1.10  display wlan ids permitted

【命令】

display wlan ids permitted { mac-address | ssid | vendor } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

mac-address:设备的MAC地址。

ssid:SSID号。

vendor:包含AP在内各种设备的OUI。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ids permitted命令用来查看WLAN信任的mac-address、ssid或者vendor列表。

【举例】

# 显示WLAN IDS允许的MAC地址列表。

<Sysname> display wlan ids permitted mac-address

Total Number of Entries: 4  

Flags: a = adhoc, w = ap, c = client

                                  Permitted Mac Address(s)

----------------------------------------------------------------------

 MAC Address    Detected Type

----------------------------------------------------------------------

 0000-0000-0001 Yes      a--

 0000-1111-1111 Yes      -b-

 0000-1111-1234 No       -

 0000-1111-5634 Yes      --c

----------------------------------------------------------------------

表1-8 display wlan ids permitted mac-address命令显示信息描述表

字段

描述

MAC Address

设备的MAC地址

Detected

该MAC地址是否被检测到

Type

类型,包括Adhoc、AP、无线网桥和Client

 

# 显示允许的SSID列表信息。

<Sysname> display wlan ids permitted ssid

Total Number of Entries: 5                                                    

                               Permitted SSID(s)                               

----------------------------------------------------------------------

 SSID                               Detected      

----------------------------------------------------------------------

 "s1"                              Yes                                              

 "s2"                              Yes                                            

 "s3"                              Yes                                            

 "s4"                              Yes                                            

 "s5"                              No                                            

----------------------------------------------------------------------

表1-9 display wlan ids permitted ssid命令显示信息描述表

字段

描述

SSID

用来标识ESS的SSID

Detected

设备是否可以检测到

 

# 显示允许的OUI列表信息。

<Sysname> display wlan ids permitted vendor

Total Number of Entries: 3

                              Permitted Vendor(s)

--------------------------------------------------------------------------------

 OUI      Vendor Name

--------------------------------------------------------------------------------

New H3C Tech. Co., Ltd.Netgear Inc.Cisco Systems, Inc.

--------------------------------------------------------------------------------

表1-10 display wlan ids permitted vendor命令显示信息描述表

字段

描述

OUI

包含AP在内各种设备的OUI

Vendor

指定设备OUI的生产厂商

 

1.1.11  display wlan ids rogue-history

【命令】

display wlan ids rogue-history [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ids rogue-history命令用来显示所有已经因超时而被从入侵列表中删除的rogue设备。

【举例】

# 显示所有已经因超时而被从入侵列表中删除的rogue设备。

<Sysname> display wlan ids rogue-history

 Total Number of Entries: 6

 Flags: a = adhoc, w = ap, b = wireless-bridge, c = client

 Ch = channel number

                              Rogue History List

----------------------------------------------------------------------

 MAC Address    Vendor   Type  Ch  Last Detected         SSID

----------------------------------------------------------------------

 00E0-9855-1D9A AboCo... -w-   11  2012-03-16/11:38:22 "ATNet"

 000F-E2CC-0005 Hangz... -b-   4   2012-03-16/11:37:06  -

 000F-E2CC-0004 Hangz... --c   4   2012-03-16/11:36:20  -

 000F-E2CC-DD00 Hangz... -w-   2   2012-03-16/11:36:17  "AKHIL"

 000F-E2CC-0003 Hangz... --c   4   2012-03-16/11:35:34  -

 0013-4651-23E7 D-Lin... -w-   6   2012-03-16/11:35:10  "home"

----------------------------------------------------------------------

表1-11 display wlan ids rogue-history命令显示信息描述表

字段

描述

MAC Address

设备的MAC地址

Vendor

检测到的设备的厂商

Flags

类型,包括Adhoc、AP、无线网桥和Client

Ch

最后一次检测到该设备的信道

Last Detected

最后一次被检测到的时间

SSID

用来标识ESS的SSID

 

1.1.12  wlan ids

【命令】

wlan ids

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

wlan ids命令用来进入WLAN IDS视图。

【举例】

# 进入WLAN IDS视图。

<Sysname> system-view

[Sysname] wlan ids

[Sysname-wlan-ids]

1.1.13  work-mode monitor

【命令】

work-mode monitor

undo work-mode

【视图】

AP模板视图/AP组视图

【缺省级别】

2:系统级

【参数】

【描述】

work-mode monitor命令用来设置AP的工作模式为Monitor模式。undo work-mode命令用来恢复缺省情况。

缺省情况下,AP设置为Normal模式,仅提供WLAN服务。

需要注意的是:

