02-WLAN命令参考

12-WIPS命令参考

本章节下载  (450.41 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/H3C_WX3000/Command/Command_Manual/H3C_CR(E3703P61_R2509P61_R3709P61)-6W108/02/201707/1012739_30005_0.htm

12-WIPS命令参考

  录

1 WIPS配置命令

1.1.1 action

1.1.2 ados enable

1.1.3 ap-classification-rule(WIPS视图

1.1.4 ap-classification-rule(虚拟安全域视图)

1.1.5 attack-detect-policy(WIPS视图)

1.1.6 attack-detect-policy(虚拟安全域视图)

1.1.7 blocklist-action block

1.1.8 classify-type

1.1.9 countermeasure external-ap

1.1.10 countermeasure fixed-channel

1.1.11 countermeasure misassociation-client

1.1.12 countermeasure misconfigured-ap

1.1.13 countermeasure potential-authorized-ap

1.1.14 countermeasure potential-external-ap

1.1.15 countermeasure potential-rogue-ap

1.1.16 countermeasure-policy(WIPS视图)

1.1.17 countermeasure-policy(虚拟安全域视图)

1.1.18 countermeasure rogue-ap

1.1.19 countermeasure static (WIPS视图)

1.1.20 countermeasure static (反制策略视图)

1.1.21 countermeasure unauthorized-client

1.1.22 countermeasure uncategorized-ap

1.1.23 countermeasure uncategorized-client

1.1.24 detect access-flow-scan enable

1.1.25 detect adhoc-network

1.1.26 detect admin-mac-scan

1.1.27 detect all

1.1.28 detect all action

1.1.29 detect ap-flood

1.1.30 detect ap-impersonation

1.1.31 detect ap-spoofing

1.1.32 detect client-spoofing

1.1.33 detect deauth-spoofing

1.1.34 detect dos-association

1.1.35 detect dos-authentication

1.1.36 detect dos-eapol-start

1.1.37 detect dos-reassociation

1.1.38 detect duplicated-ie action

1.1.39 detect fata-jack action

1.1.40 detect honeypot-ap

1.1.41 detect hotspot-attack

1.1.42 detect ht-40mhz-intolerance

1.1.43 detect ht-greenfield

1.1.44 detect illegal-ibss-ess action

1.1.45 detect invalid-channel action

1.1.46 detect invalid-deauth-code action

1.1.47 detect invalid-disassoc-code action

1.1.48 detect invalid-ie-length action

1.1.49 detect invalid-pkt-length action

1.1.50 detect invalid-oui

1.1.51 detect invalid-source-address action

1.1.52 detect malformed-assoc-req action

1.1.53 detect large-duration action

1.1.54 detect malformed-auth action

1.1.55 detect malformed-ht-ie action

1.1.56 detect null-probe-resp action

1.1.57 detect overflow-eapol-key action

1.1.58 detect overflow-ssid action

1.1.59 detect-period

1.1.60 detect prohibited-channel

1.1.61 detect ps-attack

1.1.62 detect redundant-ie action

1.1.63 detect scan-channel

1.1.64 detect soft-ap

1.1.65 detect-threshold

1.1.66 detect unencrypted-authorized-ap

1.1.67 detect unencrypted-trust-client

1.1.68 detect weak-iv

1.1.69 detect windows-bridge

1.1.70 detect wireless-bridge

1.1.71 detect wireless-device disable

1.1.72 display wlan ips ap-classification-rule

1.1.73 display wlan ips attack-detect-policy

1.1.74 display wlan ips authssidlist

1.1.75 display wlan ips blocklist

1.1.76 display wlan ips channel

1.1.77 display wlan ips countermeasure-devices

1.1.78 display wlan ips countermeasure-policy

1.1.79 display wlan ips devices

1.1.80 display wlan ips event

1.1.81 display wlan ips hotspotlist

1.1.82 display wlan ips ignorelist

1.1.83 display wlan ips malformed-detect-policy

1.1.84 display wlan ips network

1.1.85 display wlan ips oui

1.1.86 display wlan ips sensor

1.1.87 display wlan ips signature

1.1.88 display wlan ips signature-policy

1.1.89 display wlan ips statistics sensor

1.1.90 display wlan ips statistics

1.1.91 display wlan ips static-trustoui

1.1.92 display wlan ips summary

1.1.93 display wlan ips trustlist

1.1.94 display wlan ips vsd-policy

1.1.95 export wips-cfg-file oui

1.1.96 hotspot

1.1.97 ignorelist

1.1.98 import wips-cfg-file oui

1.1.99 malformed-detect-policy(WIPS视图)

1.1.100 malformed-detect-policy(虚拟安全域视图)

1.1.101 manual-classify ap(WIPS视图)

1.1.102 manual-classify ap(虚拟安全域视图)

1.1.103 match all(自定义AP分类规则视图)

1.1.104 match all(SIG视图)

1.1.105 permit-channel

1.1.106 quiet-time(SIG视图)

1.1.107 quiet-time(畸形报文检测策略视图)

1.1.108 reset wlan ips event

1.1.109 reset wlan ips statistic sensor

1.1.110 sensor

1.1.111 severity-level

1.1.112 signature

1.1.113 signature (Signature策略视图)

1.1.114 signature-policy (WIPS视图)

1.1.115 signature-policy (虚拟安全域视图)

1.1.116 static-blocklist

1.1.117 static-trustlist

1.1.118 static-trustoui

1.1.119 sub-rule(SIG视图)

1.1.120 sub-rule(自定义AP分类规则视图)

1.1.121 timer ap-inactivity

1.1.122 timer client-inactivity

1.1.123 timer device-aging

1.1.124 timer device-update

1.1.125 timer dynamic-trustlist-aging

1.1.126 timer mesh-link-aging

1.1.127 timer reclassification

1.1.128 timer statistic-period

1.1.129 track-method

1.1.130 undo wips-cfg-file oui

1.1.131 virtual-security-domain

1.1.132 wips detect mode

1.1.133 wips enable

1.1.134 wipslogfile

1.1.135 wipslogfile enable

1.1.136 wireless-probe client-aging

1.1.137 wireless-probe enable

1.1.138 wireless-probe ignore ap

1.1.139 wireless-probe location

1.1.140 wireless-probe server

1.1.141 wireless-probe timezone

1.1.142 wlan ips

 


1 WIPS配置命令

说明

 

1.1.1  action

【命令】

action { none | report event-level level-value }

【视图】

SIG视图

【缺省级别】

2:系统级

【参数】

none:对于Signature规则匹配次数在统计周期内达到或超过detect-threshold命令设定的统计次数的不进行任何处理。

report:对于Signature规则匹配次数在统计周期内达到或超过detect-threshold命令设定的统计次数的生成对应的Signature规则告警。

event-level level-value:设置生成的Signature规则的告警级别,取值范围为0~7,数值越小,优先级越高。

【描述】

action命令用来配置达到或超过Signature规则中统计次数门限后采取的处理方式。

缺省情况下,自定义Signature规则的处理方式为none,内置Signature规则的处理方式为report,具体的告警级别根据具体的Signature规则而定。

需要注意的是:

·     Signature规则绑定在Signature策略下后,其属性action不能被修改,必须先解除绑定关系后才能修改。

·     重复配置Signature规则中达到或超过统计次数门限后采取的动作时,后面的配置会覆盖之前的配置。

·     不允许修改内置Signature规则的action属性,但可以修改生成的Signature规则的告警级别。

【举例】

# 配置自定义Signature规则office达到或超过detect-threshold命令设定的统计次数后采取的动作为生成告警级别为6的Signature规则告警。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] signature office

[Sysname-wlan-ips-sig-office] action report event-level 6

1.1.2  ados enable

【命令】

ados enable

undo ados enable

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

【描述】

ados enable命令用来开启防DoS攻击功能。undo ados enable命令用来关闭防DoS攻击功能。

缺省情况下,防DoS攻击功能处于关闭状态。

【举例】

# 开启防DOS攻击功能。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] ados enable

1.1.3  ap-classification-rule(WIPS视图)

【命令】

ap-classification-rule rule-name

undo ap-classification-rule rule-name

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

rule-name:自定义AP分类规则的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

【描述】

ap-classification-rule命令用来创建新的自定义AP分类规则并进入自定义AP分类规则视图,对于已经创建的自定义AP分类规则,则直接进入对应的自定义AP分类规则视图。undo ap-classification-rule命令用来删除指定名称的自定义AP分类规则。

缺省情况下,WIPS没有自定义AP分类规则。

【举例】

# 创建一条名称为invalid_ap的自定义AP分类规则。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] ap-classification-rule invalid_ap

[Sysname-wlan-ips-class-invalid_ap]

1.1.4  ap-classification-rule(虚拟安全域视图)

【命令】

ap-classification-rule rule-name [ precedence number ]

undo ap-classification-rule { rule-name }

【视图】

虚拟安全域视图

【缺省级别】

2:系统级

【参数】

rule-name:自定义AP分类规则的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

precedence number:指定自定义AP分类规则的匹配优先级,优先级的取值范围从低到高为0~15。

【描述】

ap-classification-rule命令用来向当前的虚拟安全域添加一条自定义AP分类规则。

undo ap-classification-rule命令用来从当前的虚拟安全域中删除指定名称的AP分类规则。

缺省情况下,虚拟安全域下没有自定义AP分类规则。

添加自定义AP分类规则时,如果指定匹配优先级,则规则使用指定的优先级。如果没有指定匹配优先级,则规则使用默认优先级0。在AP分类规则匹配过程中,按照优先级从高到低的顺序进行匹配,相同优先级的规则按照配置的先后顺序进行匹配。

【举例】

# 向虚拟安全域office添加一条自定义AP分类规则,并指定其匹配优先级为最高。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] virtual-security-domain office

[Sysname-wlan-ips-vsd-office]ap-classification-rule external-ap precedence 15

1.1.5  attack-detect-policy(WIPS视图)

【命令】

attack-detect-policy policy-name

undo attack-detect-policy policy-name

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

policy-name:攻击检测策略的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

【描述】

attack-detect-policy命令用来创建新的攻击检测策略并进入攻击检测策略视图,对于已经创建的攻击检测策略,则直接进入相应名称的攻击检测策略视图。undo attack-detect-policy命令用来删除指定名称的攻击检测策略。

缺省情况下,系统存在一个名称为default的攻击检测策略,攻击检测策略default不能被用户创建或删除。

【举例】

# 创建一个名称为office的攻击检测策略,并进入对应的攻击检测策略视图。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office]

1.1.6  attack-detect-policy(虚拟安全域视图)

【命令】

attack-detect-policy policy-name

undo attack-detect-policy

【视图】

虚拟安全域视图

【缺省级别】

2:系统级

【参数】

policy-name:攻击检测策略的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

【描述】

attack-detect-policy命令用来配置当前虚拟安全域使用的攻击检测策略。undo attack-detect-policy命令用来恢复缺省的攻击检测策略。

缺省情况下,虚拟安全域使用名称为default的攻击检测策略。

【举例】

# 虚拟安全域office使用指定的攻击检测策略office。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] virtual-security-domain office

[Sysname-wlan-ips-vsd-office]attack-detect-policy office

1.1.7  blocklist-action block

【命令】

blocklist-action block

undo blocklist-action block

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

【描述】

blocklist-action block命令用来配置禁止禁用设备列表中的无线设备接入无线网络。undo blocklist-action block命令用来配置允许禁用设备列表中的无线设备接入无线网络。

开启此功能后,网络中的接入AP将拒绝禁用设备列表中的无线设备的接入请求。

缺省情况下,允许禁用设备列表中的无线设备接入无线网络。

需要注意的是,blocklist-action block命令只能在WIPS兼容式组网环境下生效,对于WIPS独立组网环境,接入AP不受WIPS控制,该命令不生效。

【举例】

# 配置禁止禁用设备列表中的无线设备接入无线网络的功能。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] blocklist-action block

1.1.8  classify-type

【命令】

classify-type { authorized-ap | external-ap | misconfigured-ap | rogue-ap }

undo classify-type

【视图】

自定义AP分类规则视图

【缺省级别】

2:系统级

【参数】

authorized-ap:授权AP。

external-ap:外部AP

misconfigured-ap:配置错误的AP。

rogue-ap:Rogue AP。

【描述】

classify-type命令用来设置匹配上该自定义AP分类规则的AP设备归属的设备类别。undo classify-type命令用来删除设置的归属类别。

缺省情况下,自定义AP分类规则没有设置匹配AP设备的归属类别。

自定义AP分类规则可以不设置匹配AP设备的归属类别。如果没有设置AP的归属类别,但配置了威胁等级,则自定义AP分类规则中配置的AP威胁等级属性生效。

【举例】

# 设置名称为invalid_ap的自定义AP分类规则的匹配设备归属类别为Rogue AP。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] ap-classification-rule invalid_ap

[Sysname-wlan-ips-class-invalid_ap] classify-type rogue-ap

1.1.9  countermeasure external-ap

【命令】

countermeasure external-ap [ precedence number ]

undo countermeasure external-ap

【视图】

反制策略视图

【缺省级别】

2:系统级

【参数】

precedence number:指定设备类别为外部AP的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为1。

【描述】

countermeasure external-ap命令用来对设备类别为外部的AP执行反制。undo countermeasure external-ap命令用来恢复缺省情况。

缺省情况下,对设备类别为外部的AP不启用反制功能。

【举例】

# 在反制策略office中,对设备类别为外部的AP执行反制。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] countermeasure-policy office

[Sysname-wlan-ips-cmep-office] countermeasure external-ap

1.1.10  countermeasure fixed-channel

【命令】

countermeasure fixed-channel enable

undo countermeasure fixed-channel enable

【视图】

反制策略视图

【缺省级别】

2:系统级

【参数】

【描述】

countermeasure fixed-channel enable命令用来配置sensor固定在某个信道持续对无线设备进行反制。undo countermeasure fixed-channel enable命令用来恢复缺省情况。

缺省情况下,不启用固定信道反制功能。

固定信道反制用来配置当sensor无法对无线设备进行有效反制时,允许sensor固定在某个信道持续对无线设备进行反制,具体在哪个信道,由被反制的无线设备的活跃信道来决定,sensor会自动切换到与被反制设备相同的信道进行固定信道反制。在启用固定信道反制的情况下,如果sensor不需要固定信道也能有效反制,则sensor不会固定信道。

需要注意的是,sensor在固定信道对无线设备进行反制后,会停止在其他信道的扫描。

【举例】

# 在反制策略office中,配置允许sensor对固定信道执行反制。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] countermeasure-policy office

[Sysname-wlan-ips-cmep-office] countermeasure fixed-channel enable

1.1.11  countermeasure misassociation-client

【命令】

countermeasure misassociation-client [ precedence number ]

undo countermeasure misassociation-client

【视图】

反制策略视图

【缺省级别】

2:系统级

【参数】

precedence number:指定设备类别为误关联client的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为6。

【描述】

countermeasure misassociation-client命令用来对设备类别为误关联的client执行反制。undo countermeasure misassociation-client命令用来恢复缺省情况。

缺省情况下,对设备类别为误关联的client不启用反制功能。

【举例】

# 在反制策略office中,对设备类别为误关联的client执行反制。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] countermeasure-policy office

[Sysname-wlan-ips-cmep-office] countermeasure misassociation-client

1.1.12  countermeasure misconfigured-ap

【命令】

countermeasure misconfigured-ap [ precedence number ]

undo countermeasure misconfigured-ap

【视图】

反制策略视图

【缺省级别】

2:系统级

【参数】

precedence number:指定设备类别为配置错误AP的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为3。

【描述】

countermeasure misconfigured-ap命令用来对设备类别为配置错误的AP执行反制。undo countermeasure misconfigured-ap命令用来恢复缺省情况。

缺省情况下,对设备类别为配置错误的AP不启用反制功能。

【举例】

# 在反制策略office中,对设备类别为配置错误的AP执行反制。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] countermeasure-policy office

[Sysname-wlan-ips-cmep-office] countermeasure misconfigured-ap

1.1.13  countermeasure potential-authorized-ap

【命令】

countermeasure potential-authorized-ap [ precedence number ]

undo countermeasure potential-authorized-ap

【视图】

反制策略视图

【缺省级别】

2:系统级

【参数】

precedence number:指定设备类别为潜在授权AP的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为0。

【描述】

countermeasure potential-authorized-ap命令用来对设备类别为潜在授权的AP执行反制。undo countermeasure potential-authorized-ap命令用来恢复缺省情况。

缺省情况下,对设备类别为潜在授权的AP不启用反制功能。

【举例】

# 在反制策略office中,对设备类别为潜在授权的AP执行反制。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] countermeasure-policy office

[Sysname-wlan-ips-cmep-office] countermeasure potential-authorized-ap

1.1.14  countermeasure potential-external-ap

【命令】

countermeasure potential-external-ap [ precedence number ]

undo countermeasure potential-external-ap

【视图】

反制策略视图

【缺省级别】

2:系统级

【参数】

precedence number:指定设备类别为潜在外部AP的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为2。

【描述】

countermeasure potential-external-ap命令用来对设备类别为潜在外部的AP执行反制。undo countermeasure potential-external-ap命令用来恢复缺省情况。

缺省情况下,对设备类别为潜在外部的AP不启用反制功能。

【举例】

# 在反制策略office中,对设备类别为潜在外部的AP执行反制。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] countermeasure-policy office

[Sysname-wlan-ips-cmep-office] countermeasure potential-external-ap

1.1.15  countermeasure potential-rogue-ap

【命令】

countermeasure potential-rogue-ap [ precedence number ]

undo countermeasure potential-rogue-ap

【视图】

反制策略视图

【缺省级别】

2:系统级

【参数】

precedence number:指定设备类别为潜在rogue AP的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为7。

【描述】

countermeasure potential-rogue-ap命令用来对设备类别为潜在rogue的AP执行反制。undo countermeasure potential-rogue-ap命令用来恢复缺省情况。

缺省情况下,对设备类别为潜在rogue的AP不启用反制功能。

【举例】

# 在反制策略office中,对设备类别为潜在rogue的AP执行反制。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] countermeasure-policy office

[Sysname-wlan-ips-cmep-office] countermeasure potential-rogue-ap

1.1.16  countermeasure-policy(WIPS视图)

【命令】

countermeasure-policy policy-name

undo countermeasure-policy policy-name

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

policy-name:反制策略的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

【描述】

countermeasure-policy命令用来创建新的反制策略并进入反制策略视图,对于已经创建的反制策略,则直接进入相应名称的反制策略视图。undo countermeasure-policy命令用来删除指定名称的反制策略。

缺省情况下,系统存在一个名称为default的反制策略,反制策略default不能被用户创建或删除。

【举例】

# 创建一个名称为office的反制策略,并进入对应的反制策略视图。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] countermeasure-policy office

1.1.17  countermeasure-policy(虚拟安全域视图)

【命令】

countermeasure-policy policy-name

undo countermeasure-policy

【视图】

虚拟安全域视图

【缺省级别】

2:系统级

【参数】

policy-name:反制策略的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

【描述】

countermeasure-policy命令用来配置在当前虚拟安全域下使用的反制策略。undo countermeasure-policy命令用来在当前虚拟安全域下恢复缺省的反制策略。

需要注意的是,一个虚拟安全域只能应用一个反制策略。

缺省情况下,虚拟安全域应用名称为default的反制策略。

【举例】

# 在虚拟安全域vsda使用反制策略office。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] virtual-security-domain vsda

[Sysname-wlan-ips-vsd-vsda] countermeasure-policy office

1.1.18  countermeasure rogue-ap

【命令】

countermeasure rogue-ap [ precedence number ]

undo countermeasure rogue-ap

【视图】

反制策略视图

【缺省级别】

2:系统级

【参数】

precedence number:指定设备类别为rogue AP的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为9。

【描述】

countermeasure rogue-ap命令用来对设备类别为rogue的AP执行反制。undo countermeasure rogue-ap命令用来恢复缺省情况。

缺省情况下,对设备类别为rogue的AP不启用反制功能。

【举例】

# 在反制策略office中对设备类别为rogue的AP执行反制。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] countermeasure-policy office

[Sysname-wlan-ips-cmep-office] countermeasure rogue-ap

1.1.19  countermeasure static (WIPS视图)

【命令】

countermeasure static mac-address

undo countermeasure static { mac-address | all }

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

mac-address:从静态反制列表中添加或删除的无线设备的MAC地址。

all:删除静态反制列表中的所有表项。

【描述】

countermeasure static命令用来添加指定无线设备的MAC地址到静态反制列表。undo countermeasure static命令用来删除静态反制列表中指定MAC地址的或者所有的无线设备。

缺省情况下,不对任何无线设备采取反制措施。

需要注意的是,在WIPS视图下添加到反制列表的无线设备,全部的虚拟安全域都会对其采取反制措施。

【举例】

# 向静态反制列表中添加MAC地址为0016-6f9d-612e的无线设备。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] countermeasure static 0016-6f9d-612e

1.1.20  countermeasure static (反制策略视图)

【命令】

countermeasure static mac-addr

undo countermeasure static { mac-addr | all }

【视图】

反制策略视图

【缺省级别】

2:系统级

【参数】

mac-addr:反制策略下的静态反制列表中待添加或删除的无线设备的MAC地址。

all:删除反制策略下的静态反制列表中的所有表项。

 

【描述】

countermeasure static 命令用来在反制策略下的静态反制列表中添加无线设备。undo countermeasure static命令用来从反制策略的静态反制列表中删除无线设备。

缺省情况下,反制策略不对任何无线设备采取反制措施。

需要注意的是:

·     只有应用了反制策略的虚拟安全域才会对该反制策略下的静态反制列表中的无线设备采取反制措施。

·     在静态反制列表中的无线设备的反制优先级为10。

【举例】

# 在反制策略office下的静态反制列表中添加MAC地址为1234-5678-90ab的无线设备。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] countermeasure-policy office

[Sysname-wlan-ips-cmep-office] countermeasure static 1234-5678-90ab

1.1.21  countermeasure unauthorized-client

【命令】

countermeasure unauthorized-client [ precedence number ]

undo countermeasure unauthorized-client

【视图】

反制策略视图

【缺省级别】

2:系统级

【参数】

precedence number:指定设备类别为未授权client的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为8。

【描述】

countermeasure unauthorized-client命令用来对设备类别为未授权的client执行反制。undo countermeasure unauthorized-client命令用来恢复缺省情况。

缺省情况下,对设备类别为未授权的client不启用反制功能。

【举例】

# 在反制策略office中,对设备类别为未授权的client执行反制。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] countermeasure-policy office

[Sysname-wlan-ips-cmep-office] countermeasure unauthorized-client

1.1.22  countermeasure uncategorized-ap

【命令】

countermeasure uncategorized-ap [ precedence number ]

undo countermeasure uncategorized-ap

【视图】

反制策略视图

【缺省级别】

2:系统级

【参数】

precedence number:指定设备类别为未确定分类AP的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为5。

【描述】

countermeasure uncategorized-ap命令用来对设备类别为未确定分类的AP执行反制。undo countermeasure uncategorized-ap命令用来恢复缺省情况。