·     在AP模板视图下执行该命令,则该配置只对指定的AP生效。

·     在AP组视图下执行该命令,则该配置对AP组内的所有AP生效。

·     如果AP的工作模式为Monitor模式,那么此时AP仅做监测AP,不能提供无线服务,不需要配置服务模板。

·     AC设备支持工作在Monitor模式的AP的数量为AC设备支持的最大AP数量,在AC上所有工作在Monitor模式的AP数量之和不能超过支持的上限。假设某AC上最多可配置32个Monitor模式的AP,已经配置有30个AP工作在Monitor模式,某个AP组中有5个AP成员,在该AP组视图下执行work-mode monitor命令,那么以APID排序,只有排列在前2位的AP成员可以工作在Monitor模式。

·     当AP从Hybrid模式切换成Monitor模式时,需要首先执行undo device-detection enable 命令。

说明

 

【举例】

# 配置AP的工作模式为Monitor模式。

<Sysname> system-view

[Sysname] wlan ap ap2 model WA3628i-AGN

[Sysname-wlan-ap-ap2] work-mode monitor

# 配置AP组名为office内所有成员AP的工作模式为Monitor模式。

<Sysname> system-view

[Sysname] wlan ap-group office

[Sysname-ap-group-office] work-mode monitor

1.1.14  reset wlan ids detected

【命令】

reset wlan ids detected { all | rogue { ap | client } | adhoc | ssid | mac-address mac-address }

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

all:WLAN中检测到的所有设备。

rogue:WLAN中检测到的所有rogue设备(AP或者Clients)。

adhoc:WLAN中检测到的所有adhoc。

ssid:WLAN中检测到的所有ssid。

mac-address mac-address:指定设备的MAC地址(AP或者Client)。

【描述】

reset wlan ids detected命令用于清除WLAN中检测到的设备列表。

【举例】

# 清除WLAN中检测到的所有设备。

<Sysname> reset wlan ids detected all

1.1.15  reset wlan ids rogue-history

【命令】

reset wlan ids rogue-history

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

【描述】

reset wlan ids rogue-history命令用来清除rogue历史列表。

【举例】

# 清除rogue历史列表。

<Sysname> reset wlan ids rogue-history

1.2  WLAN IDS攻击检测配置命令

1.2.1  attack-detection enable

【命令】

attack-detection enable { all | flood | spoof | weak-iv }

undo attack-detection enable

【视图】

WLAN IDS视图

【缺省级别】

2:系统级

【参数】

all:使能所有攻击检测功能。

flood:使能泛洪攻击检测功能。

weak-iv:使能weak-iv攻击检测功能。

spoof:使能spoof攻击检测功能。

【描述】

attack-detection enable命令用来使能攻击检测功能。undo attack-detection enable命令用来恢复缺省情况。

缺省情况下,攻击检测功能处于关闭状态。

【举例】

# 使能spoof攻击检测功能。

<Sysname> system-view

[Sysname] wlan ids

[Sysname-wlan-ids] attack-detection enable spoof

1.2.2  display wlan ids history

【命令】

display wlan ids history [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ids history命令用来显示WLAN系统的攻击检测历史信息,最多可以显示512条历史信息。

【举例】

# 显示历史攻击信息。

<Sysname> display wlan ids history

 Total Number of Entries: 5

  Flags:

   act = Action Frame             asr = Association Request

   aur = Authentication Request   daf = Deauthentication Frame

   dar = Disassociation Request   ndf = Null Data Frame

   pbr = Probe Request            rar = Reassociation Request

   saf = Spoofed Disassociation Frame

   sdf = Spoofed Deauthentication Frame    

   wiv = Weak IV Detected

   AT - Attack Type, Ch - Channel Number, AR - Average RSSI

                              WIDS History Table

----------------------------------------------------------------------

 MAC Address      AT    Ch    AR    Detected Time          AP

----------------------------------------------------------------------

 0027-E699-CA71   asr   8     44    2010-06-12/19:47:54    ap12

 0015-E9A4-D7F4   wiv   8     45    2010-06-12/19:45:28    ap48

 0027-E699-CA71   asr   8     20    2010-06-12/19:18:17    ap12

 003d-B5A6-539F   pbr   8     43    2010-06-12/19:10:48    ap56

 0015-E9A4-D7F4   wiv   8     50    2010-06-12/19:01:28    ap48

----------------------------------------------------------------------

表1-12 display wlan ids history命令显示信息描述表

字段

描述

MAC-Address

在欺骗攻击模式下,该阈值提供用于欺骗攻击的BSSID;在其它攻击模式下,该阈值用于提供发起攻击的设备的MAC地址

AT

攻击类型首字母缩写

Ch

攻击检测频道

AR

攻击帧的平均RSSI

Detected time

攻击检测时间

AP

检测到攻击的AP名称

 