缺省情况下,对设备类别为未确定分类的AP不启用反制功能。

【举例】

# 在反制策略office中,对设备类别为未确定分类的AP执行反制。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] countermeasure-policy office

[Sysname-wlan-ips-cmep-office] countermeasure uncategorized-ap

1.1.23  countermeasure uncategorized-client

【命令】

countermeasure uncategorized-client [ precedence number ]

undo countermeasure uncategorized-client

【视图】

反制策略视图

【缺省级别】

2:系统级

【参数】

precedence number:指定设备类别为未确定分类client的无线设备的反制优先级,优先级的取值范围从低到高为0~9,默认缺省值为4。

【描述】

countermeasure uncategorized-client命令用来对设备类别为未确定分类的client执行反制。undo countermeasure uncategorized-client命令用来恢复缺省情况。

缺省情况下,对设备类别为未确定分类的client不启用反制功能。

【举例】

# 在反制策略office中,对设备类别为未确定分类的client执行反制。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] countermeasure-policy office

[Sysname-wlan-ips-cmep-office] countermeasure uncategorized-client

1.1.24  detect access-flow-scan enable

【命令】

detect access-flow-scan enable

undo detect access-flow-scan enable

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

【描述】

detect access-flow-scan enable命令用来配置带内Sensor在接入时间段内开启WIPS扫描。undo detect access-flow-scan enable命令用来恢复缺省情况。

缺省情况下,带内Sensor在接入时间段内不执行WIPS扫描。

需要注意的是,带内Sensor在接入时间段内开启WIPS扫描后,WIPS的检测和防御效果将会强化,但同时会弱化无线客户端的接入性能。

【举例】

# 开启带内Sensor在接入时间段内的WIPS扫描。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] detect access-flow-scan enable

1.1.25  detect adhoc-network

【命令】

detect adhoc-network

undo detect adhoc-network

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

【描述】

detect adhoc-network命令用来开启当前攻击检测策略中对Ad hoc网络的检测。undo detect adhoc-network命令用来关闭当前攻击检测策略中对Ad hoc网络的检测。

缺省情况下,关闭对Ad hoc网络的检测。

【举例】

# 在名称为office的攻击检测策略中开启对Ad hoc网络的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office]detect adhoc-network

1.1.26  detect admin-mac-scan

【命令】

detect admin-mac-scan enable

undo detect admin-mac-scan enable

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

【描述】

detect admin-mac-scan enable 命令用来开启本地管理MAC过滤功能。undo detect admin-mac-scan enable命令用来关闭本地管理MAC过滤功能。

缺省情况下,本地管理MAC过滤功能处于关闭状态。

【举例】

# 开启本地管理MAC过滤功能。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] detect admin-mac-scan enable

1.1.27  detect all

【命令】

detect all

undo detect all

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

【描述】

detect all命令用来开启当前攻击检测策略中全部的检测项。全部检测项包含对Ad hoc网络、AP MAC地址仿冒、客户端MAC地址仿冒和非法信道的检测。undo detect all命令用来关闭当前攻击检测策略中全部的检测项。

缺省情况下,没有开启全部的攻击检测项。

【举例】

# 在名称为office的攻击检测策略中开启全部的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office]detect all

1.1.28  detect all action

【命令】

detect all action { log | trap }*

undo detect all action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到畸形报文时,向AC发送日志信息。日志信息中记录了畸形报文的具体内容以及畸形报文的统计等相关属性。

trap: 当检测到畸形报文时,向AC发送告警信息。

【描述】

detect all action { log | trap }*命令用来配置当sensor检测到表1-1中的任意一种畸形类型时,开启向AC发送畸形报文的日志信息或告警信息的操作。undo detect all action { log | trap }*命令用来关闭发送日志信息和告警信息的操作。

缺省情况下,没有开启全部的检测项的日志信息或告警信息。

表1-1 畸形报文检测内容描述

检测内容

描述

invalid-ie-length

检测到IE长度非法

duplicated-ie

检测到IE重复

redundant-ie

检测到IE多余

invalid-pkt-length

检测到报文长度非法

illegal-ibss-ess

检测到IBSS和ESS置位异常

invalid-beacon-channel

检测到Beacon信道异常

overflow-eapol-key

检测到EAPOL报文key长度超长

malformed-auth

检测到畸形的Authentication

malformed-assoc-req

检测到畸形的Association request

malformed-ht-ie

检测到畸形的HT IE

large-duration

检测到Duration超大

null-probe-resp

检测到Probe response中SSID为空

invalid-deauth-code

检测到无效的Deauthentication reason code

invalid-disassoc-code

检测到无效的Disassociation reason code

overflow-ssid

检测到SSID长度超长

fata-jack

检测到FATA Jack 类型攻击

FATA Jack 攻击是一种客户端DOS类攻击,它发送给AP一种仿冒的Authentication帧,AP收到该仿冒Authentication帧后,会给合法用户发送Disconnect 帧,从而导致用户被断开连接

invalid-source-address

检测到无效的源地址

Invalid-channel

检测到错误信道宣告

 

【举例】

# 在名称为normal的畸形报文检测策略中,配置开启全部检测项的日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal]detect all action log trap

1.1.29  detect ap-flood

【命令】

detect ap-flood [ quiet-time time-value ]

undo detect ap-flood

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

time-value:检测到AP泛洪攻击并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

【描述】

detect ap-flood命令用来开启当前攻击检测策略中对AP泛洪攻击的检测。

undo detect ap-flood命令用来关闭当前攻击检测策略中对AP泛洪攻击的检测。

缺省情况下,关闭对AP泛洪攻击的检测。

【举例】

# 在名称为office的攻击检测策略中开启对AP泛洪攻击的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office] detect ap-flood

1.1.30  detect ap-impersonation

【命令】

detect ap-impersonation [ quiet-time time-value | beacon-inc-threshold beacon-inc-threshold-value | beacon-inc-wait-time beacon-inc-wait-time-value ]*

undo detect ap-impersonation

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

quiet-time time-value:检测到AP扮演者攻击并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

beacon-inc-threshold beacon-inc-threshold-value:触发生成AP扮演者告警的Beacon帧增长百分比阈值,取值范围为1~100,缺省取值为30。

beacon-inc-wait-time beacon-inc-wait-time-value:当发现可疑的AP扮演者时,确定该AP扮演者攻击需要等待的Beacon帧数量增长时间,取值范围为0~360000,单位为秒,缺省取值为10秒。

【描述】

detect ap-impersonation 命令用来开启当前攻击检测策略中对AP扮演者攻击的检测。undo detect windows-bridge命令用来关闭当前攻击检测策略中对AP扮演者攻击的检测。

缺省情况下,关闭当前攻击检测策略中对AP扮演者攻击的检测。

【举例】

# 在名称为office的攻击检测策略中开启对AP扮演者攻击的检测,设定Beacon增长百分比阈值为10,需要等待的Beacon帧数量增长时间为20秒,告警静默时间为30秒。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-1] detect ap-impersonation beacon-inc-threshold 10 beacon-inc-

wait-time 20 quiet-time 30

1.1.31  detect ap-spoofing

【命令】

detect ap-spoofing [ quiet-time time-value ]

undo detect ap-spoofing

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

time-value:检测到AP MAC地址仿冒并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

【描述】

detect ap-spoofing命令用来开启当前攻击检测策略中对AP MAC地址仿冒的检测。undo detect ap-spoofing命令用来关闭当前攻击检测策略中对AP MAC地址仿冒的检测。

缺省情况下,关闭对AP MAC地址仿冒的检测。

【举例】

# 在名称为office的攻击检测策略中开启对AP MAC地址仿冒的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office]detect ap-spoofing

1.1.32  detect client-spoofing

【命令】

detect client-spoofing [ quiet-time time-value ]

undo detect client-spoofing

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

time-value:检测到无线客户端MAC地址仿冒并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

【描述】

detect client-spoofing命令用来开启当前攻击检测策略中对无线客户端MAC地址仿冒的检测。undo detect client-spoofing命令用来关闭当前攻击检测策略中对无线客户端MAC地址仿冒的检测。

缺省情况下,关闭对无线客户端MAC地址仿冒的检测。

【举例】

# 在名称为office的攻击检测策略中开启对无线客户端MAC地址仿冒的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office]detect client-spoofing quiet-time 10

1.1.33  detect deauth-spoofing

【命令】

detect deauth-spoofing

undo detect deauth-spoofing

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

【描述】

detect deauth-spoofing命令用来开启当前攻击检测策略中对仿冒Deauthentication帧的检测。undo detect deauth-spoofing命令用来关闭当前攻击检测策略中对仿冒Deauthentication帧的检测。

缺省情况下,关闭对仿冒Deauthentication帧的检测。

【举例】

# 在名称为office的攻击检测策略中开启对仿冒Deauthentication帧的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-1] detect deauth-spoofing

1.1.34  detect dos-association

【命令】

detect dos-association [ quiet-time time-value ]

undo detect dos-association

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

time-value:检测到关联DoS攻击并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

【描述】

detect dos-association命令用来开启当前攻击检测策略中对关联DoS攻击的检测。

undo detect dos-association命令用来关闭当前攻击检测策略中对关联DoS攻击的检测。

缺省情况下,关闭对关联DoS攻击的检测。

【举例】

# 在名称为office的攻击检测策略中开启对关联DoS攻击的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office] detect dos-association

1.1.35  detect dos-authentication

【命令】

detect dos-authentication [ quiet-time time-value ]

undo detect dos-authentication

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

time-value:检测到鉴权DoS攻击并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

【描述】

detect dos-authentication命令用来开启当前攻击检测策略中对鉴权DoS攻击的检测。

undo detect dos-authentication命令用来关闭当前攻击检测策略中对鉴权DoS攻击的检测。

缺省情况下,关闭对鉴权DoS攻击的检测。

【举例】

# 在名称为office的攻击检测策略中开启对鉴权DoS攻击的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office] detect dos-authentication

1.1.36  detect dos-eapol-start

【命令】

detect dos-eapol-start [ quiet-time time-value ]

undo detect dos-eapol-start

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

time-value:检测到EAPOL-Start DoS攻击并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

【描述】

detect dos-eapol-start命令用来开启当前攻击检测策略中对EAPOL-Start DoS攻击的检测。

undo detect dos-eapol-start命令用来关闭当前攻击检测策略中对EAPOL-Start DoS攻击的检测。

缺省情况下,关闭对EAPOL-Start DoS攻击的检测。

【举例】

# 在名称为office的攻击检测策略中开启对EAPOL-Start DoS攻击的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office] detect dos-eapol-start

1.1.37  detect dos-reassociation

【命令】

detect dos-reassociation [ quiet-time time-value ]

undo detect dos-reassociation

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

time-value:检测到重关联DoS攻击并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

【描述】

detect dos-reassociation命令用来开启当前攻击检测策略中对重关联DoS攻击的检测。

undo detect dos-reassociation命令用来关闭当前攻击检测策略中对重关联DoS攻击的检测。

缺省情况下,关闭对重关联DoS攻击的检测。

【举例】

# 在名称为office的攻击检测策略中开启对重关联DoS攻击的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office] detect dos-reassociation

1.1.38  detect duplicated-ie action

【命令】

detect duplicated-ie action { log | trap }*

undo detect duplicated-ie action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到IE重复时,向AC发送日志信息。

trap: 当检测到IE重复时,向AC发送告警信息。

【描述】

detect duplicated-ie action { log | trap }* 命令用来配置当检测到IE重复时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect duplicated-ie action { log | trap }*命令用来配置关闭检测到IE重复时发送日志信息或告警信息或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到IE重复时,不发送日志信息和告警信息。

【举例】

#在名称为normal的畸形报文检测策略中,配置当检测到IE重复时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal]detect duplicated-ie action log trap

1.1.39  detect fata-jack action

【命令】

detect fata-jack action { log | trap }*  

undo detect fata-jack action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到FATA Jack类型攻击时,向AC发送日志信息。

trap: 当检测到FATA Jack类型攻击时,向AC发送告警信息。

【描述】

detect fata-jack action { log | trap }*命令用来配置当检测到FATA Jack类型攻击时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect fata-jack action { log | trap }*命令用来配置关闭检测到FATA Jack类型攻击时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到FATA Jack类型攻击时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到FATA Jack类型攻击时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal] detect fata-jack action log trap

1.1.40  detect honeypot-ap

【命令】

detect honeypot-ap [ quiet-time time-value | similarity similarity-value ]* [ action classify rogue ]

undo detect honeypot-ap

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

quiet-time time-value:检测到蜜罐AP并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

similarity similarity-value:触发生成蜜罐AP告警的SSID相似度阈值,取值范围为70~100,单位为%,缺省取值为90%。

action classify rogue:对检测为蜜罐AP的无线设备进行分类,如果是AP则归类为非法AP(设备分类归属是Rogue);如果是Client则归类为未授权的无线客户端(设备分类归属是Unauthorized)。

【描述】

detect honeypot-ap命令用来开启当前攻击检测策略中对蜜罐AP的检测。

undo detect honeypot-ap命令用来关闭当前攻击检测策略中对蜜罐AP的检测。

缺省情况下,关闭对蜜罐AP的检测。

【举例】

# 在名称为office的攻击检测策略中开启对蜜罐AP的检测,设定SSID相似度阈值为80,静默时间为900秒,并将其设备分类归属为Rogue。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-1] detect honeypot-ap similarity 80 quiet-time 900 action classify rogue

1.1.41  detect hotspot-attack

【命令】

detect hotspot-attack [ action classify rogue ]

undo detect hotspot-attack

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

action classify rogue:对检测为热点攻击的无线设备进行分类,如果是AP则归类为非法AP(设备分类归属是Rogue);如果是Client则归类为未授权的无线客户端(设备分类归属是Unauthorized)。

【描述】

detect hotspot-attack命令用来开启当前攻击检测策略中对热点攻击的检测。undo detect hotspot-attack命令用来关闭当前攻击检测策略中对热点攻击的检测。

缺省情况下,关闭当前攻击检测策略中对热点攻击的检测。

【举例】

# 在名称为office的攻击检测策略中开启对热点攻击的检测,并将其设备分类归属为Rogue。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office] detect hotspot-attack action classify rogue

1.1.42  detect ht-40mhz-intolerance

【命令】

detect ht-40mhz-intolerance [ quiet-time time-value ]

undo detect ht-40mhz-intolerance

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

quiet-time time-value:检测到客户端禁用40MHz模式并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

【描述】

detect ht-40mhz-intolerance命令用来开启当前攻击检测策略中对客户端禁用40MHz模式的检测。

undo detect ht-40mhz-intolerance命令用来关闭当前攻击检测策略中对客户端禁用40MHz模式的检测。

缺省情况下,关闭对客户端禁用40MHz模式的检测。

【举例】

# 在名称为office的攻击检测策略中开启对客户端禁用40MHz模式的检测,设定静默时间为900秒。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-1] detect ht-40mhz-intolerance quiet-time 900

1.1.43  detect ht-greenfield

【命令】

detect ht-greenfield [ quiet-time time-value ]

undo detect ht-greenfield

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

time-value:检测到支持ht-greenfield模式 的AP并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

【描述】

detect ht-greenfield 命令用来开启当前攻击检测策略中对ht-greenfield mode  AP的检测。

undo detect ht-greenfield命令用来关闭当前攻击检测策略中对ht-greenfield mode AP的检测。

缺省情况下,关闭当前攻击检测策略中对ht-greenfield mode  AP的检测。

【举例】

# 在名称为office的攻击检测策略中开启对ht-greenfield mode AP的检测,设定告警静默时间为30秒。#

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-1] detect ht-greenfield quiet-time 30

1.1.44  detect illegal-ibss-ess action

【命令】

detect illegal-ibss-ess action { log | trap }*

undo detect illegal-ibss-ess action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到IBSS和ESS置位异常时,向AC发送日志信息。

trap: 当检测到IBSS和ESS置位异常时,向AC发送告警信息。

【描述】

detect illegal-ibss-ess action { log | trap }*命令用来配置当检测到IBSS和ESS置位异常时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect illegal-ibss-ess action { log | trap }*命令用来配置关闭当检测到IBSS和ESS置位异常时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到IBSS和ESS置位异常时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到IBSS和ESS置位异常时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal] detect illegal-ibss-ess action log trap

1.1.45  detect invalid-channel action

【命令】

detect invalid-channel action { log | trap }*

undo detect invalid-channel action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到错误信道宣告的畸形Beacon帧时,向AC发送日志信息。

trap: 当检测到错误信道宣告的畸形Beacon帧时,向AC发送告警信息。

【描述】

detect invalid-channel action { log | trap }*命令用来配置当检测到错误信道宣告的畸形Beacon帧时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect invalid-channel action { log | trap }*命令用来配置关闭当检测到错误信道宣告的畸形Beacon帧时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到错误信道宣告的畸形Beacon帧时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到错误信道宣告的畸形Beacon帧时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal] detect invalid-channel action log trap

1.1.46  detect invalid-deauth-code action

【命令】

detect invalid-deauth-code action { log | trap }*

undo detect invalid-deauth-code action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到无效的Deauthentication reason code时,向AC发送日志信息。

trap: 当检测到无效的Deauthentication reason code时,向AC发送告警信息。

【描述】

detect invalid-deauth-code action { log | trap }*命令用来配置当检测到无效的Deauthentication reason code时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect invalid-deauth-code action { log | trap }*命令用来配置关闭检测到无效的Deauthentication reason code时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到无效的Deauthentication reason code时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到无效的Deauthentication reason code时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal]detect invalid-deauth-code action log trap

1.1.47  detect invalid-disassoc-code action

【命令】

detect invalid-disassoc-code action { log | trap }*

undo detect invalid-disassoc-code action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到无效的Disassociation reason code时,向AC发送日志信息。

trap: 当检测到无效的Disassociation reason code时,向AC发送告警信息。

【描述】

detect invalid-disassoc-code action { log | trap }*命令用来配置当检测到无效的Disassociation reason code时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect invalid-disassoc-code action { log | trap }*命令用来配置关闭检测到无效的Disassociation reason code时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到无效的Disassociation reason code时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到无效的Disassociation reason code时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal]detect invalid-disassoc-code action log trap

1.1.48  detect invalid-ie-length action

【命令】

detect invalid-ie-length action { log | trap }*

undo detect invalid-ie-length action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到IE长度非法时,向AC发送日志信息。

trap: 当检测到IE长度非法时,向AC发送告警信息。

【描述】

detect invalid-ie-length action { log | trap }* 命令用来配置当检测到IE长度非法时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect invalid-ie-length action { log | trap }*命令用来配置关闭检测到IE长度非法时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到IE长度非法时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到IE长度非法时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal]detect invalid-ie-length action log trap

1.1.49  detect invalid-pkt-length action

【命令】

detect invalid-pkt-length action { log | trap }*

undo detect invalid-pkt-length action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到报文长度非法时,向AC发送日志信息。

trap: 当检测到报文长度非法时,向AC发送告警信息。

【描述】

detect invalid-pkt-length action { log | trap }*命令用来配置当检测到报文长度非法时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect invalid-pkt-length action { log | trap }*命令用来配置关闭当检测到报文长度非法时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,配置当检测到报文长度非法检测时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到报文长度非法时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal] detect invalid-pkt-length action log trap

1.1.50  detect invalid-oui

【命令】

detect invalid-oui [ action classify rogue ]

undo detect invalid-oui

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

action classify rogue:对OUI检测结果为非法的无线设备进行分类,如果是AP则归类为非法AP(设备分类归属是Rogue);如果是Client则归类为未授权的无线客户端(设备分类归属是Unauthorized)

【描述】

detect invalid-oui命令用来开启当前攻击检测策略中对非法OUI的检测并指定非法OUI设备的分类。undo detect invalid-oui命令用来恢复缺省情况。

缺省情况下,关闭当前攻击检测策略中对非法OUI的检测。

需要注意的是,非法OUI是在WIPS系统OUI库中不存在的OUI,WIPS系统OUI库可以使用命令import oui导入。

【举例】

# 在名称为office的攻击检测策略中开启对非法OUI的检测并将其设备分类归属为Rogue。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office]detect invalid-oui action classify rogue

1.1.51  detect invalid-source-address action

【命令】

detect invalid-source-address action { log | trap }*

undo detect invalid-source-address action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到发送源地址为广播或组播的Authentication/Association Request 帧时,向AC发送日志信息。

trap: 当检测到发送源地址为广播或组播的Authentication/Association Request 帧时,向AC发送告警信息。

【描述】

detect invalid-source-address action { log | trap }*命令用来配置当检测到发送源地址为广播或组播的Authentication/Association Request 帧时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect invalid-source-address action { log | trap }*命令用来配置关闭检测到发送源地址为广播或组播时的Authentication/Association Request 帧发送的日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到发送源地址为广播或组播的Authentication/Association Request 帧时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,当检测到发送源地址为广播或组播的Authentication/Association Request 帧时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal] detect invalid-source-address action log trap

1.1.52  detect malformed-assoc-req action

【命令】

detect malformed-assoc-req action { log | trap }*

undo detect malformed-assoc-req action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到畸形的Association request帧时,向AC发送日志信息。

trap: 当检测到畸形的Association request帧时,向AC发送告警信息。

【描述】

detect malformed-assoc-req action { log | trap }* 命令用来配置当检测到畸形的Association request帧时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect malformed-assoc-req action { log | trap }*命令用来配置关闭检测到畸形的Association request帧时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到畸形Association request帧时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到畸形Association request帧时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal]detect malformed-assoc-req action log trap

1.1.53  detect large-duration action

【命令】

detect large-duration { threshold time | action { log | trap }* }*

undo detect large-duration { threshold | action { log | trap }* }

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

threshold time:畸形报文检测策略中Duration的门限值,取值范围为1~32767,单位为微秒,缺省情况下time取值为5000。

log: 当检测到Duration超大时,向AC发送日志信息。

trap: 当检测到Duration超大时,向AC发送告警信息。

【描述】

detect large-duration threshold time命令用来配置Duration的门限值。undo detect large-duration threshold用来清除之前配置的Duration门限值。

detect large-duration action { log | trap }*命令用来配置当检测到Duration超大时发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect large-duration action { log | trap }*命令用来配置关闭检测到Duration超大时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

detect large-duration threshold time action { log | trap }*命令用来配置用户指定的Duration门限值,当检测到Duration值超过配置的门限值时发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。

缺省情况下,当检测到Duration超大时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到Duration超大时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal]detect large-duration action log trap

# 在名称为normal的畸形报文检测策略中,设置Duration门限值为2000微秒,当门限值值超过2000微秒时,同时开启发送日志信息和告警信息的操作。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal]detect large-duration threshold 2000 action log trap

1.1.54  detect malformed-auth action

【命令】

detect malformed-auth action { log | trap }*

undo detect malformed-auth action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到畸形的Authentication帧时,向AC发送日志信息。

trap: 当检测到畸形的Authentication帧时,向AC发送告警信息。     

【描述】

detect malformed-auth action { log | trap }* 命令用来配置当检测到畸形的Authentication帧时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo malformed-auth action { log | trap }*命令用来配置关闭检测到畸形Authentication帧时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到畸形的Authentication帧时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到畸形的Authentication帧时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal]detect malformed-auth action log trap

1.1.55  detect malformed-ht-ie action

【命令】

detect malformed-ht-ie action { log | trap }*

undo detect malformed-ht-ie action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到畸形的HT IE时,向AC发送日志信息。

trap: 当检测到畸形的HT IE时,向AC发送告警信息。

【描述】

detect malformed-ht-ie action { log | trap }* 命令用来配置当检测到畸形的HT IE时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect malformed-ht-ie action { log | trap }*命令用来配置关闭检测到畸形的HT IE时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到畸形的HT IE时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到畸形的HT IE时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal]detect malformed-ht-ie action log trap