1.2.3  display wlan ids statistics

【命令】

display wlan ids statistics [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ids statistics命令用来显示检测到的攻击数。

【举例】

# 显示wlan ids的统计信息。

<Sysname> display wlan ids statistics

 Current attack tracking since: 2010-06-21/12:46:33                      

----------------------------------------------------------------------

 Type                                            Current       Total      

----------------------------------------------------------------------

 Probe Request Frame Flood Attack                2             7         

 Authentication Request Frame Flood Attack       0             0         

 Deauthentication Frame Flood Attack             0             0         

 Association Request Frame Flood Attack          1             1         

 Disassociation Request Frame Flood Attack       4             8         

 Reassociation Request Frame Flood Attack        0             0          

 Action Frame Flood Attack                       0             0          

 Null Data Frame Flood Attack                    0             0          

 Weak IVs Detected                               12            21        

 Spoofed Deauthentication Frame Attack           0             0         

 Spoofed Disassociation Frame Attack             0             2         

----------------------------------------------------------------------

表1-13 display wlan ids statistics命令显示信息描述表.

字段

描述

Current

标识当前攻击的跟踪时间,该字段提供了从当前攻击跟踪时间(在显示信息中“Current attack tracking since:”定义的时间)起的攻击检测数。当前攻击的跟踪时间在系统启动时开始计算,后续以小时为单位刷新

Total

系统从启动以来的所有检测到的攻击数

Probe Request Frame Flood Attack

探查请求帧的泛洪攻击数

Authentication Request Frame Flood Attack

认证请求帧的泛洪攻击数

Deauthentication Frame Flood Attack

解除认证请求帧的泛洪攻击数

Association Request Frame Flood Attack

关联请求帧的泛洪攻击数

Disassociation Request Frame Flood Attack

解除关联请求帧的泛洪攻击数

Reassociation Request Frame Flood Attack

重关联请求帧的泛洪攻击数

Action Frame Flood Attack

执行帧的泛洪攻击数

Null Data Frame Flood Attack

空数据帧的泛洪攻击数

Weak IVs Detected

弱IV

Spoofed Deauthentication Frame Attack

欺骗解除认证帧的攻击数

Spoofed Disassociation Frame Attack

欺骗解除关联帧的攻击数

 

1.2.4  reset wlan ids history

【命令】

reset wlan ids history

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

【描述】

reset wlan ids history命令用来重置WLAN系统攻击检测的历史信息。在执行了这条命令后所有关于攻击的历史信息将被清除,历史信息列表将被清空。

【举例】

# 重置wlan ids历史信息。

<Sysname> reset wlan ids history

1.2.5  reset wlan ids statistics

【命令】

reset wlan ids statistics

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

【描述】

reset wlan ids statistics命令用来重置WLAN系统攻击检测的统计信息。该命令将重置包括current和total字段的所有在WIDS统计列表内的攻击类型。

【举例】

# 重置wlan ids统计信息。

<Sysname> reset wlan ids statistics

1.3  WIDS黑白名单

1.3.1  display wlan blacklist

【命令】

display wlan blacklist { static | dynamic } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

static:只显示静态配置的黑名单列表。

dynamic:显示所有动态配置的黑名单列表。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan blacklist命令用来显示静态或动态配置的黑名单列表。

【举例】

# 显示静态配置的黑名单列表。

<Sysname> display wlan blacklist static

Total Number of Entries: 3

                               Static Blacklist

----------------------------------------------------------------------

 MAC-Address

----------------------------------------------------------------------

 0014-6c8a-43ff

 0016-6F9D-61F3

 0019-5B79-F04A

----------------------------------------------------------------------

表1-14 display wlan blacklist static命令显示信息描述表

字段

描述

MAC-Address

静态黑名单列表中的无线客户端MAC地址

 

# 显示设备检测到的动态黑名单列表。

<Sysname> display wlan blacklist dynamic

Total Number of Entries: 3

                               Dynamic Blacklist

-------------------------------------------------------------------------------

 MAC-Address    APID Lifetime(s) Blacklisted For (hh:mm:ss)   Reason

-------------------------------------------------------------------------------

 000f-e2cc-0001 1    60          00:02:11                     Assoc-Flood

 000f-e2cc-0002 2    60          00:01:17                     Deauth-Flood

 000f-e2cc-0003 3    60          00:02:08                     Auth-Flood

表1-15 display wlan blacklist dynamic命令显示信息描述表

字段

描述

MAC-Address

动态黑名单列表中的无线客户端MAC地址

APID

动态黑名单列表中,检测到动态黑名单的AP的序列号

Lifetime(s)

动态黑名单列表中对应项的生存时间(单位:秒)

Blacklisted For (hh:mm:ss)

动态黑名单列表中对应项已经存在了多长时间

Reason

动态黑名单列表中对应项添加的原因

 

1.3.2  display wlan whitelist

【命令】

display wlan whitelist [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan whitelist命令用来显示白名单列表。

【举例】

# 显示白名单列表信息。

<Sysname> display wlan whitelist

Total Number of Entries: 3

                               Whitelist

----------------------------------------------------------------------

 MAC-Address

----------------------------------------------------------------------

 000e-35b2-000e

 0019-5b8e-b709

 001c-f0bf-9c92

----------------------------------------------------------------------

表1-16 display wlan whitelist命令显示信息描述表

字段

描述

MAC-Address

白名单列表中的客户端MAC地址

 

1.3.3  dynamic-blacklist enable

【命令】

dynamic-blacklist enable

undo dynamic-blacklist enable

【视图】

WLAN IDS视图

【缺省级别】

2:系统级

【参数】

enable:使能动态黑名单功能。

【描述】

dynamic-blacklist enable命令用来开启动态黑名单功能。undo dynamic-blacklist enable命令用来关闭动态黑名单功能。

缺省情况下,动态黑名单功能处于关闭状态。

当WLAN设备检测到来自某一设备的泛洪攻击时,可以选择将该设备加入到动态黑名单中,拒绝接收任何来自于该设备的报文,直至该动态黑名单表项老化为止。

不同型号的设备支持的最大动态黑名名单数量不同,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

【举例】

# 开启动态黑名单功能。

<Sysname> system-view

[Sysname] wlan ids

[Sysname-wlan-ids] dynamic-blacklist enable

1.3.4  dynamic-blacklist lifetime

【命令】

dynamic-blacklist lifetime lifetime

undo dynamic-blacklist lifetime

【视图】

WLAN IDS视图

【缺省级别】

2:系统级

【参数】

lifetime:动态黑名单中的对应列表的生存时间,单位为秒,取值范围为60~3600。

【描述】

dynamic-blacklist lifetime命令用来设置动态黑名单中的对应列表的生存时间。undo dynamic-blacklist lifetime命令用来恢复缺省情况。

缺省情况下,生存时间为300秒。

如果在老化时间超时后,该设备没有再次被检测到,则从列表中清除该表项。

【举例】

# 定义动态黑名单的生存时间为1200秒。

<Sysname> system-view

[Sysname] wlan ids

[Sysname-wlan-ids] dynamic-blacklist lifetime 1200

1.3.5  reset wlan dynamic-blacklist

【命令】

reset wlan dynamic-blacklist { mac-address mac-address | all }

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

mac-address:将要从动态黑名单中删除的客户端的MAC地址。

all:删除动态黑名单中的所有表项。

【描述】

reset wlan dynamic-blacklist命令用来清除动态黑名单中指定的MAC地址或者所有动态客户端。

【举例】

# 从动态黑名单中清除MAC地址为001d-0f31-87d的客户端。

<Sysname> reset wlan dynamic-blacklist mac-address 001d-0f31-87d

1.3.6  static-blacklist mac-address

【命令】

static-blacklist mac-address mac-address

undo static-blacklist { mac-address mac-address | all }

【视图】

WLAN IDS视图

【缺省级别】

2:系统级

【参数】

mac-address:将要从静态黑名单中添加或删除的客户端的MAC地址。

all:删除静态黑名单中的所有表项。

【描述】

static-blacklist mac-address命令用来添加指定的MAC地址到静态黑名单。undo static-blacklist命令用来删除静态黑名单中指定MAC地址的或者所有的客户端。

缺省情况下,不存在静态黑名单。

不同型号的设备支持的最大静态黑名单数量不同,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

【举例】

# 添加MAC地址为0014-6c8a-43ff的客户端到静态黑名单。

<Sysname> system-view

[Sysname] wlan ids

[Sysname-wlan-ids] static-blacklist mac-address 0014-6c8a-43ff

1.3.7  whitelist mac-address

【命令】

whitelist mac-address mac-address

undo whitelist { mac-address mac-address | all }

【视图】

WLAN IDS视图

【缺省级别】

2:系统级

【参数】

mac-address:将要从白名单中添加或删除的客户端的MAC地址。

all:删除白名单中的所有表项。

【描述】

whitelist mac-address命令用来添加指定的MAC地址到白名单。undo whitelist命令用来删除白名单中指定MAC地址的或者所有的客户端,也就是需要与AP相关联的客户端。不同型号的设备支持的最多可以输入静态白名单数不同,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

缺省情况下,不存在白名单。

【举例】

# 添加MAC地址为001c-f0bf-9c92的客户端到白名单。

<Sysname> system-view

[Sysname] wlan ids

[Sysname-wlan-ids] whitelist mac-address 001c-f0bf-9c92

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们