1.1.56  detect null-probe-resp action

【命令】

detect null-probe-resp action { log | trap }*

undo detect null-probe-resp action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到Probe response帧中SSID为空时,向AC发送日志信息。

trap: 当检测到Probe response帧中SSID为空时,向AC发送告警信息。

【描述】

detect null-probe-resp action { log | trap }*命令用来配置当检测到Probe response帧中SSID为空时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect null-probe-resp { log | trap }*命令用来配置关闭检测到Probe response帧中SSID为空时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到Probe response帧中SSID为空时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到Probe response帧中SSID为空时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal] detect null-probe-resp action log trap

1.1.57  detect overflow-eapol-key action

【命令】

detect overflow-eapol-key action { log | trap }*

undo detect overflow-eapol-key action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到EAPOL报文key长度超长时,向AC发送日志信息。

trap: 当检测到EAPOL报文key长度超长时,向AC发送告警信息。

【描述】

detect overflow-eapol-key action { log | trap }*命令用来配置当检测到EAPOL报文key长度超长时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect overflow-eapol-key action { log | trap }*命令用来配置关闭EAPOL报文key长度超长时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到EAPOL报文key长度超长时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到EAPOL报文key长度超长时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal]detect overflow-eapol-key action log trap

1.1.58  detect overflow-ssid action

【命令】

detect overflow-ssid action { log | trap }*

undo detect overflow-ssid action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到SSID长度超长时,向AC发送日志信息。

trap: 当检测到SSID长度超长时,向AC发送告警信息。

【描述】

detect overflow-ssid action { log | trap }*命令用来配置当检测到SSID长度超长时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的的功能。undo detect overflow-ssid action { log | trap }*命令用来配置关闭检测到SSID长度超长时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到SSID长度超长时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到SSID长度超长时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal]detect overflow-ssid action log trap

1.1.59  detect-period

【命令】

detect-period period-time

undo detect-period

【视图】

SIG视图

【缺省级别】

2:系统级

【参数】

period-time:Signature规则的统计周期,取值范围为1~3600,单位为秒。

【描述】

detect-period命令用来配置Signature规则的统计周期,在该周期内会进行相应Signature规则的匹配统计,对于达到或超过detect-threshold命令配置的统计次数的Signature规则将根据action命令配置的动作进行后续处理。

undo detect-period命令用来恢复缺省情况。

缺省情况下,自定义Signature规则的统计周期为60秒;内置Signature规则的统计周期根据具体的内置Signature规则而定。

需要注意的是:

·     重复配置Signature规则的统计周期时,后面的配置会覆盖之前的配置。

·     Signature规则绑定在Signature策略下后,其属性detect-period不能被修改,必须先解除绑定关系后才能修改。

【举例】

# 配置自定义Signature规则office的统计周期为500秒。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips]signature office

[Sysname-wlan-ips-sig-office] detect-period 500

1.1.60  detect prohibited-channel

【命令】

detect prohibited-channel [ action classify rogue ]

undo detect prohibited-channel

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

action classify rogue:对处于非法信道上的无线设备进行分类,如果是AP则归类为非法AP(设备分类归属是Rogue);如果是Client则归类为未授权的无线客户端(设备分类归属是Unauthorized)。

【描述】

detect prohibited-channel命令用来开启当前攻击检测策略中对非法信道的检测。undo detect prohibited-channel命令用来关闭当前攻击检测策略中对非法信道的检测。

缺省情况下,关闭对非法信道的检测。

需要注意的是,detect prohibited-channel命令需要与permit-channel命令配合使用。

【举例】

# 指定1、6、11、149、153、157为无线环境中允许使用的合法信道,并在名称为office的攻击检测策略中开启对非法信道的检测,将其设备分类归属为Rogue。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] permit-channel 1 6 11 149 153 157

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office]detect prohibited-channel action classify rogue

1.1.61  detect ps-attack

【命令】

detect ps-attack [ quiet-time quiet-time-value | threshold { minoffpacket minoffpacket-value | onoffpercent onoffpercent-value}* ]*

undo detect ps-attack

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

quiet-time quiet-time-value:检测到节电攻击并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

threshold: 用于指定配置节电攻击检测所需参数。

minoffpacket minoffpacket-value:检测到的节电模式关闭报文数量的最小值,缺省取值为50个,该参数指一个无线客户端处于节电模式下,在10秒的间隔内会发送多少个节电模式关闭报文,取值范围为10~150。

onoffpercent onoffpercent-value:检测到的节电模式开启报文与关闭报文的百分比,当实际比例超过此值则发出告警,取值范围为0~100,缺省取值为80。

【描述】

detect ps-attack命令用来开启当前攻击检测策略中对节电攻击的检测undo detect ps-attack命令用来关闭当前攻击检测策略中对节电攻击的检测

缺省情况下,关闭当前攻击检测策略中对节电攻击的检测。

【举例】

# 在名称为office的攻击检测策略中开启对节电攻击的检测,并设定静默时间为60秒,10秒内检测到工作站发送节电模式关闭报文最小值为60个,节电模式开启报文数与节电模式关闭报文数达到告警的百分比90。

<sysname> system-view

[sysname] wlan ips

[sysname-wlan-ips] attack-detect-policy office

[sysname-wlan-ips-dctp-office] detect ps-attack quiet-time 60 threshold minioffpacket

60 onoffpercent 90

1.1.62  detect redundant-ie action

【命令】

detect redundant-ie action { log | trap }*

undo detect redundant-ie action { log | trap }*

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

log: 当检测到IE多余时,向AC发送日志信息。

trap: 当检测到IE多余时,向AC发送告警信息。

【描述】

detect redundant-ie action { log | trap }*命令用来配置当检测到IE多余时向AC发送日志信息或告警信息,或同时发送日志信息和告警信息的功能。undo detect redundant-ie action { log | trap }*命令用来配置关闭检测到IE多余时发送日志信息或告警信息,或同时关闭发送日志信息和告警信息的功能。

缺省情况下,当检测到IE多余时不发送日志信息和告警信息。

【举例】

# 在名称为normal的畸形报文检测策略中,配置当检测到IE多余时发送日志信息和告警信息。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy normal

[Sysname-wlan-ips-mdctp-normal] detect redundant-ie action log trap

1.1.63  detect scan-channel

【命令】

detect scan-channel channel-list

undo detect scan-channel { all | channel-list }

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

channel-list:信道扫描列表,取值范围为1~196,一次最多能够配置10个信道。

all:删除全部信道扫描列表。

【描述】

detect scan-channel命令用来指定信道扫描列表。undo detect scan-channel命令用来恢复缺省情况。

缺省情况下,未配置信道扫描列表。

【举例】

# 指定射频对信道1、6、11进行扫描。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] detect scan-channel 1 6 11

1.1.64  detect soft-ap

【命令】

detect soft-ap [ convert-time convert-time-value ]*

undo detect soft-ap

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

convert-time-value:软AP在无线客户端与AP的两个角色之间进行切换的时间间隔,取值范围5~600,单位为秒,缺省取值为10秒。

【描述】

detect soft-ap命令用来开启当前攻击检测策略中对软AP的检测。undo detect soft-ap命令用来关闭当前攻击检测策略中对软AP的检测。

缺省情况下,关闭当前攻击检测策略中对软AP的检测。

【举例】

# 在名称为office的攻击检测策略中开启对软AP的检测,并设定转换时间阈值为20秒。

<sysname> system-view

[sysname] wlan ips

[sysname-wlan-ips] attack-detect-policy office

[sysname-wlan-ips-dctp-office] detect soft-ap convert-time 20

1.1.65  detect-threshold

【命令】

detect-threshold { per-mac number | per-signature number }

undo detect-threshold { per-mac | per-signature }

【视图】

SIG视图

【缺省级别】

2:系统级

【参数】

per-mac number:当Signature规则中track-method配置为per-mac时的统计次数,取值范围为1~32000,单位为次。

per-signature number:当Signature规则中track-method配置为per-signature时的统计次数,取值范围为1~32000,单位为次。

【描述】

detect-threshold命令用来配置统计周期内匹配该Signature规则的次数。当达到或超过该次数时,系统将根据action命令配置的动作进行后续处理。

undo detect-threshold命令用来恢复缺省情况。

缺省情况下,自定义Signature规则的统计次数为1000次;内置Signature规则的统计次数根据具体的Signature规则而定。

需要注意的是:

·     重复配置Signature规则的detect-threshold时,后面的配置会覆盖之前的配置。

·     不能配置Signature规则中不存在的跟踪方式下的统计次数。

·     Signature规则绑定在Signature策略下后,其属性detect-threshold不能被修改,必须先解除绑定关系后才能修改。

【举例】

# 配置自定义Signature规则office中per-mac跟踪方式对应的统计次数为6000次。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] signature office

[Sysname-wlan-ips-sig-office] detect-threshold per-mac 6000

1.1.66  detect unencrypted-authorized-ap

【命令】

detect unencrypted-authorized-ap [ quiet-time quiet-time-value ]

undo detect unencrypted-authorized-ap

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

quiet-time quiet-time-value:检测到未加密授权AP并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

【描述】

detect unencrypted-authorized-ap命令用来开启当前攻击检测策略中对未加密授权AP的检测。undo detect unencrypted-authorized-ap命令用来关闭当前攻击检测策略中对未加密授权AP的检测。

缺省情况下,关闭当前攻击检测策略中对未加密授权AP的检测。

【举例】

# 在名称为office的攻击检测策略中开启对未加密合法AP的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office] detect unencrypted-authorized-ap

1.1.67  detect unencrypted-trust-client

【命令】

detect unencrypted-trust-client  [ quiet-time quiet-time-value ]

undo detect unencrypted-trust-client

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

quiet-time quiet-time-value:检测到未加密信任Client并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

【描述】

detect unencrypted-trust-client命令用来开启当前攻击检测策略中对未加密信任Client的检测。undo detect unencrypted-trust-client命令用来关闭当前攻击检测策略中对未加密信任Client的检测。

缺省情况下,关闭对未加密信任Client的检测。

【举例】

# 在名称为office的攻击检测策略中开启对未加密信任Client的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office]detect unencrypted-trust-client

1.1.68  detect weak-iv

【命令】

detect weak-iv [ quiet-time time-value ]

undo detect weak-iv

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

time-value:检测到弱初始化向量并发出告警后的静默时间,单位为秒,取值范围为5~604800,缺省取值为600秒。

【描述】

detect weak-iv命令用来开启当前攻击检测策略中对弱初始化向量的检测。

undo detect weak-iv命令用来关闭当前攻击检测策略中对弱初始化向量的检测。

缺省情况下,关闭对弱初始化向量的检测。

【举例】

# 在名称为office的攻击检测策略中开启对弱初始化向量的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office] detect weak-iv quiet-time 10

1.1.69  detect windows-bridge

【命令】

detect windows-bridge

undo detect windows-bridge

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

【描述】

detect windows-bridge命令用来开启当前攻击检测策略中对Windows 网桥的检测。undo detect windows-bridge命令用来关闭当前攻击检测策略中对Windows网桥的检测。

缺省情况,关闭当前攻击检测策略中对Windows网桥的检测。

【举例】

# 在名称为office的攻击检测策略中开启对Windows网桥的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-1] detect windows-bridge

1.1.70  detect wireless-bridge

【命令】

detect wireless-bridge [ quiet-time time-value ]

undo detect wireless-bridge

【视图】

攻击检测策略视图

【缺省级别】

2:系统级

【参数】

quiet-time time-value:检测到无线网桥并发出告警后的静默时间,取值范围为5~604800,单位为秒,缺省取值为600秒。

【描述】

detect wireless-bridge 命令用来开启当前攻击检测策略中对无线网桥的检测。

undo detect wireless-bridge命令用来关闭当前攻击检测策略中对无线网桥的检测。

缺省情况下,关闭对无线网桥设备的检测。

【举例】

# 在名称为office的攻击检测策略中开启对无线网桥的检测。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] attack-detect-policy office

[Sysname-wlan-ips-dctp-office] detect wireless-bridge quite-time 480

1.1.71  detect wireless-device disable

【命令】

detect wireless-device disable

undo detect wireless-device disable

【视图】

WIPS视图

【缺省级别】

2:系统级

【描述】

detect wireless-device disable 命令用来关闭WIPS无线设备检测功能。

undo detect wireless-device disable命令用来开启WIPS无线设备检测功能。

缺省情况下,WIPS无线设备检测功能处于开启状态。

【举例】

# 关闭WIPS无线设备检测功能。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] detect wireless-device disable

1.1.72  display wlan ips ap-classification-rule

【命令】

display wlan ips ap-classification-rule [ rule-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

rule-name:AP分类规则名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写,不包含空格。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips ap-classification-rule命令用来查看指定的或所有的自定义AP分类规则的内容。

【举例】

# 显示系统中全部的AP分类规则的具体内容

[Sysname]display wlan ips ap-classification-rule rule1

                            AP Classification Rules 

--------------------------------------------------------------------------------

Classifictaion Rule Name  : rule1

 Classify Type            : authorized-ap

 Serverity Level          : -NA-  

 Match                    : Any

 SSID                     : not include "test"

 SSID Match Case          : Ignore

 Security                 : equal WPA2

 Authentication Method    : 802.1X

 RSSI                     : > 40

 Duration                 : > 86400

 Client Count             : -NA-

 Discovered APs           : < 10

 OUI                      : -NA-                                               

 OUI Vendor               : h3c

Applied to VSD

  VSD 1                   : office

  VSD 2                   : lab

--------------------------------------------------------------------------------

Classifictaion Rule Name  : rule2

 Classify Type            : -NA-

 Serverity Level          : 10

 Match                    : Any

 SSID                     : include "test"

 SSID Match Case          : Ignore

 Security                 : include WPA

 Authentication Method    : PSK

 RSSI                     : < 20

 Duration                 : < 86400

 Client Count             : -NA-

 Discovered APs           : > 10

 OUI                      : 00-01-02                                             

 OUI Vendor               : -NA-

Applied to VSD

  VSD 1                   : office

--------------------------------------------------------------------------------

表1-2 display wlan ips ap-classification-rule 命令显示信息描述表

字段

描述

Classification Rule Name

AP分类规则的名称

Classify Type

匹配该规则的AP的归属类别:

·     authorized-ap:授权的AP

·     rogue-ap:非法的AP

·     misconfigured-ap:配置错误的AP

·     external-ap:外部的AP

Serverity Level

AP设备增加的威胁等级,威胁等级的取值范围从低到高为0~100

Match

规格的匹配策略:

·     All:逻辑与

·     Any:逻辑或

SSID

SSID需要匹配的字符串。匹配方式包括:

·     Include:包含配置的字符串

·     not include:不包含配置的字符串

·     equal:等于配置的字符串

·     not equal:不等于配置的字符串

SSID Match Case

SSID是否按照字母的大小写匹配

·     ignore:不需要按照字母的大小写匹配。

·     exact:需要按照字母的大小写匹配

Security

AP使用的安全方式:

·     Clear:AP采用明文方式

·     WEP:AP采用WEP方式

·     WPA:AP采用WPA方式

·     WPA2:AP采用WPA2方式

Authentication Method

AP使用的认证方式:

·     802.1X:AP采用802.1X认证方式

·     PSK:AP采用WPA方式

·     None:AP采用无认证方式

·     Other:AP采用802.1X、PSK和none之外的其他认证方式

RSSI

AP信号的RSSI值

Duration

AP设备的启动时间

Client Count

AP上关联的无线客户端的数量

Discovered Aps

当前Sensor已发现的AP数量

OUI

AP的OUI

OUI Vendor

AP所属的厂商

Applied to VSD

应用该AP分类规则的虚拟安全域

VSD n

虚拟安全域的名称,n为系统自动的编号

 

1.1.73  display wlan ips attack-detect-policy

【命令】

display wlan ips attack-detect-policy [ policy-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

policy-name:攻击检测策略名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写,不包含空格。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips attack-detect-policy命令用来查看指定的或所有的攻击检测策略信息。

【举例】

# 显示名称为policy1的攻击检测策略具体内容

[Sysname]display wlan ips attack-detect-policy

                             Attack Detect Policies                            

--------------------------------------------------------------------------------

Detection-Type       Status Quiet-Time Action                                  

--------------------------------------------------------------------------------

Policy Name: default                                                           

Adhoc-network        off    --         --                                      

Prohibited-channel   off    --         --                                      

AP-spoofing          on     100        --                                      

Client-spoofing      on     200        --                                      

AP-Flood             off    --         --                                      

Dos-eapol-start      off    --         --                                      

Dos-authentication   off    --         --                                      

Dos-association      off    --         --                                      

Dos-reassociation    off    --         --                                      

Weak-iv              off    --         --                                      

Invalid-OUI          on     --         --                                       

Ps-attack            on     600        --                                      

Windows-Bridge       on     --         --                                       

Hotspot-attack       on     --         --                                       

AP-Impersonation     on     600        --                                       

Soft-ap              on     --         --                                      

Unencrypt-auth-ap    on     600        --                                       

Unencrypt-trust-cli  on     600        --                                      

Applied To VSD : default, vsd_office                                           

--------------------------------------------------------------------------------

Policy Name: lab                                                               

Adhoc-network        on     --         --                                      

Prohibited-channel   on     --         --                                      

AP-spoofing          off    --         --                                      

Client-spoofing      off    --         --                                      

AP-Flood             on     600        --                                      

Dos-eapol-start      off    --         --                                      

Dos-authentication   off    --         --                                      

Dos-association      off    --         --                                      

Dos-reassociation    off    --         --                                      

Weak-iv              on     500        --                                      

Invalid-OUI          off    --         --                                      

Ps-attack            off    --         --                                      

Windows-Bridge       off    --         --                                       

Hotspot-attack       off    --         --                                      

AP-Impersonation     off    --         --                                       

Soft-ap              off    --         --                                      

Unencrypt-auth-ap    off    --         --                                       

Unencrypt-trust-cli  off    --         --                                       

Applied To VSD : vsd_lab                                                       

--------------------------------------------------------------------------------

表1-3 display wlan ips attack-detect-policy 命令显示信息描述表

字段

描述

Detection-Type

攻击检测类别

Status

攻击检测的开启或关闭状态

Quiet-Time

检测到攻击后的静默时间

Action

检测到攻击后采取的动作

Policy Name

攻击检测策略名称

Adhoc-network

是否对Ad hoc网络进行检测:

·     on:检测开启

·     off:检测关闭

Prohibited-channel

是否对非法信道的使用进行检测:

·     on:检测开启

·     off:检测关闭

AP-spoofing

是否对AP仿冒进行检测:

·     on:检测开启

·     off:检测关闭

Client-spoofing

是否对无线客户端仿冒进行检测:

·     on:检测开启

·     off:检测关闭

AP-Flood

是否对AP泛洪攻击进行检测:

·     on:检测开启

·     off:检测关闭

Dos-eapol-start

是否对EAPOL-Start DoS攻击进行检测

·     on:检测开启

·     off:检测关闭

Dos-authentication

是否对鉴权DoS攻击进行检测

·     on:检测开启

·     off:检测关闭

Dos-association

是否对关联DoS攻击进行检测

·     on:检测开启

·     off:检测关闭

Dos-reassociation

是否对重关联DoS攻击进行检测

·     on:检测开启

·     off:检测关闭

Weak-iv

是否对弱IV进行检测

·     on:检测开启

·     off:检测关闭

Invalid-OUI

是否对非法OUI进行检测

·     on:检测开启

·     off:检测关闭

Ps-attack

是否对节电攻击进行检测

·     on:检测开启

·     off:检测关闭

Windows-Bridge

是否对windows网桥进行检测

·     on:检测开启

·     off:检测关闭

Hotspot-attack

是否对热点攻击进行检测

·     on:检测开启

·     off:检测关闭

AP-Impersonation

是否对ap扮演者攻击进行检测

·     on:检测开启

·     off:检测关闭

Soft-ap

是否对软AP进行检测

·     on:检测开启

·     off:检测关闭

Unencrypt-auth-ap

是否对未加密合法AP进行检测

·     on:检测开启

·     off:检测关闭

Unencrypt-trust-cli

是否对未加密信任client进行检测

·     on:检测开启

·     off:检测关闭

Applied to VSD

应用该攻击检测策略的虚拟安全域

 

1.1.74  display wlan ips authssidlist

【命令】

display wlan ips authssidlist [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips authssidlist命令用来查看WIPS系统保存的合法SSID列表。

【举例】

# 显示WIPS系统收集到的合法SSID信息。

<Sysname> display wlan ips authssidlist                                        

Total Number of Entries:      6                                                 

                                     AuthSSID List                             

--------------------------------------------------------------------------------

SSID                                                        Added-Time 

--------------------------------------------------------------------------------

Cmcc                                                        2014-06-07/15:42:31         

Y6066                                                       2014-06-07/15:42:31

c4                                                          2014-06-07/15:42:31

full                                                        2014-06-07/15:42:31 

full2                                                       2014-06-07/15:42:31

z05066t                                                     2014-06-07/15:42:31

--------------------------------------------------------------------------------

1.1.75  display wlan ips blocklist

【命令】

display wlan ips blocklist [ static | dynamic | mac-address mac-addr ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

static:静态配置的禁用设备列表的表项。

dynamic:动态添加的禁用设备列表的表项。

mac-address mac-addr:指定MAC地址的禁用设备列表的表项。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips blocklist命令用来查看指定的或所有的WIPS禁用设备列表。

【举例】

# 显示所有的禁用设备列表信息

[Sysname] display wlan ips blocklist

Total Number of Entries: 2

State:  S = Static,  D = Dynamic,  S&D = Static & Dynamic

 

Blocklist-Action Block : Disable

                                   Block List

--------------------------------------------------------------------------------

MAC-Address              Status

--------------------------------------------------------------------------------

0001-0002-0003           S

0001-0002-0004           S

--------------------------------------------------------------------------------

表1-4 display wlan ips blocklist命令显示信息描述

字段

描述

Blocklist-Action Block

禁止禁用设备列表中的无线设备接入无线网络

·     Enable:开启该功能

·     Disable:关闭该功能

MAC-Address

禁用设备列表中的无线设备MAC地址

Status

禁用设备列表表项的状态:

·     S:表示静态配置的

·     D:表示动态生成的

·     S&D:表示该表项由静态和动态同时配置的

 

1.1.76  display wlan ips channel

【命令】

display wlan ips channel [ permit | prohibit ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

permit:系统中允许使用的无线信道的信息。

prohibit:系统中非法信道的信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips channel命令用于查看指定的或所有的无线信道的信息。

【举例】

# 显示所有无线信道的信息。

[Sysname] display wlan ips channel

                                   Channel List

--------------------------------------------------------------------------------

  Channel       Radio-Type       Permit      Last-Time

--------------------------------------------------------------------------------

    1           11gn             No          2013-06-21/16:00:47

    2           11gn             No          2013-06-21/16:00:47

    3           11gn             No          2013-06-21/16:00:47

    4           11gn             No          2013-06-21/16:00:47

    5           11gn             No          2013-06-21/16:00:47

    6           11gn             No          2013-06-21/16:00:47

    7           11gn             No          2013-06-21/16:00:47

    8           11gn             No          2013-06-21/16:00:47

    9           11gn             No          2013-06-21/16:00:47

   10           11gn             No          2013-06-21/16:00:47

   11           11gn             No          2013-06-21/16:00:47

   12           11gn             No          2013-06-21/16:00:47

   13           11gn             No          2013-06-21/16:00:47

  149           11an             No          2013-06-21/16:00:47

  153           11an             No          2013-06-21/16:00:47

  157           11an             No          2013-06-21/16:00:47

  161           11an             No          2013-06-21/16:00:47

  165           11an             No          2013-06-21/16:00:47

--------------------------------------------------------------------------------

表1-5 display wlan ips channel命令显示信息描述

字段

描述

Channel

当前国家码下支持的信道

Radio-Type

无线类型

Permit

无线信道是否允许使用:

·     Yes:允许使用

·     No:禁止使用

Last-Time

系统检测到该信道最近一次的活动时间

 

1.1.77  display wlan ips countermeasure-devices

【命令】

display wlan ips [ vsd vsd-name ] countermeasure-devices [ static [ countermeasure | pending | idle ] | dynamic [ countermeasure | pending ] | mac-address mac-addr ] [ verbose ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

vsd vsd-name:虚拟安全域的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

static: 显示用户在WIPS视图和反制策略视图下静态添加到反制列表中的无线设备信息。

dynamic:显示反制列表中通过WIPS动态添加的无线设备信息。

countermeasure:显示反制列表中正在进行反制的无线设备信息。

pending:显示反制列表中正在等待反制的无线设备信息。

idle:显示反制列表中由用户添加的但不在虚拟安全域的设备列表中的无线设备。

mac-address mac-addr:显示反制列表中指定MAC地址的无线设备信息。

verbose:显示反制列表中无线设备的详细信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

【描述】

display wlan ips countermeasure-devices命令用来显示指定的或所有的虚拟安全域下的反制列表的表项和相关的统计信息。

【举例】

# 显示全部虚拟安全域下反制列表中的无线设备信息。

<Sysname> display wlan ips countermeasure-devices

 S = Static, D = Dynamic, VSD = virtual security domain, Chl = Channel

 P = Pending, C = Countermeasure, I = Idle, PRI = Precedence

                             Countermeasure Devices

--------------------------------------------------------------------------------

Mac-address     Type  State  Start-Time          Classification          Chl PRI

--------------------------------------------------------------------------------

VSD: default

 c4ca-d97e-2680 S&D   C      2013-06-21/16:11:44 rogue-ap                6   10

 3ce5-a68b-9030 D     P      2013-06-21/16:15:26 rogue-ap                6   9

 c4ca-d9f0-cab0 S     C      2013-06-21/16:15:26 potential-external-ap   1   10

 006a-ff00-0001 D     C      2013-06-21/16:11:29 rogue-ap                5   9

VSD: vsd_office

 c4ca-d97e-2680 S     I      --                   --                     --  --

 c4ca-d9f0-cab0 S     I      --                   --                     --  --

VSD: vsd_lab

 c4ca-d97e-2680 S     I      --                   --                     --  --

 c4ca-d9f0-cab0 S     I      --                   --                     --  --

--------------------------------------------------------------------------------

表1-6 display wlan ips countermeasure-devices命令显示信息描述表

字段

描述

Static

在反制列表中由用户静态添加的无线设备

Dynamic

在反制列表中由WIPS根据反制策略动态添加的无线设备

virtual security domain

虚拟安全域

Pending

设备当前反制状态为正在等待反制

Countermeasure

设备当前反制状态为正在被反制

Idle

设备当前反制状态为不在虚拟安全域中

Precedence

反制列表中无线设备对应的反制优先级

Countermeasure Devices

反制列表中的无线设备信息

MAC-address

反制列表中无线设备的MAC地址

Type  

反制设备类型

·     S:在反制列表中由用户静态添加的无线设备

·     D:在反制列表中由WIPS根据反制策略动态添加的无线设备

·     S&D:在反制列表中既是由用户添加的无线设备,同时也是WIPS根据反制策略动态添加的无线设备

State

反制设备状态:

·     Pending:等待反制,即当前VSD此时无法对该设备执行反制

·     Countermeasure:正在反制,即当前VSD正在对该设备执行反制

·     Idle: 未反制,即在当前VSD下未探测到该设备

Start-Time

无线设备进入当前反制状态的开始时间

Classification

反制设备所属的分类类型

·     Potential-rogue-ap:潜在rogue AP

·     Rogue-ap:rogue AP

·     Misconfigured-ap:配置错误的AP

·     Uncategorized-ap:未确定分类的AP

·     Potential-external-ap:潜在外部AP

·     External-ap:外部AP

·     Potential-authorized-ap:潜在授权AP

·     Uncategorized-client:未确定分类的client

·     Misassociation-client:误关联的client

·     Unauthorized-client:未授权的client

Chl

对该设备执行反制的信道

PRI

对设备采取的反制优先级

VSD

虚拟安全域名称

 

# 显示名称为lab的虚拟安全域下反制列表中的无线设备的详细信息。

<Sysname> display wlan ips vsd default countermeasure-devices verbose          

 VSD = virtual security domain                                                 

                             Countermeasure Devices                            

--------------------------------------------------------------------------------

VSD: default                                                                    

 Device: c4ca-d97e-2680                                                        

 Type                                    : Static                              

 Classification                          : potential-external-ap               

 Precedence                              : 10                                  

 State                                   : Countermeasure                      

 Channel                                 : 6                                   

 Sensor                                  : ap3                                 

 Start-Time                              : 2013-06-21/16:11:44                 

 Global Static Countermeasure            : YES                                 

 Applied to Countermeasure-policies      : --                                   

  default                                                                      

  office                                                                        

 Countermeasure records                  : 1                                   

  2013-06-21/16:11:29 - 2013-06-21/16:11:44 Pending                            

--------------------------------------------------------------------------------

 Device: c4ca-d9f0-cab0                                                        

 Type                                    : Static                              

 Classification                          : potential-external-ap                

 Precedence                              : 10                                  

 State                                   : Pending                             

 Channel                                 : 1                                    

 Sensor                                  : --                                  

 Start-Time                              : 2013-06-21/16:25:56                 

 Global Static Countermeasure            : YES                                 

 Applied to Countermeasure-policies      : --                                   

 Countermeasure records                  : 0                                   

--------------------------------------------------------------------------------

 Device: 006a-ff00-0001                                                        

 Type                                    : Dynamic                             

 Classification                          : rogue-ap                            

 Precedence                              : 9                                   

 State                                   : Countermeasure                      

 Channel                                 : 5                                   

 Sensor                                  : ap3                                 

 Start-Time                              : 2013-06-21/16:11:29                 

 Global Static Countermeasure            : NO                                  

 Applied to Countermeasure-policies      : --                                   

 Countermeasure records                  : 1                                   

  2013-06-21/16:11:29 - 2013-06-21/16:11:29 Pending                            

--------------------------------------------------------------------------------

表1-7 display wlan ips countermeasure-devices verbose命令显示信息描述表

字段

描述

VSD

虚拟安全域的名称

Device

反制列表中的无线设备的MAC地址

Type

反制设备类型

·     Static:在反制列表中由用户添加的无线设备

·     Dynamic:在反制列表中由WIPS根据反制策略动态添加的无线设备

·     Static & Dynamic:在反制列表中既是由用户添加的无线设备,同时也是WIPS根据反制策略动态添加的无线设备

Classification

设备在当前虚拟安全域的设备类别

Precedence

设备在当前虚拟安全域的反制优先级

State

无线设备的反制状态

·     Pending:等待反制,即当前VSD此时无法对该设备执行反制

·     Countermeasure:正在反制,即当前VSD正在对该设备执行反制

·     Idle: 未反制,即在当前VSD下未探测到该设备

Channel

当前对该设备执行反制的信道

Sensor

当前对该设备执行反制的sensor

Start-Time

无线设备进入当前反制状态的开始时间

Global Static Countermeasure

该无线设备是否为全局配置的静态反制设备

Applied to Countermeasure-policy

配置该无线设备为静态反制设备的反制策略

Countermeasure record

无线设备的反制记录

 

1.1.78  display wlan ips countermeasure-policy

【命令】

display wlan ips countermeasure-policy [ policy-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

countermeasure-policy policy-name:反制策略的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips countermeasure-policy命令用来显示指定的或者全部的反制策略信息,如果未指定反制策略的名称,则默认显示全部的反制策略信息。

【举例】

# 显示名称为office的反制策略信息。

<Sysname> display wlan ips countermeasure-policy officecmp                 

                              Countermeasure Policy                            

--------------------------------------------------------------------------------

Policy Name : officecmp                                                         

  Countermeasure on Fixedchannel          : Disable                            

  Countermeasure Device-Classification                                         

   misconfigured-ap                       : Off                                

   rogue-ap                               : Off                                

   unauthorized-client                    : Off                                

   external-ap                            : Off                                

   misassociation-client                  : On     precedence : 6              

   potential-authorized-ap                : Off                                

   potential-rogue-ap                     : Off                                

   potential-external-ap                  : Off                                

   uncategorized-ap                       : Off                                

   uncategorized-client                   : Off                                

  Countermeasure Static Devices           : 0                                  

  Applied to VSD                          :                                    

   VSD 1                                  : vsd_office                         

----------------------------------------------------------------------

表1-8 display wlan ips countermeasure-policy命令显示信息描述表

字段

描述

Policy Name

反制策略名称

Countermeasure on Fixedchannel

固定信道反制策略

·     enable:开启固定信道反制功能

·     disable:关闭固定信道反制功能

Countermeasure Device-Classification

对不同设备分类采取的反制措施

misconfigured-ap

对配置错误的AP是否开启反制:

·     on:开启反制

·     off:未开启反制

rogue-ap

对rogue AP是否开启反制:

·     on:开启反制

·     off:未开启反制

unauthorized-client

对未授权的客户端是否开启反制:

·     on:开启反制

·     off:未开启反制

external-ap

对外部AP是否开启反制

·     on:开启反制

·     off:未开启反制

misassociation-client

对误关联的客户端是否开启反制:

·     on:开启反制

·     off:未开启反制

potential-authorized-ap

对潜在授权AP是否开启反制:

·     on:开启反制

·     off:未开启反制

potential-rogue-ap

对潜在rogue AP是否开启反制:

·     on:开启反制

·     off:未开启反制

potential-external-ap

对潜在外部AP是否开启反制:

·     on:开启反制

·     off:未开启反制

uncategorized-ap

对未分类AP是否开启反制:

·     on:开启反制

·     off:未开启反制

uncategorized-client

对未分类的客户端是否开启反制:

·     on:开启反制

·     off:未开启反制

Countermeasure Static Devices

当前反制策略的静态反制列表中添加的无线设备信息

Applied to VSD

应用当前反制策略的VSD

VSD n

虚拟安全域的名称,n为系统自动的编号

 

1.1.79  display wlan ips devices

【命令】

display wlan ips [ vsd vsd-name ] devices [ ap [ adhoc | authorized | external | misconfigured | potential-authorized | potential-external | potential-rogue | rogue | uncategorized | mesh-ap ] | client [ authorized | misassociation | unauthorized | uncategorized | unassociated ] | mac-address mac-addr ] [ verbose ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

vsd vsd-name:虚拟安全域的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

ap:显示AP的信息。

adhoc:显示Ad hoc AP的信息。

authorized:显示授权AP的信息。

external:显示外部AP的信息。

misconfigured:显示错误配置的AP的信息。

potential-authorized:显示潜在授权AP的信息。

potential-external:显示潜在外部AP的信息。

potential-rogue:显示潜在Rogue AP的信息。

rogue:显示Rogue AP的信息。

uncategorized:显示无法确定类别的AP的信息。

mesh-ap: 连接到MESH网络的AP的信息。

client:显示Client的信息。

authorized:显示授权Client的信息。

misassociation:显示误关联Client的信息。

unauthorized:显示未授权Client的信息。

uncategorized:显示无法确定类别的Client的信息。

unassociated : 显示未关联AP的Client信息。

mac-address mac-addr:显示指定MAC地址的无线设备的信息。

verbose:显示设备的详细信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips devices命令用来查看指定的或所有的虚拟安全域中检测到的无线设备的信息。

【举例】

# 显示所有虚拟安全域中的所有设备信息。

<Sysname> display wlan ips devices

SL = severity level, #S = number of reporting sensors, S = status

VSD = virtual security domain, I = inactive, A = active

Cli = client, Chl = channel

                           Detected Wireless Devices

--------------------------------------------------------------------------------

MAC-Address     Type Classification        SL  Last-Time            #S  Chl S

--------------------------------------------------------------------------------

VSD default: 0

VSD vsd_office: 6

 000f-e2a2-2420 AP   Misconfigured         0   2014-06-22/15:52:26  1   149 A

 000f-e233-5500 AP   Misconfigured         0   2014-06-22/15:52:19  1   153 A

 044f-aa03-9fec AP   Potential-External    0   2014-06-22/15:52:19  1   157 A

 0021-632f-f77d Cli  Uncategorized         -   2014-06-22/15:52:29  1   149 A

 0024-012d-ecec Cli  Unassociated          -   2014-07-18/14:29:55  1    -  -

d4c9-efe4-d3e1 AP   Mesh                  0   2014-07-22/11:38:14  1    161 A

--------------------------------------------------------------------------------

表1-9 display wlan ips devices命令显示信息描述表

字段

描述

MAC-Address

无线设备的MAC地址

Type

无线设备的类型:

·     AP:AP设备

·     Cli:无线客户端

Classification

无线设备的分类类别

SL

无线设备的威胁等级

Last-Time

WIPS最近一次检测到该AP或无线客户端的时间

#S

检测到该无线设备的Sensor的数量

Chl

设备在该信道被wips探测到

S

AP或无线客户端的活动状态:

·     Active:启用状态

·     Inactive:禁用状态

 

# 显示所有虚拟安全域中的所有设备的详细信息。

<Sysname> display wlan ips devices verbose

                            Detected Wireless Devices                          

--------------------------------------------------------------------------------

VSD: default                                                                    

 Total Number of APs: 0                                                        

 Total Number of Clients: 0                                                    

--------------------------------------------------------------------------------

VSD: vsd_office                                                                

 Total Number of APs: 4                                                        

--------------------------------------------------------------------------------

BSSID : 000f-e2a2-2420                                                         

Vendor: New H3C Technologies Co., Ltd.                                    

 SSID                      : office                                             

 Status                    : Active                                            

 Classification            : Misconfigured                                     

 Severity Level            : 0                                                 

 Security                  : WPA2/WPA                                          

 Encrypt Method            : TKIP/CCMP                                         

 Authentication Method     : PSK                                               

 Radio Type                : 802.11an                                          

 Channel                   : 149                                               

 In Countermeasure List    : No                                                

 Up Time                   : 2013-06-22/15:43:16                               

 First Reported Time       : 2013-06-22/15:40:56                               

 Last Reported Time        : 2013-06-22/15:53:26                               

 Reporting Sensor          : 1                                                  

  Sensor 1                 : ap3                                               

      RadioId              : 1                                                 

      RSSI                 : 72                                                 

      Last Reported Time   : 2013-06-22/15:53:26                               

 Attached Clients          : 1                                                 

  Client 1                 : 0021-632f-f77d                                     

Detected Attacks          : invalid-oui,          --------------------------------------------------------------------------------

BSSID : 000f-e233-5500                                                         

Vendor: New H3C Technologies Co., Ltd.                                    

 SSID                      : bignetwork-a                                      

 Status                    : Active                                            

 Classification            : Misconfigured                                      

 Severity Level            : 0                                                 

 Security                  : Clear                                             

 Encrypt Method            : -NA-                                               

 Authentication Method     : None                                              

 Radio Type                : 802.11an                                          

 Channel                   : 153                                                

 In Countermeasure List    : No                                                

 Up Time                   : 2013-05-09/14:46:57                               

 First Reported Time       : 2013-06-22/15:38:26                               

 Last Reported Time        : 2013-06-22/15:53:21                               

 Reporting Sensor          : 1                                                 

  Sensor 1                 : ap3                                               

      RadioId              : 1                                                 

      RSSI                 : 25                                                

      Last Reported Time   : 2013-06-22/15:53:21                               

 Attached Clients          : 0                                                 

Detected Attacks          : -NA-                                               

--------------------------------------------------------------------------------

BSSID : 044f-aa03-9fec                                                          

Vendor: Ruckus Wireless                                                        

 SSID                      : Ruckus-Wireless-1                                 

 Status                    : Active                                             

 Classification            : Potential-External                                

 Severity Level            : 0                                                 

 Security                  : Clear                                              

 Encrypt Method            : -NA-                                              

 Authentication Method     : None                                              

 Radio Type                : 802.11an                                           

 Channel                   : 157                                               

 In Countermeasure List    : No                                                

 Up Time                   : 2013-06-13/20:10:13                               

 First Reported Time       : 2013-06-22/15:38:27                               

 Last Reported Time        : 2013-06-22/15:53:22                               

 Reporting Sensor          : 1                                                 

  Sensor 1                 : ap3                                               

      RadioId              : 1                                                 

      RSSI                 : 5                                                 

      Last Reported Time   : 2013-06-22/15:53:42                               

 Attached Clients          : 0                                                 

Detected Attacks          : -NA-                                                

--------------------------------------------------------------------------------

BSSID : d4c9-efe4-d3e1                                                         

Vendor: Hewlett Packard                                                        

 MeshID                    : wsj                                                

 Status                    : Active                                            

 Classification            : Mesh                                           

 Severity Level            : 0                                                  

 Security                  : WPA2                                              

 Encrypt Method            : CCMP                                              

 Authentication Method     : Other                                              

 Radio Type                : 802.11ac                                          

 Channel                   : 161                                               

 In Countermeasure List    : No                                                

 Up Time                   : 2014-06-22/11:37:29                               

 First Reported Time       : 2014-06-22/11:37:46                               

 Last Reported Time        : 2014-06-22/11:38:42                               

 Reporting Sensor          : 1                                                 

  Sensor 1                 : sensor2                                           

      RadioId              : 1                                                 

      RSSI                 : 70                                                

      Last Reported Time   : 2014-06-22/11:38:42                               

 Attached MeshAPs          : 1                                                 

  MeshAP 1            : 000f-e2c0-4440                                         

 Detected Attacks          : wireless-bridge,                                  

--------------------------------------------------------------------------------

 Total Number of Clients: 2                                                    

--------------------------------------------------------------------------------

MAC Address: 0021-632f-f77d                                                    

Vendor: ASKEY COMPUTER CORP                                                    

 BSSID                     : 000f-e2a2-2420                                    

 Status                    : Active                                            

 State                     : EAPSuccess                                        

 Classification            : Uncategorized                                     

 RadioType                 : 802.11an                                          

 Channel                   : 149                                               

 In Countermeasure List    : No                                                

 First Reported Time       : 2013-06-22/15:46:31                               

 Last Reported Time        : 2013-06-22/15:53:33                               

 Reporting Sensor          : 1                                                 

  Sensor 1                 : ap3                                               

      RadioId              : 1                                                  

      RSSI                 : 66                                                

      Last Reported Time   : 2013-06-22/15:53:33                               

Detected Attacks          : -NA-                                                

--------------------------------------------------------------------------------

MAC Address: 0015-af75-3f0f                                                    

Vendor: AzureWave Technologies, Inc.                                            

 BSSID                     : -NA-   

Status                    : -NA-                                            

 State                     : Unassociation                                        

 Classification            : Unassociated                                     

 RadioType                 : 802.11n                                          

 Channel                   : -NA-                                               

 In Countermeasure List    : No                                                                                                                                      

 First Reported Time       : 2013-09-18/14:35:14                               

 Last Reported Time        : 2013-09-18/14:36:10                                

 Reporting Sensor          : 1                                                 

  Sensor 1                 : ap0                                               

      RadioId              : 2                                                  

      RSSI                 : 18                                                

      Last Reported Time   : 2013-09-18/14:36:10                               

Detected Attacks          : -NA-                                               

--------------------------------------------------------------------------------

表1-10 display wlan ips devices verbose命令显示信息描述表

字段

描述

VSD

虚拟安全域的名称

Total Number of APs

该虚拟安全域中发现的AP设备的总数

Total Number of Clients

该虚拟安全域中发现的无线客户端的总数

BSSID

基本服务集识别码

Vendor

设备厂商,如果该设备的OUI不在WIPS系统OUI库中,则对应的Vendor显示“-NA-”

SSID

无线客户端关联的SSID

MeshID

Mesh网络关联的MeshID

Status

AP或无线客户端的活动状态

·     Active:启用状态

·     Inactive:禁用状态

State

客户端的关联认证状态

·     Association:完成802.11关联

·     Unassociation:未完成802.11关联

·     EAPSuccess:通过安全认证(PSK或802.1X)

·     EAPLogoff:取消安全认证(PSK或802.1X)

Classification

AP或无线客户端的分类:

·     对于AP设备有以下几种分类类别:

ad_hocauthorizedroguemisconfiguredexternalpotential-authorizedpotential-roguepotential-externaluncategorizedwireless-bridge

·     对于无线客户端有以下几种分类类别:

authorizedunauthorized、misassociated、uncategorizedunassociated

Severity Level

无线设备的威胁等级

Security

无线服务使用的安全方式:

·     Clear方式

·     WEP方式

·     WPA方式

·     WPA2方式

Encrypt Method

无线数据的加密方式:

·     TKIP

·     CCMP

·     WEP

·     -NA-:无加密方式

Authentication Method

AP采用的接入无线网络的认证方式:

·     None: 无认证方式

·     PSK:采用PSK认证方式

·     802.1X:采用802.1X认证方式

·     Other:采用除PSK和802.1X之外的认证方式

RadioType

无线设备使用的射频模式

Channel

无线设备使用的信道

In Countermeasure List

该AP或无线客户端是否在反制列表中

·     Yes:AP或无线客户端在反制列表中

·     No:AP或无线客户端不在反制列表中

Up Time

AP设备的启动时间

First Reported Time

WIPS第一次检测到该AP或无线客户端的时间

Last Reported Time

WIPS最近一次检测到该AP或无线客户端的时间

Reporting Sensor

发现该设备的Sensor的数量

Sensor n

发现该设备的Sensor的AP名称,n为系统自动的编号

RadioId

Sensor上发现该设备的射频ID

RSSI

该设备的信号强度

Attached Clients

AP上关联的无线客户端的数量

Attached MeshAPs

MeshAP上关联的AP数量

Client n

AP上关联的无线客户端的MAC地址,n为系统自动的编号

MeshAP n

MeshAP上关联的AP的MAC地址,n为系统自动的编号

MAC Address

无线客户端的MAC地址

Detected Attacks

该无线设备上检测到的攻击信息

 

1.1.80  display wlan ips event

【命令】

display wlan ips event [ source-mac source-mac | causer-mac causer-mac | id event-id | level event-level | type event-type | vsd vsd-name ] [ verbose ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

source-mac source-mac:生成的告警事件的WIPS设备的MAC地址。

causer-mac causer-mac:引起的告警事件的无线设备的MAC地址。

id event-id:告警事件的编号,取值范围为1~1200。

level event-level:告警事件的告警级别,取值范围由低到高为0~7。

type event-type:告警事件的告警类型。

vsd vsd-name:指定虚拟安全域相关的所有告警事件。

verbose:显示告警事件的详细信息。|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips event命令用来查看WIPS系统生成的指定的或所有的告警事件。

【举例】

# 显示WIPS系统生成的所有的告警事件信息。

[Sysname] display wlan ips event

L = Level

 Total Number of Events: 20

                                  WIPS Events

--------------------------------------------------------------------------------

 Causer-Mac     Type              L ID   First-Reported-Time Last-Reported-Time

--------------------------------------------------------------------------------

d4c9-efe4-d3e1 wireless-bridge   4 240  2014-06-20/17:41:24 2014-06-22/11:38:42

000f-e2c0-4440 mesh-ap           4 1125 2014-06-22/11:38:14 2014-06-22/11:38:14

0021-632f-e71d man-in-the-middle 4 234  2014-06-07/18:24:27 2014-06-07/18:24:48

d4c9-efe4-d3e0 deauth-spoofing   2 233  2014-06-07/18:24:21 2014-06-07/18:24:46

0023-895e-0320 honeypot-ap       4 149  2014-06-07/18:15:21 2014-06-07/18:15:21

0021-632f-e71d ht-40MHz-intoler  5 200  2014-06-07/18:19:06 2014-06-07/18:19:06

7425-8a61-1211 ht-greenfield     2 8    2014-03-04/11:10:06 2014-03-05/11:03:55

c4ca-d9f0-8ba0 invalid-channel   4 49   2014-03-28/14:56:27 2014-03-28/14:58:42

0021-632f-e4fb ps-attack         4 575  2013-12-10/14:34:45 2013-12-10/14:34:45

e4b0-2140-9247 soft-ap           4 270  2013-12-10/09:45:16 2013-12-10/09:45:16

5866-ba9f-3680 unencrypt-auth-ap 5 22   2013-11-28/18:11:47 2013-11-29/11:27:52

5866-ba9f-3680 unencry-trust-cli 5 22   2013-11-28/18:11:47 2013-11-29/11:27:52

-NA-           prohibited-chl    2 5    2013-06-22/15:35:30 2013-06-22/15:35:30

 044f-aa03-9fec pt-external-ap    4 4    2013-06-22/15:33:08 2013-06-22/15:33:08

 044f-aa03-9fec vsd-ap-add        5 3    2013-06-22/15:33:08 2013-06-22/15:33:08

 000f-e233-5500 misconfigured-ap  3 2    2013-06-22/15:33:08 2013-06-22/15:33:08

 000f-e233-5500 vsd-ap-add        5 1    2013-06-22/15:33:08 2013-06-22/15:33:08

 0021-632f-e71d windows-bridge    2 67   2013-06-22/14:47:36 2013-06-22/14:47:36

7425-8a61-1200 ap-impersonation  4 52   2013-06-22/14:30:14 2013-06-22/14:36:31

 0079-e65a-e600 hotspot-attack    2 338  2013-06-22/14:27:30 2013-06-22/14:27:30

--------------------------------------------------------------------------------

表1-11 display wlan ips event命令显示信息描述表

字段

描述

Total Number of Events

显示的告警事件总数

Causer-MAC

引起告警事件的无线设备的MAC

Type

告警事件的类别

L

事件的告警级别,由低到高为0~7

ID

告警事件的编号

First-Reported-Time

第一次报告告警事件的时间

Last-Reported-Time

最近一次报告告警事件的时间

 

# 显示WIPS系统生成的所有的告警事件的详细信息。

<Sysname> display wlan ips event verbose

 Total Number of Events: 20                                                    

                                  WIPS Events                                  

--------------------------------------------------------------------------------

ID: 5                     Event Level: 2                                       

Event Type              : prohibited-chl                                       

Reported Time           : 2013-06-22/15:35:30 - 2013-06-22/15:35:30            

Aggregate times         : 1                                                    

Causer                  : -NA-                                                 

Source:                                                                        

 Source  1              : c4ca-d9f0-e3e0  VSD: default                         

Detail Information:                                                             

 In the VSD default, inhibitory channel 157 is active.                         

--------------------------------------------------------------------------------

ID: 4                     Event Level: 4                                        

Event Type              : pt-external-ap                                       

Reported Time           : 2013-06-22/15:33:08 - 2013-06-22/15:33:08            

Aggregate times         : 1                                                     

Causer                  : 044f-aa03-9fec                                       

Source:                                                                        

 Source  1              : 3822-d6c1-55fd  VSD: -NA-                             

Detail Information:                                                            

 In the VSD default, AP 044f-aa03-9fec is classified as Potential-External AP, w

here severity level is 0.                                                      

--------------------------------------------------------------------------------

ID: 3                     Event Level: 5                                       

Event Type              : vsd-ap-add                                           

Reported Time           : 2013-06-22/15:33:08 - 2013-06-22/15:33:08            

Aggregate times         : 2                                                    

Causer                  : 044f-aa03-9fec                                       

Source:                                                                         

 Source  1              : c4ca-d9f0-e3e0  VSD: default                         

 Source  2              : 3822-d6c1-55fd  VSD: -NA-                            

Detail Information:                                                             

 In the VSD default,the AP 044f-aa03-9fec is added.                            

--------------------------------------------------------------------------------

ID: 2                     Event Level: 3                                       

Event Type              : misconfigured-ap                                     

Reported Time           : 2013-06-22/15:33:08 - 2013-06-22/15:33:08            

Aggregate times         : 1                                                     

Causer                  : 000f-e233-5500                                       

Source:                                                                        

 Source  1              : 3822-d6c1-55fd  VSD: -NA-                             

Detail Information:                                                            

 In the VSD default, AP 000f-e233-5500 is classified as Misconfigured AP.      

--------------------------------------------------------------------------------

ID: 1                     Event Level: 5                                       

Event Type              : vsd-ap-add                                           

Reported Time           : 2013-06-22/15:33:08 - 2013-06-22/15:33:08            

Aggregate times         : 2                                                    

Causer                  : 000f-e233-5500                                       

Source:                                                                        

 Source  1              : c4ca-d9f0-e3e0  VSD: default                         

 Source  2              : 3822-d6c1-55fd  VSD: -NA-                            

Detail Information:                                                            

 In the VSD default,the AP 000f-e233-5500 is added.                            

--------------------------------------------------------------------------------

ID: 342                   Event Level: 2                                       

Event Type              : hotspot-attack                                       

Reported Time           : 2013-10-16/14:27:50 - 2013-10-16/14:27:50            

Aggregate times         : 1                                                    

Causer                  : 000f-e27b-4580                                       

Source:                                                                        

 Source  1              : 3822-d6c1-55ff  VSD: -NA-                            

Detail Information:                                                             

 In the VSD han, detect AP(BSSID:000f-e27b-4580) using hotspot H3C.               

--------------------------------------------------------------------------------

ID: 354                   Event Level: 2                                       

Event Type              : hotspot-attack                                       

Reported Time           : 2013-10-16/14:27:48 - 2013-10-16/14:27:48            

Aggregate times         : 1                                                     

Causer                  : 5866-ba9f-3680                                       

Source:                                                                        

 Source  1              : 3822-d6c1-55ff  VSD: -NA-                             

Detail Information:                                                            

 In the VSD han, detect the client(MAC:0021-6330-0f04) connecting to AP(BSSID:

5866-ba9f-3680) using hotspot xlan.

--------------------------------------------------------------------------------

ID: 67                    Event Level: 2                                       

Event Type              : windows-bridge                                       

Reported Time           : 2013-11-15/08:47:36 - 2013-11-15/08:47:36            

Aggregate times         : 1                                                    

Causer                  : 0021-632f-e71d                                       

Source:                                                                         

 Source  1              : 00a9-a755-fd00  VSD: 1                               

Detail Information:                                                            

  In the VSD 1,detect the client(MAC:7425-8a61-1202), which connects to AP (BSSID:0021-632f-e71d), in a windows network bridge.                            --------------------------------------------------------------------------------

ID: 22                    Event Level: 5                                       

Event Type              : unencrypt-auth-ap                                       

Reported Time           : 2013-11-28/18:11:47 - 2013-11-29/11:27:52            

Aggregate times         : 63                                                   

Causer                  : 5866-ba9f-3680                                       

Source:                                                                        

 Source  1              : 80f6-2ee6-d3da  VSD: -NA-                            

Detail Information:                                                             

 In the vsd default, detect an unencrypted authorized AP 5866-ba9f-3680.       

--------------------------------------------------------------------------------

ID: 535                   Event Level: 5                                        

Event Type              : unencrypted-trust-client                           

Reported Time           : 2013-11-29/10:00:00 - 2013-11-29/11:18:25            

Aggregate times         : 4                                                     

Causer                  : ccef-48f4-7850                                       

Source:                                                                        

 Source  1              : 80f6-2ee6-d3da  VSD: -NA-                             

Detail Information:                                                            

 In the vsd default, detect a trust client 0021-6330-0f04 connect to an unencrypted AP ccef-48f4-7850.                                                   

--------------------------------------------------------------------------------

ID: 52                    Event Level: 4                                       

Event Type              : ap-impersonation                                     

Reported Time           : 2013-12-05/14:12:14 - 2013-12-05/17:06:31            

Aggregate times         : 670                                                  

Causer                  : 7425-8a61-1200                                       

Source:                                                                         

 Source  1              : 00a9-a75b-5100  VSD: 1                               

Detail Information:                                                            

 In the vsd 1, detect AP impersonation of BSSID 7425-8a61-1200.               

--------------------------------------------------------------------------------

ID: 270                   Event Level: 4                                       

Event Type              : soft-ap                                              

Reported Time           : 2013-12-10/09:45:16 - 2013-12-10/09:45:16            

Aggregate times         : 1                                                    

Causer                  : e4b0-2140-9247                                       

Source:                                                                        

 Source  1              : e4b0-2140-9247                                       

Detail Information:                                                             

 In the VSD 1, detect soft ap e4b0-2140-9247.                                  

--------------------------------------------------------------------------------

ID: 575                   Event Level: 4                                        

Event Type              : ps-attack                                            

Reported Time           : 2013-12-10/14:34:45 - 2013-12-10/14:34:45            

Aggregate times         : 1                                                     

Causer                  : 0021-632f-e4fb                                       

Source:                                                                        

 Source  1              : 00a9-a69b-4c00  VSD: 1                                

Detail Information:                                                            

 In the VSD 1, detect power save attack to client 0021-632f-e4fb.              

--------------------------------------------------------------------------------

ID: 8                     Event Level: 2                                       

Event Type              : ht-greenfield                                   

Reported Time           : 2013-12-10/14:34:45 - 2013-12-10/14:34:45            

Aggregate times         : 1008                                                 

Causer                  : 7425-8a61-1211                                       

Source:                                                                        

 Source  1              : 3ce5-a68b-9020  VSD: vsd2                            

Detail Information:                                                            

 In the vsd vsd2, detect an active HT-greenfield mode AP(BSSID:7425-8a61-1211).                

--------------------------------------------------------------------------------

ID: 49                    Event Level: 4                                       

Event Type              : invalid-channel                                      

Reported Time           : 2013-12-10/14:34:45 - 2013-12-10/14:34:45            

Aggregate times         : 3                                                    

Causer                  : c4ca-d9f0-8ba0                                       

Source:                                                                         

 Source  1              : 80f6-2e02-f880                                       

 Source  2              : 5866-abc0-4620  VSD: default                         

Detail Information:                                                             

 In the VSD default, detect the device c4ca-d9f0-8ba0 launching a malformed pack

et with type of invalid-channel.                                               

--------------------------------------------------------------------------------

ID: 200                   Event Level: 5                                       

Event Type              : ht-40MHz-intoler                                     

Reported Time           : 2014-06-07/18:19:06 - 2014-06-07/18:20:04            

Aggregate times         : 2                                                    

Causer                  : 0021-632f-e71d                                       

Source:                                                                         

 Source  1              : cc3e-5f26-0e00  VSD: 2                               

Detail Information:                                                            

 In the vsd 2, detect a client(MAC:0021-632f-e71d) setting 40MHz intolerance and

 connecting with AP(BSSID:0023-895e-0320).                                     

--------------------------------------------------------------------------------

ID: 149                   Event Level: 4                                       

Event Type              : honeypot-ap                                          

Reported Time           : 2014-06-07/18:15:21 - 2014-06-07/18:15:21            

Aggregate times         : 1                                                    

Causer                  : 0023-895e-0320                                       

Source:                                                                        

 Source  1              : 5866-babe-d0a4  VSD: -NA-                            

Detail Information:                                                            

 In the VSD 2, detect honeypot ap 0023-895e-0320.

--------------------------------------------------------------------------------

ID: 233                   Event Level: 2                                        

Event Type              : deauth-spoofing                                      

Reported Time           : 2014-06-07/18:24:21 - 2014-06-07/18:24:46            

Aggregate times         : 3                                                     

Causer                  : d4c9-efe4-d3e0                                       

Source:                                                                        

 Source  1              : 5866-babe-d0a4  VSD: -NA-                            

Detail Information:                                                            

 In the vsd 2, detect a spoof deauthentication frame from AP(BSSID:d4c9-efe4-d3e

0) to CLIENT(MAC:0021-632f-e71d).                                              

--------------------------------------------------------------------------------

ID: 234                   Event Level: 4                                       

Event Type              : man-in-the-middle                                    

Reported Time           : 2014-06-07/18:24:27 - 2014-06-07/18:24:48            

Aggregate times         : 2                                                    

Causer                  : 0021-632f-e71d                                       

Source:                                                                         

 Source  1              : 5866-babe-d0a4  VSD: -NA-                            

Detail Information:                                                            

 In the VSD 2,  detect the client(mac:0021-632f-e71d) that connects to the honey

pot AP(BSSID:0023-895e-0330, SSID:"H3C", AuthSSID:"H3C") attacked by the man-in-

the-middle attack.                                                             

--------------------------------------------------------------------------------

ID: 240                   Event Level: 4                                       

Event Type              : wireless-bridge                                      

Reported Time           : 2014-06-20/17:41:24 - 2014-06-22/11:38:42            

Aggregate times         : 33                                                   

Causer                  : d4c9-efe4-d3e1                                       

Source:                                                                         

 Source  1              : cc3e-5f26-0e00  VSD: 2                               

Detail Information:                                                            

  In the VSD 2, detect an AP(MAC:d4c9-efe4-d3e1), which connects with another AP

(MAC:000f-e2c0-4440), in a wireless-bridge.                                    

--------------------------------------------------------------------------------

表1-12 display wlan ips event verbose命令显示信息描述表

字段

描述

Total Number of Events

显示的告警事件总数

ID

告警事件的编号

Event Level

事件的告警级别,由低到高为0~7

Event Type

事件的告警类别

Reported Time

第一次和最近一次报告告警事件的时间

Aggregate times

告警事件聚合次数

Causer

引起告警事件的无线设备

Source

生成告警事件的WIPS设备

VSD

WIPS设备所属的虚拟安全域名称

Detail Information

告警的详细内容

 

1.1.81  display wlan ips hotspotlist

【命令】

display wlan ips hotspotlist [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips hotspotlist命令用来查看系统中添加的热点信息。

【举例】

# 查看WIPS系统的热点信息。

[Sysname] display wlan ips hotspotlist

Total Number of Entries:      8                                                 

                            Hotspot List                                  

--------------------------------------------------------------------------------

SSID                                                          Last-Reported-Time

--------------------------------------------------------------------------------

ANY                                                                --

H3C                                                           2013-12-16/10:46:55

any                                                                --

hello                                                              --        

lwq                                                           2013-12-16/10:46:47

wlan                                                               --     

wsj                                                                --  

y06066                                                        2013-12-16/10:46:52

--------------------------------------------------------------------------------

表1-1 display wlan ips hotspot命令显示信息描述表

字段

描述

Total Number of Entries

WIPS系统中热点的数量

SSID

热点SSID名称

Last-Reported-Time

最后发现该热点被使用的时间

 

1.1.82  display wlan ips ignorelist

【命令】

display wlan ips ignorelist [ mac-address mac-addr ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

mac-address mac-addr:可以忽略WIPS告警信息的设备的MAC地址。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips ignorelist命令用来查看系统中指定的或所有的可以忽略WIPS告警信息的设备列表。

【举例】

# 显示系统中所有可以忽略的设备列表。

[Sysname] display wlan ips ignorelist

Total Number of Entries: 2

                             Ignore List

--------------------------------------------------------------------------------

MAC-Address         Hit-Count  First-Report-Time        Last-Report-Time

--------------------------------------------------------------------------------

0001-0001-0001      0          -                        -

000f-e233-5500      3          2013-06-22/15:37:11      2013-06-22/15:37:11

--------------------------------------------------------------------------------

表1-13 display wlan ips ignorelist命令显示信息描述表

字段

描述

MAC-Address

可以忽略的设备MAC地址

Hit-Count

可以忽略的设备列表中的表项被命中的次数

First-Reported-Time

该设备第一次被忽略的告警发生的时间

Last-Reported-Time

该设备最近一次被忽略的告警发生的时间

 

1.1.83  display wlan ips malformed-detect-policy

【命令】

display wlan ips malformed-detect-policy [ policy-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

policy-name:攻击检测策略名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写,不包含空格。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips malformed-detect-policy命令用来查看指定的或所有的畸形报文检测策略信息。

【举例】

# 显示名称为lab的畸形报文检测策略信息。

[Sysname]display wlan ips malformed-detect-policy

Malformed Detect Policies                            

---------------------------------------------------------------------------

Detection-Type           Status  Quiet-Time   Action      Threshold            

---------------------------------------------------------------------------

Policy Name: default                                                            

invalid-ie-length         off       600          --            --                  

duplicated-ie             off       600          --            --                  

redundant-ie              off       600          --            --                  

invalid-pkt-length        off       600          --            --                  

illegal-ibss-ess          off       600          --            --                  

invalid-source-address    off       600          --            --                  

overflow-eapol-key        off       600          --            --                  

malformed-auth            off       600          --            --                  

malformed-assoc-req       off       600         --            --                  

malformed-ht-ie           off       600         --            --                  

large-duration            off       600         --            5000                

null-probe-resp           off       600         --            --                  

invalid-deauth-code       off       600         --            --                  

invalid-disassoc-code     off       600         --            --                  

overflow-ssid             off       600         --            --                  

fata-jack                 off       600         --            --                  

---------------------------------------------------------------------------

 Applied To VSD : vsd                                                           

---------------------------------------------------------------------------

Policy Name: mf2                                                               

invalid-ie-length         on         5          log|trap     --                  

duplicated-ie             on         5          log|trap     --                  

redundant-ie              on         5          log|trap     --                  

invalid-packet-length     off        5           --          --                  

illegal-ibss-ess          on         5          log|trap     --                  

invalid-source-address    on         5          log|trap     --                  

overflow-eapol-key        on         5          log|trap     --                  

malformed-auth            on         5          log|trap     --                  

malformed-assoc-req       on         5          log|trap     --                  

malformed-ht-ie           on         5          log|trap     --                  

large-duration            on         5          log|trap     200                 

null-probe-resp           on         5          log|trap     --                  

invalid-deauth-code       on         5          log|trap     --                   

invalid-disassoc-code     on         5          log|trap     --                  

overflow-ssid             on         5          log|trap     --                  

fata-jack                 on         5          log|trap     --                  

---------------------------------------------------------------------------

 Applied To VSD : han                                                          

---------------------------------------------------------------------------

表1-14 display wlan ips malformed-detect-policy命令显示信息描述表

字段

描述

Policy Name

畸形报文检测策略名称

Detection-Type

畸形报文检测策略,目前只支持以下16种畸形报文检测策略:

·     invalid-ie-length:IE长度非法检测

·     duplicated-ie:重复IE检测

·     redundant-ie:多余IE检测

·     invalid-pkt-length:报文长度非法检测

·     illegal-ibss-ess:IBSS和ESS置位异常检测

·     invalid-source-address:Invalid-source-address检测

·     overflow-eapol-key:Overflow-eapol-key检测

·     malformed-auth:畸形Authentication帧检测

·     malformed-assoc-req:畸形Association-request帧检测

·     malformed-ht-ie:畸形的HT IE检测

·     large-duration:Duration超大检测

·     null-probe-resp :Null-probe-response检测

·     invalid-deauth-code:Invalid-deauth-code检测

·     invalid-disassoc-code:Invalid-disassoc-code检测

·     overflow-ssid:SSID超长检测

·     fata-jack:Fata-jack检测

Status

发送日志信息和告警信息的开关是否打开

·     on:打开

·     off:关闭

Quiet-Time

上报畸形报文类型的静默周期

Action

检测某畸形类型时的动作:发送日志信息或发送告警信息

Threshold

duration的阈值

Applied To VSD

应用该畸形报文检测策略的虚拟安全域

 

1.1.84  display wlan ips network

【命令】

display wlan ips [ vsd vsd-name ] network bss [ verbose ] [ name network-name | hotspot ] [ | { begin | exclude | include } regular-expression ]

display wlan ips [ vsd vsd-name ] network [ mesh ] [ verbose ] [ name network-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

vsd vsd-name:虚拟安全域的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

network :显示检测到的无线服务信息。

bss:显示无线ESS或IBSS网络服务信息。

mesh 显示无线Mesh网络服务信息。

verbose:显示无线接入服务的详细信息。

name network-name:显示指定名称的无线网络(ESS\IBSS\MESH)服务信息,为1~32个字符的字符串,区分大小写,可以包含空格。

hotspot : 显示包含在热点列表中的无线接入服务。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips network命令用来查看指定的或所有的虚拟安全域的无线接入服务信息。

【举例】

# 显示所有虚拟安全域中的无线接入服务的信息。

<Sysname> display wlan ips network

#AP = number of APs, VSD = virtual security domain

                           Detected Wireless Networks

--------------------------------------------------------------------------------

  SSID                            Security       Auth-Method Encrypt-Method #AP

--------------------------------------------------------------------------------

VSD default: 0

VSD vsd_office: 3

 office                           WPA2/WPA       PSK         TKIP/CCMP      1

 Ruckus-Wireless-1                Clear          None        -NA-           1

 bignetwork-a                     Clear          None        -NA-           1

--------------------------------------------------------------------------------

  MeshID                          Security       Auth-Method Encrypt-Method #AP

--------------------------------------------------------------------------------

VSD default: 0                                                                 

VSD vsd_office: 2                                                               

                                  Clear          None        -NA-           1  

 wsj                              WPA2           Other       CCMP           1  

--------------------------------------------------------------------------------

# 显示虚拟安全域default下所有使用热点的无线接入服务信息。

[Sysname] display wlan ips vsd default network bss hotspot                     

#AP = number of APs, VSD = virtual security domain                             

                           Detected Wireless Networks                          

--------------------------------------------------------------------------------

  SSID                            Security       Auth-Method Encrypt-Method #AP

--------------------------------------------------------------------------------

VSD default: 16                                                                

 h3c-zc                           Clear          None        -NA-           1  

 CMCC                             Clear          None        -NA-           16 

 lkf3994                          Clear          None        -NA-           1  

 n1006                            WPA2           PSK         CCMP           1  

 AndroidAP                        WPA2           PSK         CCMP           1  

 lwq                              Clear          None        -NA-           1  

--------------------------------------------------------------------------------

表1-15 display wlan ips network命令显示信息描述表

字段

描述

SSID

无线服务的SSID

MeshID

无线Mesh服务的MeshID

Security

无线接入服务使用的安全方式:

·     Clear方式

·     WEP方式

·     WPA方式

·     WPA2方式

Auth-Method

身份认证方式:

·     None :无认证方式

·     PSK:采用PSK认证方式

·     802.1X:采用802.1X认证方式

·     Other:采用除PSK和802.1X之外的认证方式

Encrypt-Method

无线数据的加密方式:

·     TKIP

·     CCMP

·     WEP

#AP

·     使用该SSID的AP设备的数量

 

# 显示所有虚拟安全域中的无线接入服务的详细信息。

[Sysname] display wlan ips network verbose

VSD: default                                                                   

 Total number of bss-networks: 0                                                   

--------------------------------------------------------------------------------

VSD: vsd_office                                                                

 Total number of bss-networks: 3                                                   

--------------------------------------------------------------------------------

SSID: office                                                                   

 Hotspot                    : No                                           

 Status                     : Active                                           

 Security                   : WPA2/WPA                                         

 Authentication Method      : PSK                                              

 Encrypt Method             : TKIP/CCMP                                        

 First Reported Time        : 2013-06-22/15:43:18                              

 Last Reported Time         : 2013-06-22/15:43:38                              

 APs                        : 1                                                 

  BSSID  1    : 000f-e2a2-2420  Channel: 149  Clients: 0    SSID Hide: No      

--------------------------------------------------------------------------------

SSID: Ruckus-Wireless-1                                                         

 Hotspot                    : No                                           

 Status                     : Active                                           

 Security                   : Clear                                            

 Authentication Method      : None                                             

 Encrypt Method             : -NA-                                             

 First Reported Time        : 2013-06-22/15:38:27                              

 Last Reported Time         : 2013-06-22/15:43:44                              

 APs                        : 1                                                

  BSSID  1    : 044f-aa03-9fec  Channel: 157  Clients: 0    SSID Hide: No      

--------------------------------------------------------------------------------

SSID: bignetwork-a                                                             

 Hotspot                    : Yes                                           

 Status                     : Active                                           

 Security                   : Clear                                            

 Authentication Method      : None                                             

 Encrypt Method             : -NA-                                             

 First Reported Time        : 2013-06-22/15:38:26                              

 Last Reported Time         : 2013-06-22/15:43:31                              

 APs                        : 1                                                 

  BSSID  1    : 000f-e233-5500  Channel: 153  Clients: 0    SSID Hide: No       

--------------------------------------------------------------------------------

VSD: default                                                                    

 Total number of mesh-networks: 0                                              

--------------------------------------------------------------------------------

VSD: vsd_office                                                                 

 Total number of mesh-networks: 2                                              

--------------------------------------------------------------------------------

 MeshID:                                                                       

 Status                     : Active                                           

 Security                   : Clear                                            

 Authentication Method      : None                                             

 Encrypt Method             : -NA-                                             

 First Reported Time        : 2014-06-22/11:38:14                              

 Last Reported Time         : 2014-06-22/11:38:14                              

 APs                        : 1                                                

  BSSID  1    : 000f-e2c0-4440    Channel: 161   Attached MeshAPs: 1           

--------------------------------------------------------------------------------

 MeshID: wsj                                                                   

 Status                     : Active                                           

 Security                   : WPA2                                             

 Authentication Method      : Other                                            

 Encrypt Method             : CCMP                                             

 First Reported Time        : 2014-06-22/11:37:46                              

 Last Reported Time         : 2014-06-22/11:37:46                              

 APs                        : 1                                                

  BSSID  1    : d4c9-efe4-d3e1    Channel: 161   Attached MeshAPs: 1           

--------------------------------------------------------------------------------

表1-16 display wlan ips network verbose命令显示信息描述表

字段

描述

VSD

虚拟安全域的名称

Total number of networks

该虚拟安全域中发现的无线接入服务的总数

SSID

无线服务的SSID

MeshID

无线Mesh服务的MeshID

Hotspot

该SSID是否属于热点

Status

SSID的状态:

·     Active:启用状态

·     Inactive:禁用状态

Security

无线接入服务使用的安全方式:

·     Clear方式

·     WEP方式

·     WPA方式

·     WPA2方式

Authentication Method

身份认证方式:

·     None:  无认证方式

·     PSK: 采用PSK认证方式

·     802.1X: 采用802.1X认证方式

·     Other: 采用除PSK和802.1X之外的认证方式

Encrypt Method

无线数据的加密方式:

·     TKIP

·     CCMP

·     WEP

First Reported Time

WIPS第一次检测到该SSID的时间

Last Reported Time

WIPS最近一次检测到该SSID的时间

APs

使用该SSID的AP设备的数量

BSSID n

基本服务集识别码,n为系统自动编号

Channel

该BSSID使用的无线信道

Clients

该BSSID上关联的无线客户端数量

Attached MeshAPs

该MeshAP上关联的MeshAP数量

SSID Hide

是否隐藏SSID:

·     Yes:隐藏SSID

·     No:显示SSID

 

1.1.85  display wlan ips oui

【命令】

display wlan ips oui vendor-name

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

vendor-name:指定厂商的所有OUI信息,文本格式,长度取值范围为1~64,不区分大小写。

【描述】

display wlan ips oui命令用来查看WIPS系统OUI库中指定厂商的所有OUI信息。

【举例】

# 查看WIPS系统OUI库中厂商是H3C的所有OUI信息。

[Sysname]display wlan ips oui h3c

Total Number of Entries: 8

                              Vendor OUI List

---------------------------------------------------------------------------

OUI           Vendor

---------------------------------------------------------------------------

00-0F-E2      New H3C Technologies Co., Ltd.

00-23-89      NEW H3C Technologies Co., Ltd.

0C-DA-41      New H3C Technologies Co., Limited

38-22-D6      H3C Technologies Co., Limited

3C-E5-A6      New H3C Technologies Co., Ltd.

58-66-BA      New H3C Technologies Co., Limited

80-F6-2E      New H3C Technologies Co., Limited

C4-CA-D9      New H3C Technologies Co., Limited

---------------------------------------------------------------------------

表1-17 display wlan ips oui命令显示信息描述表

字段

描述

OUI

全球统一标识符

Vendor

设备厂商,如果该OUI不在WIPS系统OUI库中,则对应的Vendor显示“-NA-”

 

1.1.86  display wlan ips sensor

【命令】

display wlan ips sensor [ vsd vsd-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

vsd vsd-name:虚拟安全域的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips sensor命令用来显示系统中指定的或所有的虚拟安全域的Sensor列表。

【举例】

# 显示所有虚拟安全域的Sensor列表

[Sysname] display wlan ips sensor

Total Number of Sensors:  5                                                    

 wips = dedicated wips mode,              hyb-l = low scan-time in hybrid mode,  

 hyb-m = medium scan-time in hybrid mode, hyb-h = high scan-time in hybrid mode,

 S = state,                               R = run,                             

 I = idle   

                               Sensor List

--------------------------------------------------------------------------------

Sensor-Name                   Radio  Mode   S  --------------------------------------------------------------------------------

VSD: office

 office_ap1                       1  wips   R

 office_ap2                       2  hyb-l  R

 office_ap3                       2  hyb-m  R

VSD:lab

lab_ap1                          1  hyb-h  R

lab_ap2                          1  hyb-l  I

表1-18 display wlan ips sensor all命令显示信息描述

字段

描述

Total Number of Sensors

系统中配置的Sensor的总数

Sensor-Name

配置为Sensor的AP的名称

Radio

配置为Sensor的射频ID

Mode

AP射频上配置的WIPS工作模式:

·     wips:wips专用模式,即带外Sensor

·     hyb-l:接入优先的混合模式,即短扫描时间的带内Sensor

·     hyb-m:均衡策略的混合模式,即中扫描时间的带内Sensor

·     hyb-h:扫描优先的混合模式,即长扫描时间的带内Sensor

S

Sensor的运行状态:

·     R:AP已经与AC关联,AP上的wips系统处于运行状态

·     I:AP未与AC关联,或者受到license数量限制,AP上的wips处于闲置状态

VSD

Sensor所属的虚拟安全域的名称

 

1.1.87  display wlan ips signature

【命令】

display wlan ips signature { all | custom | signature-id id-value | signature-name name-string | standard } [ verbose ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

all:查询所有Signature规则信息。

custom:查询所有自定义Signature规则信息。signature-id id-value 查询指定Signature规则ID的Signature规则信息。signature-name name-string:查询指定名称的Signature规则信息。指定的内置Signature规则名称或自定义Signature名称。为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

standard:查询所有内置Signature规则信息。verbose:显示Signature规则详细信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips signature命令用来查询指定的或所有的Signature规则的配置信息。

当查询内置Signature规则信息时,不会显示sub-rule信息。

【举例】

# 显示所有内置Signature规则信息。

[Sysname] display wlan ips signature standard

Total Number of Entries:11

           Standard Signature Information

--------------------------------------------------------------------------------

ID   SignatureName                      Type

--------------------------------------------------------------------------------

1    deauth_flood                       Standard

2    broadcast_deauth_flood             Standard

3    disassoc_flood                     Standard

4    broadcast_disassoc_flood           Standard

5    eapol_logoff_flood                 Standard

6    eap_success_flood                  Standard

7    eap_failure_flood                  Standard

8    pspoll_flood                       Standard

9    cts_flood                          Standard

10   rts_flood                          Standard

11   addba_req_flood                    Standard

--------------------------------------------------------------------------------

# 显示所有的自定义Signature规则信息。

[Sysname] display wlan ips signature custom

Total Number of Entries:1

             Custom Signature Information

--------------------------------------------------------------------------------

ID   SignatureName                      Type

--------------------------------------------------------------------------------

40   office                             Custom

--------------------------------------------------------------------------------

# 显示所有的Signature规则信息。

[Sysname] display wlan ips signature all

Total Number of Entries: 12

               Signature Information

--------------------------------------------------------------------------------

ID   SignatureName                      Type

--------------------------------------------------------------------------------

1    deauth_flood                       Standard

2    broadcast_deauth_flood             Standard

3    disassoc_flood                     Standard

4    broadcast_disassoc_flood           Standard

5    eapol_logoff_flood                 Standard

6    eap_success_flood                  Standard

7    eap_failure_flood                  Standard

8    pspoll_flood                       Standard

9    cts_flood                          Standard

10   rts_flood                          Standard

11   addba_req_flood                    Standard

40   office                             Custom

--------------------------------------------------------------------------------

表1-19 display wlan ips signature命令显示信息描述表

字段

描述

ID

Signature规则 ID,1~32为内置Signature规则,33~64为自定义Signature规则

SignatureName

Signature规则名称

Type

Signature规则类型

·     Standard:表示内置Signature规则

·     Custom:表示自定义Signature规则

 

# 显示Signature规则名称是cts_flood的详细信息。

[Sysname] display wlan ips signature signature-name cts_flood verbose

                                Standard Signature Information

--------------------------------------------------------------------------------

Signature Name      :    cts_flood

Signature ID        :    9

Signature Type      :    Standard

Track Method        :    per-signature

Detect Threshold    :

    per-signature   :    5000 pkts/period

    per-mac         :    -NA-

Detect Period       :    5 s

Action              :    report

Event Level         :    2

Quiet Time          :    900 s

Applied on Signature Policy

  Signature Policy 1  : office

              Precedence :1

---------------------------------------------------------------------------

# 显示Signature规则ID是40的自定义Signature规则的详细信息。

[Sysname] display wlan ips signature signature-id 40 verbose

                               Custom  Signature Information

--------------------------------------------------------------------------------

Signature Name      :    office

Signature ID        :    40

Signature Type      :    Custom

Track Method        :    per-signature and per-mac

Detect Threshold   :

    per-signature   :    1000 pkts/period

    per-mac         :    1000 pkts/period

Detect Period       :    60 s

Action              :    none

Event Level         :    -NA-

Quiet Time          :    900 s

Sub Rule            :    7

Match               :    Any

Frame Type          :    management

Frame Subtype       :    association-request

MAC                 :

    Source Mac      :    ffff-ffff-ffff

    Dest Mac        :    -NA-

    Bssid           :    -NA-

Seq Number          :    > 100

SSID Length         :    15 - 20

SSID                :    not include "H3C"

SSID Match Case     :    exact

Pattern             :    2

    Pattern Name                   Offset Mask    Match           FromPayload

    pattern1                         8      0xabcd > 0x9               Yes

pattern2                         8      0xffff 0x15   - 0x20       No      

Applied on Signature Policy : -NA-

---------------------------------------------------------------------------

表1-20 display wlan ips signature verbose命令显示信息描述表

字段

描述

Signature Name

Signature规则名称

Signature ID

系统指定的Signature ID,1~32为内置Signature规则,33~64为自定义Signature规则

Signature Type

Signature规则类型

·     Standard:表示内置Signature规则

·     Custom:表示自定义Signature规则

Track Method

Signature规则的跟踪方式

·     per-mac:基于每个MAC地址进行跟踪。

·     per-signature:基于每个Signature规则进行跟踪。

·     both:同时进行per-mac和per-signature方式跟踪

Detect Threshold

Signature规则的统计次数

·     per-mac:当Signature规则中track-method配置为per-mac时的统计次数,取值范围为1~32000,单位为次。缺省情况下,自定义Signature规则的统计次数为1000次;内置Signature规则的统计次数根据具体的Signature规则而定

·     per-signature:当Signature规则中track-method配置为per-signature时的统计次数,取值范围为1~32000,单位为次。缺省情况下,自定义Signature规则的统计次数为1000次;内置Signature规则的统计次数根据具体的Signature规则而定

Detect Period

Signature规则的统计周期,取值范围为1~3600,单位为秒。缺省情况下,自定义Signature规则的统计周期为60秒;内置Signature规则的统计周期根据具体的内置Signature规则而定

Action

达到或超过统计次数门限的后续动作

·     Report:对于Signature规则匹配次数在检测周期内达到或超过统计次数门限的生成对应的Signature规则告警

·     None:对于Signature规则匹配次数在检测周期内达到或超过统计次数门限的不进行任何处理

Event Level

设置生成的Signature规则的告警级别,取值范围为0~7,数值越小,优先级越高

Quiet Time

Signature规则的静默时间,取值范围为60~32000,单位为秒。缺省情况下,自定义Signature规则的静默时间为900秒;内置Signature规则的静默时间根据具体的Signature规则而定

Sub Rule

子规则数量

Match

匹配规则

·     Any

·     All

Frame Type

帧类型

·     data:数据帧

·     management:管理帧

·     control:控制帧

Frame Subtype

当配置的帧类型为管理帧时,帧的子类型

·     Association Request

·     Association Response

·     Authentication

·     Beacon

·     Deauthentication

·     Disassociation

·     Probe Request

MAC

对指定类型的MAC地址进行匹配

·     Source Mac       :源MAC地址

·     Dest Mac:目的MAC地址

·     Bssid:BSSID

Seq Number

报文序号

SSID Length

SSID长度

SSID

SSID需要匹配的字符串。匹配方式包括:

·     Include:包含配置的字符串

·     not include:不包含配置的字符串

·     equal:等于配置的字符串

·     not equal:不等于配置的字符串

SSID Match Case

SSID是否按照字母的大小写匹配

·     ignore:不需要按照字母的大小写匹配

·     exact:需要按照字母的大小写匹配

SSID Length

SSID长度

·     number1 – number2 :取值范围为number1到number2(包含number1和number2)

·     =:等于配置的长度

·     >:大于配置的长度

·     <:小于配置的长度

Seq Number

无线报文的序列号值

Pattern

自定义模式匹配信息

·     Offset:开始匹配的报文位置,取值范围为0~2346   

·     Mask:用于模式匹配的掩码值

·     Match:匹配的方式

·     From Payload:进行匹配时指定模式匹配开始的报文起始位置为数据帧的帧主体

Applied on Signature Policy

应用此signature的signature策略列表

 

1.1.88  display wlan ips signature-policy

【命令】

display wlan ips signature-policy { policy-name | all } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

policy-name:Signature策略名。

all:查询所有的Signature策略信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips signature-policy命令用来查询指定的或所有的Signature策略信息。

【举例】

# 显示名为office的Signature Policy信息。

[Sysname] display wlan ips signature-policy policy default            

        Signature Policy Information                                            

--------------------------------------------------------------------------------

Signature Policy Name   : default                                              

Applied on VSD          :                                                       

    VSD 0               : default                                              

Include Signature Num   : 11                                                   

    ID   SignatureName                      Type      Precedence               

    36   test                               Custom       60                    

    10   rts_flood                          Standard     20                    

    1    deauth_flood                       Standard      1                    

    2    broadcast_deauth_flood             Standard      1                    

    3    disassoc_flood                     Standard      1                    

    4    broadcast_disassoc_flood           Standard      1                    

    5    eapol_logoff_flood                 Standard      1                    

    6    eap_success_flood                  Standard      1                    

    7    eap_failure_flood                  Standard      1                    

    8    pspoll_flood                       Standard      1                    

    9    cts_flood                          Standard      1                    

--------------------------------------------------------------------------------

表1-21 display wlan ips signature-policy命令显示信息描述表

字段

描述

Signature Policy Name

Signature 策略名称

VSD

虚拟安全域

Include Signature Num

包含的signature规则数量

ID    

Signature规则ID,1~32为内置Signature规则,33~64为自定义Signature规则

Signature Name

Signature策略下绑定的Signature规则名称

Type

Signature规则类型

·     Standard:表示内置Signature规则

·     Custom:表示自定义Signature规则

Precedence

Signature规则优先级,取值范围为1~64,数值越大,优先级越高

 

1.1.89  display wlan ips statistics sensor

【命令】

display wlan ips statistics sensor sensor-name malformed-counter

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

sensor-name:待显示畸形报文统计信息的sensor名字,为1~64个字符的字符串,不区分大小写。

【描述】

display wlan ips statistics sensor命令用来查看指定sensor上发现的畸形报文的统计计数。

【举例】

#显示名称为sensor1 的畸形报文统计计数。

[Sysname] display wlan ips statistics sensor sensor1 malformed-counter

 

Sensor name:  sensor1

In the VSD: VSD1

Malformation-Specify             Count

------------------------------------------------------------------------

invalid-ie-length            :  15564

duplicated-ie                :  44

redundant-ie                 :  899

invalid-pkt-length           :  870

illegal-ibss-ess             :  0

invalid-source-address       :  0

overflow-eapol-key           :  0

malformed-auth               :  12

malformed-assoc-req          :  15

malformed-ht-ie              :  0

large-duration               :  0

null-probe-resp              :  0

invalid-deauth-code          :  0

invalid-disassoc-code        :  0

overflow-ssid                :  1450

fata-jack                    :  1866

------------------------------------------------------------------------

表1-22 display wlan ips statistics sensor命令显示信息描述表

字段

描述

Sensor name

Sensor名称

In the VSD

该畸形报文检测策略所在的虚拟安全域

Malformation-Specify

畸形报文检测策略,目前只支持以下16种畸形报文检测策略:

·     invalid-ie-length:IE长度非法检测

·     duplicated-ie:重复IE检测

·     redundant-ie:多余IE检测

·     invalid-pkt-length:报文长度非法检测

·     illegal-ibss-ess:IBSS和ESS置位异常检测

·     invalid-source-address:Invalid-source-address检测

·     overflow-eapol-key:Overflow-eapol-key检测

·     malformed-auth:畸形Authentication帧检测

·     malformed-assoc-req:畸形Association-request帧检测

·     malformed-ht-ie:畸形的HT IE检测

·     large-duration:Duration超大检测

·     null-probe-resp :Null-probe-response检测

·     invalid-deauth-code:Invalid-deauth-code检测

·     invalid-disassoc-code:Invalid-disassoc-code检测

·     overflow-ssid:SSID超长检测

·     fata-jack:Fata-jack检测

Count

各种畸形类型的畸形报文统计计数

 

1.1.90  display wlan ips statistics

【命令】

display wlan ips statistics { sensor sensor-name } { device [ mac-address mac-address ] | channel [ channel-num ] } { total | recent } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

sensor sensor-name:指定Sensor上报的报文统计信息。

device:按照无线设备统计的报文统计信息。

mac-address mac-address:指定MAC地址的的设备的报文统计信息。

channel:按照信道统计的报文统计信息,如果不指定channel-num参数,则默认显示所有信道的统计信息。

channel-num:指定信道的报文统计信息。

total:历史汇总的报文统计信息。

recent:最近一个统计周期内的报文统计信息。

【描述】

display wlan ips statistics命令用于显示设备或信道的报文统计信息,可以查看历史汇总报文统计量或者最近时段的报文统计量。

【举例】

# 显示名称为office_ap1的Sensor下,MAC地址为00fc-4a38-4fc5的无线设备的历史报文统计量。

[Sysname] display wlan ips statistics sensor office_ap1 device mac-address 00fc-4a38-4fc5

 total                                                                       

 Sensor: office_ap1                                                             

                           WIPS Device Total Statistics                        

--------------------------------------------------------------------------------

Device: 00fc-4a38-4fc5                      Channel:149                         

 Transmitted Frames Statistics:                                                

  Total (Frames/Bytes)                : 646/158163                             

  Unicast (Frames/Bytes)              : 118/26578                              

  Broadcast/Multicast (Frames/Bytes)  : 528/131585                             

  Management   : 610                   Control            : 0                  

  Data         : 36                    Fragment           : 0                  

  Retry        : 35                    Beacon             : 514                

  Probe Req    : 0                     Authentication     : 0                  

  Probe Resp   : 96                    Unicast Deauth     : 0                  

  Assoc req    : 0                     Broadcast Deauth   : 0                  

  Assoc Resp   : 0                     Unicast Disassoc   : 0                  

  RTS          : 0                     Broadcast Disassoc : 0                  

  EAPOL Start  : 0                     EAP Success        : 0                  

  EAPOL Logoff : 0                     EAP Failure        : 0                  

  Abnormal     : 0                                                             

--------------------------------------------------------------------------------

 Received Frames Statistics:                                                   

  Total (Frames/Bytes)                : 12/1862                                

  Unicast (Frames/Bytes)              : 12/1862                                 

  Management   : 0                     Control            : 0                  

  Data         : 12                    Fragment           : 0                  

  Retry        : 8                     Authentication     : 0                   

  Probe req    : 0                     Probe resp         : 0                  

  Assoc req    : 0                     Assoc resp         : 0                  

  Disassoc     : 0                     Deauth             : 0                   

  RTS          : 0                     CTS                : 0                  

  EAPOL start  : 0                     EAP success        : 0                  

  EAPOL logoff : 0                     EAP Failure        : 0                  

  Abnormal     : 0                                                             

--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

Device: 00fc-4a38-4fc5                      Channel:153                        

 Transmitted Frames Statistics:                                                

  Total (Frames/Bytes)                : 1/106                                  

  Unicast (Frames/Bytes)              : 1/106                                  

  Broadcast/Multicast (Frames/Bytes)  : 0/0                                    

  Management   : 0                     Control            : 0                  

  Data         : 1                     Fragment           : 0                  

  Retry        : 1                     Beacon             : 0                  

  Probe Req    : 0                     Authentication     : 0                  

  Probe Resp   : 0                     Unicast Deauth     : 0                  

  Assoc req    : 0                     Broadcast Deauth   : 0                  

  Assoc Resp   : 0                     Unicast Disassoc   : 0                  

  RTS          : 0                     Broadcast Disassoc : 0                  

  EAPOL Start  : 0                     EAP Success        : 0                  

  EAPOL Logoff : 0                     EAP Failure        : 0                  

  Abnormal     : 0                                                              

--------------------------------------------------------------------------------

 Received Frames Statistics:                                                   

  Total (Frames/Bytes)                : 21/2875                                 

  Unicast (Frames/Bytes)              : 21/2875                                

  Management   : 0                     Control            : 1                  

  Data         : 20                    Fragment           : 0                   

  Retry        : 12                    Authentication     : 0                  

  Probe req    : 0                     Probe resp         : 0                  

  Assoc req    : 0                     Assoc resp         : 0                  

  Disassoc     : 0                     Deauth             : 0                  

  RTS          : 0                     CTS                : 0                  

  EAPOL start  : 0                     EAP success        : 0                  

  EAPOL logoff : 0                     EAP Failure        : 0                  

  Abnormal     : 0                                                             

--------------------------------------------------------------------------------

# 查询名称为ap3的Sensor的149信道在最近一个统计周期内的报文统计量

[Sysname] display wlan ips statistics sensor ap3 channel 149 recent

 Sensor: ap3

                         WIPS Channel Recent Statistics

--------------------------------------------------------------------------------

Channel: 149

 Total (Frames/Bytes)               : 293/49008

 Unicast (Frames/Bytes)             : 114/11866

 Broadcast/Multicast (Frames/Bytes) : 179/37142

  Management   : 185                   Control            : 0

  Data         : 108                   Abnormal           : 0

  Fragment     : 0                     Retry              : 56

  Beacon       : 115                   RTS                : 0

  CTS          : 0                     Authentication     : 0

  Probe Resp   : 19                    Unicast Disassoc   : 0

  Probe Req    : 51                    Broadcast Disassoc : 0

  Assoc Resp   : 0                     Unicast Deauth     : 0

  Assoc req    : 0                     Broadcast Deauth   : 0

  EAPOL Start  : 0                     EAP Success        : 0

  EAPOL Logoff : 0                     EAP Failure        : 0

--------------------------------------------------------------------------------

表1-23 display wlan ips statistics命令各字段的含义描述

字段

描述

Sensor

Sensor的名称

Device

无线设备的MAC地址

Channel

无线信道号

Transmitted Frames Statistics

设备发送报文统计

Received Frames Statistics

设备接收报文统计

Total(Frames/Bytes)

报文及字节总数

Unicast (Frames/Bytes)

单播报文及字节总数

Broadcast/Multicast(Frames/Bytes)

广播/组播报文及字节总数

Management

管理帧总数

Control

控制帧总数

Data

数据帧总数

Fragment

分片帧总数

Retry

重传帧总数

Beacon

Beancon帧总数

Probe Req

Probe Request帧总数

Authentication

Authentication帧总数

Probe Resp

Probe Response帧总数

Unicast Deauth

单播的Deauthentication帧总数

Assoc Req

Association Request帧总数

Broadcast Deauth

广播的Deauthentication帧总数

Assoc Resp

Association Response帧总数

Unicast Disassoc

单播的Disassociation帧总数

RTS

RTS帧总数

Broadcast Disassoc

广播的Disassociation帧总数

Disassoc

Disassociation帧总数

Deauth

Deauthentication帧总数

CTS

CTS帧总数

EAPOL Start

EAPOL Start报文总数

EAP Success

EAP Success报文总数

EAPOL Logoff

EAPOL Logoff报文总数

EAP Failure

EAP Failure报文总数

Abnormal

畸形报文总数

 

1.1.91  display wlan ips static-trustoui

【命令】

display wlan ips static-trustoui [ oui-info | vendor ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

oui-info:静态信任OUI列表中指定的OUI。格式XXXXXX,16进制字符串,不区分大小写。

vendor:静态信任OUI列表中所有的厂商。

【描述】

display wlan ips static-trustoui命令用来查看静态信任OUI列表中的指定OUI或者全部OUI信息。

缺省情况下,查看静态信任OUI列表中的所有的OUI和供应商。

需要注意的是,如果静态信任OUI列表中的OUI在WIPS系统OUI库(需使用命令import oui导入)中不存在,则该OUI对应的所属厂商显示为“-NA-”。

【举例】

# 查看静态信任OUI列表中OUI为58-66-BA的信息

[Sysname] display wlan ips static-trustoui 5866ba

                               Trust OUI List      

---------------------------------------------------------------------------

OUI           Vendor

---------------------------------------------------------------------------

58-66-ba      New H3C Technologies Co., Limited

---------------------------------------------------------------------------

# 查看静态信任OUI列表中所有的厂商信息

[Sysname]display wlan ips static-trustoui vendor

Total Number of Entries: 1

                        Trust OUI Vendor List

---------------------------------------------------------------------------

Vendor

---------------------------------------------------------------------------

h3c

---------------------------------------------------------------------------

# 查看静态信任OUI列表中的所有表项信息

[Sysname] display wlan ips static-trustoui

                               Trust OUI List

Total Number of Entries: 5

--------------------------------------------------------------------------------

OUI           Vendor

--------------------------------------------------------------------------------

00-00-09      XEROX CORPORATION

58-66-ba      New H3C Technologies Co., Limited

80-f6-2e      New H3C Technologies Co., Limited

c4-ca-d9      New H3C Technologies Co., Limited

ff-ff-ff      -NA-

--------------------------------------------------------------------------------

Vendor: 1

h3c

--------------------------------------------------------------------------------

表1-24 display wlan ips static-trustoui命令显示信息描述表

字段

描述

Total Number of Entries

当前静态信任OUI列表中的表项总数

Vendor

设备厂商,如果该OUI不在WIPS系统OUI库中,则对应的Vendor显示“-NA-”

OUI

全球统一标识符

 

1.1.92  display wlan ips summary

【命令】

display wlan ips summary [ vsd vsd-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

vsd vsd-name:虚拟安全域的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips summary命令用来显示当前系统的WIPS状态或指定虚拟安全域的WIPS状态。

【举例】

# 显示系统当前的WIPS状态。

[Sysname] display wlan ips summary

WIPS is enabled                                                                

WIPS's Running Time: 0 Days, 4 Hours, 9 Minutes                                

Max Sensor Number               : 128                                          

Used Sensor Number              : 1                                            

Blocklist-Action Block          : Enable                                       

Block-list Entry Number         : 2                                            

Trust-list Entry Number         : 2                                            

Hotspot-list Entry Number       : 4

Countermeasure-list Entry Number: 3                                            

Ignore-list Entry Number        : 1                                            

Trust OUI Entry Number          : 5

Trust Vendor-OUI Entry Number   : 2                                            

Ados State                      : Disable                                       

Total Number of Signatures      : 11                                           

  Standard Signature            : 10                                           

  Custom Signature              : 1                                              

Timer:                                                                         

  Inactivity Timer of AP        : 300s                                         

  Inactivity Timer of Client    : 600s                                         

  Aging Timer of AP and Client  : 86400s                                       

  Statistic Period              : 103s                                         

  Reclassification Period       : 800s                                         

Dynamic Trustlist Aging Period: 300s                                         

  Update Timer of Device        : 20s

Total Number of Events: 214                                                    

  Level-0: 0       Level-1: 4       Level-2: 14      Level-3: 0                 

  Level-4: 70      Level-5: 126     Level-6: 0       Level-7: 0                

--------------------------------------------------------------------------------

Virtual Security Domain Name    : default                                      

Configured Sensor Number        : 1                                            

Running Sensor Number           : 0                                            

Detection Information:                                                         

  Detected Network Number       : 0                                            

    AP: 0                                                                      

      Authorized                : 0                                            

      Mis-Configured            : 0                                            

      Rogue                     : 0                                            

      External                  : 0                                            

      Ad-hoc                    : 0                                            

      Potential-Authorized      : 0                                            

      Potential-Rogue           : 0                                            

      Potential-External        : 0                                            

      Uncategorized             : 0                                            

    STA: 0                                                                     

      Authorized                : 0                                            

      Rogue                     : 0                                            

      Mis-Association           : 0                                            

      Uncategorized             : 0                                             

      Unassociated              : 0                                            

Total Number of Events: 39                                                     

--------------------------------------------------------------------------------

Virtual Security Domain Name    : vsd_lab                                      

Configured Sensor Number        : 2                                            

Running Sensor Number           : 1                                             

Detection Information:                                                         

  Detected Network Number       : 25                                           

    AP: 33                                                                      

      Authorized                : 0                                            

      Mis-Configured            : 0                                            

      Rogue                     : 2                                            

      External                  : 2                                            

      Ad-hoc                    : 0                                            

      Potential-Authorized      : 0                                            

      Potential-Rogue           : 0                                            

      Potential-External        : 29                                           

      Uncategorized             : 0                                            

    STA: 1                                                                      

      Authorized                : 0                                            

      Rogue                     : 0                                            

      Mis-Association           : 0                                            

      Uncategorized             : 1                                            

      Unassociated              : 0                                            

Total Number of Events: 60                                                     

--------------------------------------------------------------------------------

Virtual Security Domain Name    : vsd_office                                   

Configured Sensor Number        : 0                                            

Running Sensor Number           : 0                                            

Detection Information:                                                         

  Detected Network Number       : 0                                            

    AP: 0                                                                      

      Authorized                : 0                                            

      Mis-Configured            : 0                                             

      Rogue                     : 0                                            

      External                  : 0                                            

      Ad-hoc                    : 0                                             

      Potential-Authorized      : 0                                            

      Potential-Rogue           : 0                                            

      Potential-External        : 0                                             

      Uncategorized             : 0                                            

    STA: 0                                                                     

      Authorized                : 0                                             

      Rogue                     : 0                                            

      Mis-Association           : 0                                            

      Uncategorized             : 0                                            

      Unassociated              : 0                                            

Total Number of Events: 0                                                      

--------------------------------------------------------------------------------

表1-25 display wlan ips summary命令显示信息描述

字段

描述

WIPS is enabled

WIPS功能已开启

WIPS is disable

WIPS功能未开启

WIPS's Running Time

WIPS功能运行时间

Max Sensor Number

系统当前可支持的最大Sensor数量,与系统当前安装的License有关

Used Sensor Number

系统当前已经使用的Sensor数量

Blocklist-Action Block

阻止在禁用设备列表中的设备接入网络功能状态:

·     Enable:开启该功能

·     Disable:关闭该功能

Block-list Entry Number

禁用任设备列表的表项数目

Trust-list Entry Number

信任设备列表的表项数目

Countermeasure-list Entry Number

反制列表的表项数目

Ignore-list Entry Number

可以忽略的设备列表的表项数目

Trust OUI Entry Number

静态信任OUI列表中的OUI表项数目

Trust Vendor-OUI Entry Number

静态信任OUI列表中的厂商表项数目

Ados State

Ados功能状态

·     Enable:开启该功能

·     Disable:关闭该功能

Total Number of Signatures

配置的signature规则数量

Standard Signature

内置signature规则数量

Custom Signature

用户自定义的signature规则数量

Timer

WIPS的全局定时器信息

Inactivity Timer of AP

系统检测到的AP设备切换到inactive状态所需的时间

Inactivity Timer of Client

系统检测到的无线客户端切换到inactive状态所需的时间

Aging Timer of AP and Client

系统中处于inactive状态的AP或无线客户端的老化时间

Statistic Period

报文统计量同步周期

Reclassification Period

对设备重分类的间隔时间

Dynamic Trustlist Aging Period

动态信任设备的老化时间

Update Timer of Device

检测的无线设备的信息更新时间

Total Number of Events

当前系统中或指定虚拟安全域中存在的WIPS告警事件的总数

Level-0

Level-0级别的告警事件数量

Level-1

Level-1级别的告警事件数量

Level-2

Level-2级别的告警事件数量

Level-3

Level-3级别的告警事件数量

Level-4

Level-4级别的告警事件数量

Level-5

Level-5级别的告警事件数量

Level-6

Level-6级别的告警事件数量

Level-7

Level-7级别的告警事件数量

Virtual Security Domain Name

虚拟安全域的名称

Configured Sensor Number

虚拟安全域下配置的Sensor数量

Running Sensor Number

虚拟安全域下已经运行的Sensor数量

Detection Information

检测信息

Detected Network Number

虚拟安全域下检测到的无线接入服务的数目

AP

虚拟安全域下检测到的AP的总数

Authorized

虚拟安全域下检测到的授权AP数量

Mis-Configured

虚拟安全域下检测到的错误配置的AP数量

Rogue

虚拟安全域下检测到的Rogue AP数量

External

虚拟安全域下检测到的外部AP数量

Ad-hoc

虚拟安全域下检测到的Ad-hoc数量

Potential- Authorized

虚拟安全域下检测到的潜在授权AP数量

Potential-Rogue

虚拟安全域下检测到的潜在Rogue AP数量

Potential-External

虚拟安全域下检测到的潜在外部AP数量

Uncategorized

虚拟安全域下检测到的未归类AP数量

STA

虚拟安全域下检测到的无线客户端的总数

Authorized

虚拟安全域下检测到的授权Client数量

Rogue

Rogue AP数量

Mis-Association

误关联Client的数量

Uncategorized

未分类的设备(AP或Client)

Unassociated

虚拟安全域下检测到的未关联AP的Client数量

Total Number of Events

告警事件总和

 

1.1.93  display wlan ips trustlist

【命令】

display wlan ips trustlist [ dynamic | mac-address mac-addr | static ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

dynamic:动态添加的信任设备列表的表项。

mac-address mac-addr:指定MAC地址的信任设备列表的表项。

static:静态配置的信任设备列表的表项。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips trustlist命令用来查看指定的或所有的WIPS信任设备列表。

【举例】

# 显示所有的信任设备列表信息

[Sysname] display wlan ips trustlist

Total Number of Entries: 2

State:  S = Static,  D = Dynamic,  S&D = Static & Dynamic

                      Trust List

-----------------------------------------------------------

MAC-Address                       Status

-----------------------------------------------------------

0001-0002-0003                    S

0001-0002-0004                    S&D

-----------------------------------------------------------

表1-26 display wlan ips trustlist命令显示信息描述

字段

描述

MAC-Address

信任设备列表中的MAC地址

Status

信任设备列表表项的状态:

·     S:表示静态配置的

·     D:表示动态生成的

·     S&D:表示该表项由静态和动态同时配置的

 

1.1.94  display wlan ips vsd-policy

【命令】

display wlan ips vsd-policy [ vsd vsd-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

【缺省级别】

2:系统级

【参数】

vsd vsd-name:虚拟安全域的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display wlan ips vsd-policy命令用于查看指定的或所有的虚拟安全域的策略信息。

【举例】

# 查看系统中所有虚拟安全域的策略信息

[Sysname]display wlan ips vsd-policy

                    Virtual Security Domain Policy

---------------------------------------------------------------------------

VSD Name : default                                                              

 Attack Detect Policy      : default                                           

 Signature Policy          : default                                           

 Countermeasure Policy     : default                                            

 AP Classification Rules   : -NA-                                              

---------------------------------------------------------------------------

VSD Name : office

Attack Detect Policy       : policy1

Signature Policy           : default

Countermeasure Policy      : officecmp

AP Classification Rules:

  Priority 15              : auth_ap

  Priority 10              : invalid_ap

  Priority 0               : default_rule

---------------------------------------------------------------------------

VSD Name : lab

Attack Detect Policy       : policy2

Signature Policy           : sigpolicy1

Countermeasure Policy      : default

AP Classification Rules:

  Priority 13              : invalid_ap

  Priority 0               : default_rule

---------------------------------------------------------------------------

表1-27 display wlan ips vsd-policy 命令显示信息描述表

字段

描述

VSD Name

虚拟安全域的名称

Attack Detect Policy

虚拟安全域中应用的攻击检测策略名称

Signature Policy

虚拟安全域中应用的Signature策略名称

Countermeasure Policy

虚拟安全域中应用的反制策略名称

AP Classification Rules

虚拟安全域中应用的所有AP分类规则,按照优先级从高至低的顺序显示

Priority n

应用的AP分类规则的名称,n为该规则的优先级

 

1.1.95  export wips-cfg-file oui

【命令】

export wips-cfg-file oui filename

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

file-name:导出OUI配置文件名称,1~32个字符的字符串,不区分大小写,且不能包含如下字符:\ / : * ? “ < > |。

【描述】

export wips-cfg-file oui命令用来导出WIPS系统OUI库中的OUI信息到指定的配置文件。

需要注意的是:

导出文件格式如下:

000FE2     (base 16)      New H3C Technologies Co., Ltd.

不支持同时导出多个OUI配置文件。

缺省情况下,不会将WIPS系统OUI库中的OUI信息导出。

【举例】

# 将WIPS系统中所有的热点条目导出到文件hot中。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] export wips-cfg-file oui OUIInfo

1.1.96  hotspot

【命令】

hotspot ssid-name

undo hotspot [ ssid-name ]

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

ssid-name:热点的SSID名称。为1~32个字符的字符串,可以包含字母、数字及下划线,区分大小写,可以包含空格。

【描述】

hotspot命令用来添加指定名称的热点到WIPS的热点列表。undo hotspot命令用来从WIPS热点列表中删除指定或所有的热点。

缺省情况下,系统没有配置热点列表。

【举例】

# 添加名称为kfc的热点到WIPS的热点列表。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] hotspot kfc

1.1.97  ignorelist

【命令】

ignorelist mac-address

undo ignorelist { mac-address | all }

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

mac-address:将要从可以忽略WIPS告警信息的设备列表中添加或删除的无线设备的MAC地址。

all:删除可以忽略WIPS告警信息的设备列表的所有表项。

【描述】

ignorelist命令用来添加指定无线设备的MAC地址到可以忽略WIPS告警信息的设备列表。undo ignorelist命令用来删除可以忽略WIPS告警信息的设备列表中指定MAC地址的或者所有的无线设备。

对于可以忽略WIPS告警信息的设备列表中的无线设备,WIPS会监测其是否存在,但是不会对它的任何行为产生告警。

缺省情况下,系统没有配置可忽略WIPS告警信息的设备。

【举例】

# 向可忽略WIPS告警信息的设备列表中添加MAC地址为000f-e45d-fa00的无线设备。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] ignorelist 000f-e45d-fa00

1.1.98  import wips-cfg-file oui

【命令】

import wips-cfg-file oui [ filename ]

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

file-name:导入OUI配置文件名称,1~32个字符的字符串,不区分大小写,且不能包含如下字符:\ / : * ? “ < > |。

【描述】

import wips-cfg-file oui命令用来从系统内置或用户指定的配置文件中导入OUI信息到WIPS系统OUI库。

需要注意的是:

用户指定的配置文件需自行从网络下载正规文件,文件格式如下:

38-22-D6   (hex)          H3C Technologies Co., Limited

3822D6     (base 16)      H3C Technologies Co., Limited

00-00-00   (hex)          XEROX CORPORATION

000000     (base 16)      XEROX CORPORATION

                              M/S 105-50C

                          800 PHILLIPS ROAD

                          WEBSTER NY 14580

                          UNITED STATES

·     多次导入同一个OUI时,新的OUI信息会覆盖老的OUI信息。

·     不支持同时导入多个OUI配置文件

缺省情况下,WIPS系统启动时,自动从系统内置的配置文件中导入OUI信息到WIPS系统OUI库中。

【举例】

# 导入名为oui.txt的用户自定义oui配置文件。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] import wips-cfg-file oui oui.txt

1.1.99  malformed-detect-policy(WIPS视图)

【命令】

malformed-detect-policy policy-name

undo malformed-detect-policy policy-name

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

policy-name:畸形报文检测策略的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

【描述】

malformed-detect-policy命令用来创建新的畸形报文检测策略并进入畸形报文检测策略视图,对于已经创建的畸形报文检测策略,则直接进入相应名称的畸形报文检测策略视图。

undo malformed-detect-policy命令用来删除指定名称的畸形报文检测策略。

缺省情况下,系统存在一个名称为default的畸形报文检测策略。

需要注意的是,畸形报文检测策略default是WIPS系统自动创建,不能被用户重复创建或删除。

【举例】

#创建一个名称为all的畸形报文检测策略,并进入对应的畸形检测策略视图。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy all

1.1.100  malformed-detect-policy(虚拟安全域视图)

【命令】

malformed-detect-policy policy-name

undo malformed-detect-policy

【视图】

虚拟安全域视图

【缺省级别】

2:系统级

【参数】

policy-name:畸形报文检测策略的名称,为1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

【描述】

malformed-detect-policy命令用来配置当前虚拟安全域使用的畸形报文检测策略。

undo malformed-detect-policy命令用来恢复缺省的畸形报文检测策略。

缺省情况下,虚拟安全域使用名称为default的畸形报文检测策略。

需要注意的是,一个虚拟安全域下只能配置一个畸形报文检测策略。

【举例】

# 配置虚拟安全域office使用名称为all的畸形报文检测策略。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] virtual-security-domain office

[Sysname-wlan-ips-vsd-office] malformed-detect-policy all

1.1.101  manual-classify ap(WIPS视图)

【命令】

manual-classify ap { authorized-ap | external-ap | misconfigured-ap | rogue-ap } mac-address &<1-2>

undo manual-classify { mac-address &<1-2> | all }

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

authorized-ap WIPS的设备类型为授权AP。

external-ap WIPS的设备类型为外部AP

misconfigured-ap WIPS的设备类型为配置错误的AP

rogue-ap WIPS的设备类型为Rogue AP

mac-address&<1-2>指定APMAC地址,格式为H-H-H。在配置时,用户可以省去MAC地址中每段开头的“0”,例如输入“f-e2-1”即表示输入的MAC地址为“000f-00e2-0001”。&<1-2>表示前面的参数最多可以输入2次。

all:撤销为所有AP指定的WIPS设备类型

【描述】

manual-classify ap命令用来配置指定MAC地址的APWIPS设备类型。undo manual-classify命令用来取消指定MAC地址的APWIPS设备类型

缺省情况下,不配置AP的WIPS设备类型。

需要注意的是,如果在WIPS视图和虚拟安全域视图下都配置了指定MAC地址的AP的设备类型,则以虚拟安全域视图下的配置为准。

【举例】

# 配置MAC地址为000f-00e2-0001的AP的WIPS设备类型为authorized-ap。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips]manual-classify ap authorized-ap f-e2-1

1.1.102  manual-classify ap(虚拟安全域视图)

【命令】

manual-classify ap { authorized-ap | external-ap | misconfigured-ap | rogue-ap } mac-address &<1-2>

undo manual-classify { mac-address &<1-2> | all }

【视图】

虚拟安全域视图

【缺省级别】

2:系统级

【参数】

authorized-ap WIPS的设备类型为授权AP。

external-ap WIPS的设备类型为外部AP

misconfigured-ap WIPS的设备类型为配置错误的AP

rogue-ap WIPS的设备类型为Rogue AP

mac-address&<1-2>指定APMAC地址,格式为H-H-H。在配置时,用户可以省去MAC地址中每段开头的“0”,例如输入“f-e2-1”即表示输入的MAC地址为“000f-00e2-0001”。&<1-2>表示前面的参数最多可以输入2次。

all:撤销为所有AP指定的WIPS设备类型

【描述】

manual-classify ap命令用来配置虚拟安全域中指定MAC地址的APWIPS设备类型。undo manual-classify命令用来取消指定虚拟安全域中MAC地址的APWIPS设备类型

缺省情况下,不配置虚拟安全域中AP的WIPS设备类型。

需要注意的是,如果在WIPS视图和虚拟安全域视图下都配置了指定MAC地址的AP的设备类型,则以虚拟安全域视图下的配置为准。

【举例】

# 设置虚拟安全域officeAP 000f-00e2-0001的WIPS设备类型为authorized-ap。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] virtual-security-domain office

[Sysname-wlan-ips-vsd-office]manual-classify ap authorized-ap f-e2-1

1.1.103  match all(自定义AP分类规则视图)

【命令】

match all

undo match all

【视图】

自定义AP分类规则视图

【缺省级别】

2:系统级

【参数】

【描述】

match all命令用来设置自定义AP分类规则下的匹配条件是逻辑与的关系,即AP必须符合所有的匹配条件才匹配上此规则。undo match all命令用来恢复默认的匹配关系。

缺省情况下,自定义AP分类规则的匹配条件是逻辑或的关系,即AP只要符合任何一条匹配条件就匹配上此规则。

【举例】

# 指定名称为invalid_ap的自定义AP分类规则的匹配关系为逻辑与。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] ap-classification-rule invalid_ap

[Sysname-wlan-ips-class-invalid_ap]match all

1.1.104  match all(SIG视图)

【命令】

match all

undo match all

【视图】

SIG视图

【缺省级别】

2:系统级

【参数】

【描述】

match all命令用来配置Signature规则的匹配子规则的匹配关系为逻辑与,即报文必须符合Signature规则的所有匹配子规则才匹配上该Signature规则。undo match all命令用来恢复默认的匹配关系。

缺省情况下,自定义Signature规则的匹配子规则的匹配关系是逻辑或,即报文只要符合Signature规则的任何一条子规则就匹配上该Signature规则。内置Signature规则的匹配子规则的匹配关系为逻辑与。

需要注意的是,Signature规则绑定在Signature策略下后,其属性match不能被修改,必须先解除绑定关系后才能修改。

【举例】

# 配置自定义Signature规则office的匹配子规则的匹配关系为逻辑与

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] signature office

[Sysname-wlan-ips-sig-office] match all

1.1.105  permit-channel

【命令】

permit-channel channel-list

undo permit-channel { channel-list | all }

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

channel-list:信道列表,要从允许使用的合法信道列表中添加或删除的一个或多个信道,取值范围为1~224,一次最多能够配置10个合法信道。

all:删除所有已配置的合法信道。

【描述】

permit-channel命令用来配置无线环境中合法的无线信道列表,不在此列表范围内的无线信道均被WIPS视为非法信道。undo permit-channel命令用来删除已配置的合法信道。

缺省情况下,当前国家码支持的信道都作为合法信道。

需要注意的是,permit-channel命令需要与detect prohibited-channel命令配合使用。配置了detect prohibited-channel命令后,通过permit-channel命令指定的合法无线信道才会生效,WIPS一旦发现无线环境中有设备使用非法信道进行通信就会产生告警。

【举例】

# 指定1、6、11、149、153、157为无线环境中允许使用的合法信道。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] permit-channel 1 6 11 149 153 157

1.1.106  quiet-time(SIG视图)

【命令】

quiet-time time

undo quiet-time

【视图】

SIG视图

【缺省级别】

2:系统级

【参数】

time:Signature规则的静默时间,取值范围为60~32000,单位为秒。

【描述】

quiet-time命令用来配置Signature规则中的静默时间。进入静默状态的Signature规则在静默时长内不再进行Signature规则匹配。

undo quiet-time命令用来恢复缺省情况。

缺省情况下,自定义Signature规则的静默时间为900秒;内置Signature规则的静默时间根据具体的Signature规则而定。

需要注意的是:

·     Signature规则绑定在Signature策略下后,其属性quiet-time不能被修改,必须先解除绑定关系后才能修改。

·     重复配置Signature规则中的静默时间时,后面的配置会覆盖之前的配置。

·     只有当Signature规则匹配次数在检测周期内达到或超过detect-threshold命令设定的统计次数后才会进入静默状态。

【举例】

# 配置自定义Signature规则office中的静默时间为600秒。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] signature office

[Sysname-wlan-ips-sig-office] quiet-time 600

1.1.107  quiet-time(畸形报文检测策略视图)

【命令】

quiet-time time

undo quiet-time

【视图】

畸形报文检测策略视图

【缺省级别】

2:系统级

【参数】

time:再次检测到畸形报文后等待的静默周期,取值范围为5~604800,单位为秒。

【描述】

quiet-time命令用来配置当sensor设备检测到由同一MAC地址发出的同一种畸形报文时,上报到AC的静默周期。undo quiet-time命令用来恢复缺省情况。

缺省情况下,上报畸形报文类型的静默周期为600秒。

【举例】

# 配置畸形报文检测策略all的静默周期为120秒。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] malformed-detect-policy all

[Sysname-wlan-ips-mdctp-all]quiet-time 120

1.1.108  reset wlan ips event

【命令】

reset wlan ips event { all | causer-mac causer-mac | id event-id | level event-level | | source-mac source-mac | type event-type }

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

all:WIPS系统生成的所有事件。causer-mac causer-mac:引起的告警事件的无线设备的MAC地址。

id event-id:告警事件的编号,取值范围为1~1200。

level event-level:告警事件的告警级别,取值范围由低到高为0~7。

source-mac source-mac:生成的告警事件的WIPS设备的MAC地址。

type event-type:告警事件的告警类型。

【描述】

reset wlan ips event命令用来删除WIPS系统生成的指定的或所有的告警事件。

【举例】

# 删除ID为10的告警事件。

<Sysname> reset wlan ips event id 10

1.1.109  reset wlan ips statistic sensor

【命令】

reset wlan ips statistics sensor [ sensor-name ] malformed-counter

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

sensor [ sensor-name ]:待删除畸形报文统计信息的sensor名字,为1~64个字符的字符串,不区分大小写。

【描述】

reset wlan ips statistics sensor 命令用来删除WIPS系统中指定的Sensor上的畸形报文统计信息。

【举例】

# 删除sensor1上的畸形报文统计信息。

<Sysname> reset wlan ips statistics sensor sensor1 malformed-counter

1.1.110  sensor

【命令】

sensor ap-name-list

undo sensor ap-name-list

【视图】

虚拟安全域视图

【缺省级别】

2:系统级

【参数】

ap-name-list:AP的名称列表,表示方式为:ap-name-list = { ap-name }&<1-10>。其中ap-name为AP的名字,为1~64个字符的字符串,不区分大小写,&<1-10>表示前面的参数最多可以输入10次。

【描述】

sensor命令用来将指定的已配置为sensor的AP添加到当前的虚拟安全域中。undo sensor命令用来从当前的虚拟安全域中删除指定的sensor。

缺省情况下,sensor都加入到default域中。

需要注意的是:

·     该命令不检查指定的AP是否存在。多次执行该命令,会将新的AP直接添加到虚拟安全域中,直至允许的最大值。

·     如果指定的AP没有配置为sensor,则该命令对此AP不生效。

·     如果配置为sensor的AP没有通过此命令行指定归属的虚拟安全域,则该AP属于系统默认的虚拟安全域default。

·     在默认虚拟安全域default下,不可进行删除指定sensor的操作。

【举例】

# 指定ap1、ap2属于虚拟安全域office,ap3、ap4属于虚拟安全域lab。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] virtual-security-domain office

[Sysname-wlan-ips-vsd-office]sensor ap1 ap2

[Sysname-wlan-ips-vsd-office]quit

[Sysname-wlan-ips] virtual-security-domain lab

[Sysname-wlan-ips-vsd-lab]sensor ap3 ap4

1.1.111  severity-level

【命令】

severity-level level-value

undo severity-level

【视图】

自定义AP分类规则视图

【缺省级别】

2:系统级

【参数】

level-value:匹配AP设备增加的威胁等级,威胁等级的取值范围从低到高为0~100。

【描述】

severity-level命令用来设置匹配上该自定义AP分类规则的AP设备的威胁等级。undo severity-level命令用来删除设置的威胁等级。

缺省情况下,自定义AP分类规则没有设置匹配AP的威胁等级。

自定义AP分类规则的威胁等级只有在规则中没有设置匹配设备的归属类别时才生效。如果一个AP同时匹配上多个配置了威胁等级的AP分类规则,系统会将这些AP分类规则的威胁等级值相加求和,最大值为100,求和结果超过100的按照100记。

【举例】

# 创建名称为invalid_ap的自定义AP分类规则,并配置规则的匹配设备的威胁等级为40。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] ap-classification-rule invalid_ap

[Sysname-wlan-ips-class-invalid_ap]severity-level 40

1.1.112  signature

【命令】

signature { rts_flood | cts_flood | pspoll_flood | eap_failure_flood | eap_success_flood | eapol_logoff_flood | broadcast_disassoc_flood | disassoc_flood | broadcast_deauth_flood | deauth_flood | addba_req_flood | signature-name } [ signature-id id-value ]

undo signatrue signatrue-name

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

rts_flood:内置signatrue规则,用于重新配置RST泛洪攻击检测参数。

cts_flood: 内置signatrue规则,用于重新配置CTS泛洪攻击检测参数。

pspoll_flood: 内置signatrue规则,用于重新配置PS-Poll泛洪攻击检测参数。

eap_failure_flood: 内置signatrue规则,用于重新配置EAP-Failure泛洪攻击检测参数。

eap_success_flood: 内置signatrue规则,用于重新配置EAP-Success泛洪攻击检测参数。

eapol_logoff_flood: 内置signatrue规则,用于重新配置EAPOL-Logoff泛洪攻击检测参数。

broadcast_disassoc_flood: 内置signatrue规则,用于重新配置广播解除关联泛洪攻击检测参数。

disassoc_flood: 内置signatrue规则,用于重新配置单播解除关联泛洪攻击检测参数。

broadcast_deauth_flood: 内置signatrue规则,用于重新配置广播解除关联泛洪攻击检测参数。

deauth_flood: 内置signatrue规则,用于重新配置单播解除鉴权泛洪攻击检测参数。

addba_req_flood:内置signatrue规则,用于重新配置ADDBA-Request泛洪攻击检测参数。

signature-name:自定义Signature规则名称,1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

signature-id id-value:Signature规则ID,取值范围为1~64。内置Signature规则的ID取值范围为1~32,由系统默认指定,不可以修改;自定义Signature规则的ID取值范围为33~64,只有在该自定义Signature规则被创建时才可以指定。如果创建自定义Signature规则时不指定该参数,系统会自动分配一个Signature ID给该自定义Signature规则。Signature规则在指定其Signature规则ID后不可修改该属性。

【描述】

signature 命令用来创建自定义Signature规则并进入自定义Signature规则视图,对于已经创建的Signature规则,则直接进入对应的Signature规则视图。undo signature 命令用来删除指定名称的Signature规则。

需要注意的是:

·     Signature规则需要绑定到Signature策略下,之后再随Signature策略绑定到虚拟安全域下。Signature规则绑定在Signature策略下后,其属性不能修改,必须先解除绑定关系后才能修改。

·     每个自定义Signature规则最多可配置32条子规则sub-rule,其中包括5条基本匹配子规则和27条自定义匹配子规则。

·     不允许删除内置Signature规则。

·     不允许配置内置Signature规则的sub-ruletrack-method;且不能通过action命令修改内置Signature规则的动作类型,不能通过match all命令修改内置Signature规则匹配条件的逻辑与关系

缺省情况下,WIPS具有内置Signature规则。

【举例】

# 创建一条名称为office的自定义Signature规则,并指定Signature ID为48。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips]signature office signature-id 48

[Sysname-wlan-ips-sig-office]

# 创建一条名称为assoc_rsp_flood的Signature规则,并指定Signature ID为50。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips]signature assoc_rsp_flood signature-id 50

[Sysname-wlan-ips-sig-assoc_rsp_flood]

1.1.113  signature (Signature策略视图)

【命令】

signature { signature-name name-string | signature-id signature-list } [ precedence level ]

undo signature { name name-string | signature-id signature-list }

【视图】

Signature策略视图

【缺省级别】

2:系统级

【参数】

signature-name name-string:Signature规则名称,1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

signature-id:按照Signature规则ID方式进行。

signature-list:需要绑定到当前Signature策略下的Signature规则列表。表示方式为signature-list ={ signature-id1 [ to signature-id2 ] }&<1-10>signature-id取值范围为164signature-id2的值要大于或等于signature-id1的值,&<1-10>表示前面的参数最多可以重复输入10次。该Signature规则必须是系统上已创建的,否则,不存在的Signature规则会绑定失败。

precedence level:Signature规则的匹配优先级,取值范围为1~64,数值越大,优先级越高。缺省情况下,Signature规则的匹配优先级为1。

【描述】

signature命令用来在Signature策略中绑定指定名称或ID的Signature规则。

undo signature命令用来删除Signature策略中指定名称或ID的Signature规则。

缺省情况下,Signature策略下没有配置Signature规则。

需要注意的是:

·     Signature规则不能直接绑定在虚拟安全域下,只能绑定在Signature策略中后随Signature策略绑定到虚拟安全域下。

·     Signature策略下的Signature规则列表是按照优先级排序的,优先级高的在列表头,相同优先级的按照Signature规则的ID从小到大依次排序。

·     当使用signature-list方式进行Signature规则绑定Signature策略时,系统将会按照Signature ID从小到大进行Signature规则绑定Signature策略的操作(即使用signature-list方式时,Signature ID最小的Signature规则在此次操作的signature-list中最优先匹配)。例如,输入signature signature-id 10 to 45 2 to 4 12 to 12 34 to 36 56 to 64 54 precedence 14系统将按照signature signature-id 2 to 4 10 to 45 54 56 to 64 precedence 14,其中Signature ID是2的Signature规则在此次绑定中最优先匹配。

·     重复配置Signature规则的匹配优先级时,新的配置将覆盖旧的配置并即时生效。

·     使用signature-list绑定Signature规则时,若最大值小于最小值,则本次命令不能执行。例如,signature signature-id 10 to 45 8 to 4 precedence 14 虽然10 to 45有效,但8 to 4为非法,所以本次命令不执行(Signature规则ID为10到45的同样不能绑定到Signature策略)。  

·     未配置匹配子规则属性的Signature规则不能绑定到Signature策略。

【举例】

# 在名称为office的Signature策略中开启自定义Signature规则office1的检测,匹配优先级为21。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] signature-policy office

[Sysname-wlan-ips-sigpolicy-office] signature signature-name office1 precedence 21

1.1.114  signature-policy (WIPS视图)

【命令】

signature-policy policy-name

undo signature-policy policy-name

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

policy-name:Signature策略名,1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

【描述】

signature-policy命令用来创建新的Signature策略并进入该Signature策略视图,对于已经创建的Signature策略,则直接进入对应的Signature策略视图。

undo signature-policy命令用来删除指定名称的Signature策略。

缺省情况下,虚拟安全域使用名称为default的Signature策略。

需要注意的是:

·     系统最多支持配置16条Signature策略(包括默认的Signature策略default在内)。

·     不允许删除已经被应用到某个虚拟安全域下的Signature策略。

·     不允许创建或删除默认的Signature策略default

【举例】

# 创建一个名为office的Signature策略。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] signature-policy office

[Sysname-wlan-ips-sigpolicy-office]

1.1.115  signature-policy (虚拟安全域视图)

【命令】

signature-policy policy-name

undo signature-policy

【视图】

虚拟安全域视图

【缺省级别】

2:系统级

【参数】

policy-name:Signature策略名,1~32个字符的字符串,可以包含字母、数字及下划线,不区分大小写。

【描述】

signature-policy命令用来将指定的Signature策略绑定在该虚拟安全域下。

undo signature-policy命令用来解除虚拟安全域下绑定的Signature策略。

一个虚拟安全域下只能绑定一个Signature策略。

缺省情况下,虚拟安全域使用名称为default的Signature策略。

【举例】

# 将Signature策略office绑定在虚拟安全域floor1下。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] virtual-security-domain floor1

[Sysname-wlan-ips-vsd-whr]signature-policy office

1.1.116  static-blocklist

【命令】

static-blocklist mac-address

undo static-blocklist { mac-address | all }

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

mac-address:将要从静态禁用设备列表中添加或删除的无线设备的MAC地址。

all:删除静态禁用设备列表中的所有表项。

【描述】

static-blocklist命令用来添加指定无线设备的MAC地址到静态禁用设备列表。undo static-blocklist命令用来删除静态禁用设备列表中指定MAC地址的或者所有的无线设备。

缺省情况下,系统没有配置静态禁用设备。

【举例】

# 向静态禁用设备列表中添加MAC地址为0016-6f9d-612e的无线设备。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] static-blocklist 0016-6f9d-612e

1.1.117  static-trustlist

【命令】

static-trustlist mac-address

undo static-trustlist { mac-address | all }

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

mac-address:将要从静态信任设备列表中添加或删除的无线设备的MAC地址。

all:删除静态信任设备列表中的所有表项。

【描述】

static-trustlist命令用来添加指定无线设备的MAC地址到静态信任设备列表。undo static-trustlist命令用来删除静态信任设备列表中指定MAC地址的或者所有的无线设备。

缺省情况下,系统没有配置静态信任设备。

【举例】

# 向静态信任设备列表中添加MAC地址为000f-e45d-fa00的无线设备。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] static-trustlist 000f-e45d-fa00

1.1.118  static-trustoui

【命令】

static-trustoui { oui-info | vendor vendor-name }

undo static-trustoui { oui-info | vendor vendor-name | all }

【视图】

WIPS视图

【缺省级别】

2:系统级

【参数】

oui-info:将要从静态信任OUI列表中添加或删除的OUI。格式XXXXXX,16进制字符串,不区分大小写。

vendor vendor-name:将要从静态信任OUI列表中添加或删除的厂商,文本格式,长度取值范围为1~64,不区分大小写。

all:删除静态信任OUI列表中的所有表项(包括所有的OUI和厂商)。

【描述】

static-trustoui命令用来添加指定的OUI或指定的厂商到静态信任OUI列表。undo static-trustoui命令用来删除静态信任OUI列表中指定的OUI或指定的厂商或者所有表项(包括所有的OUI和厂商)。

缺省情况下,系统没有配置静态信任OUI列表。

需要注意的是:

·     配置指定OUI时,最多可配置512个。

·     配置指定Vendor时,最多可配置64个。

·     配置指定Vendor时,若WIPS系统OUI库中不存在该Vendor对应的OUI信息,则该配置不生效。

【举例】

# 向静态OUI信任设备列表中添加指定的OUI 00-0f-e4。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] static-trustoui 000fe4

# 向静态信任设备列表中添加指定的厂商H3C。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] static-trustoui vendor h3c

1.1.119  sub-rule(SIG视图)

【命令】

sub-rule { frame-type { data | management [ frame-subtype { association-request | association-response | authentication | beacon | deauthentication | disassociation | probe-request } ] | control } | mac { source-mac mac-address | dest-mac mac-address | bssid mac-address } | ssid { [ case-sensitive ] [ not ] { equal | include } string } | ssid-length { equal length-value | greater-than min-value | less-than max-value | between min-value max-value } | seq-number { equal seq-value | greater-than min-value | less-than max-value | between min-value max-value } | pattern pattern-id id [ pattern-name name ] offset offset-value mask hex-value  { equal value | greater-than min-value | less-than max-value | between min-value max-value } [ from-payload ] }

undo sub-rule { frame-type | mac | ssid | ssid-length | seq-number | pattern pattern-id id }

【视图】

SIG视图

【缺省级别】

2:系统级

【参数】

frame-type:匹配帧的类型。

data:数据帧。

management:管理帧。

frame-subtype:匹配帧的子类型。

association-request:Association Request帧。

association-response:Association Response帧。

authentication:Authentication帧。

beacon:Beacon帧。

deauthentication:De-authentication帧。

disassociation:Disassociation帧。

probe-request:Probe Request帧。

control:控制帧。

mac:对MAC地址进行匹配。

source-mac mac-address:对源MAC地址进行匹配,格式FFFF-FFFF-FFFF,不区分大小写。

dest-mac mac-address:对目的MAC地址进行匹配,格式FFFF-FFFF-FFFF,不区分大小写。

bssid mac-address:对BSSID进行匹配,格式FFFF-FFFF-FFFF,不区分大小写。

ssid:对SSID进行匹配,字符串长度取值范围为1~32。

case-sensitive:与SSID匹配时需要按照字母的大小写匹配。

not:不等于或不包括。

equal:匹配项与条件相等。

include:匹配项包含条件。

string:与SSID进行匹配的字符串,字符串长度取值范围1~32。

ssid-length:对SSID长度进行匹配。

length-value:与SSID长度进行匹配的数字,取值范围为0~32。

greater-than:匹配项大于条件值,不包含条件值。

less-than:匹配项小于条件值,不包含条件值。

between:匹配项介于条件最小值与最大值之间,包含最小值与最大值。

min-value:匹配条件的最小值,取值范围与匹配项的类型相关。

max-value:匹配条件的最大值,取值范围与匹配项的类型相关。

seq-number:对无线报文的序列号进行匹配。

seq-value:与序列号进行匹配的值,取值范围为0~4095。

pattern:指定对报文任意位置进行匹配。

pattern-id:指定pattern模式ID。

id:选择为partten模式进行匹配时,partten的ID。

pattern-name:指定pattern模式名称。

name:选择为partten模式进行匹配时,partten的名称。

offset:指定模式匹配开始的报文位置。

offset-value:指定offset的偏移位置,取值范围为0~2346。

mask:指定用于模式匹配的掩码值。

hex-value:两字节的十六进制的用于模式匹配的掩码值,取值范围为0~ffff。

from-payload:进行匹配时指定模式匹配开始的报文起始位置为数据帧的帧主体。

【描述】

sub-rule命令用来配置自定义Signature规则的匹配子规则。

undo sub-rule命令用来删除指定的匹配子规则。

缺省情况下,自定义Signature规则不存在匹配子规则。

需要注意的是:

·     Signature规则绑定在Signature策略下后,其属性sub-rule不能被修改,必须先解除绑定关系后才能修改。

·     内置Signature规则的匹配子规则不可配置。

·     每个自定义Signature规则最多可配置32条子规则,其中包括5条基本匹配子规则(frame-type、macssidssid-lengthseq-num)和27条自定义匹配子规则。重复配置自定义Signature规则中的匹配子规则时,后面的配置会覆盖之前的配置。

·     对SSID的匹配,可以配置等于/不等于、包含/不包含指定的字符串,并且可以指定是否关心字符串匹配的大小写。

·     undo sub-rule pattern命令中若未指定pattern-id参数,则将删除所有pattern匹配子规则。

·     配置between参数时,包含最大值和最小值,且最大值应大于最小值。

【举例】

# 配置自定义Signature规则office的匹配规则为:

·     帧类型是Association Request帧;

·     源地址是0000-0000-0001

·     SSID中不包含H3C字样,区分大小写;

·     SSID长度在15~20之间,包含15和20;

·     无线报文的序列号大于100,不包含100;

·     从数据帧的帧主体的第8位与掩码0xabcd相与大于9;

·     报文第8位与掩码0xffff相与在0x15~0x20之间,包含0x15和0x20。

<Sysname> system-view

[Sysname] wlan ips

[Sysname-wlan-ips] signature office

[Sysname-wlan-ips-sig-office] sub-rule frame-type management frame-subtype association-request

[Sysname-wlan-ips-sig-office] sub-rule mac source-mac 0000-0000-0001

[Sysname-wlan-ips-sig-office] sub-rule ssid case-sensitive not include H3C

[Sysname-wlan-ips-sig-office] sub-rule ssid-length between 15 20

[Sysname-wlan-ips-sig-office] sub-rule seq-number greater-than 100

[Sysname-wlan-ips-sig-office] sub-rule pattern pattern-id 1 offset 8 mask abcd greater-than 9 from-payload

[Sysname-wlan-ips-sig-office] sub-rule pattern pattern-id 2 pattern-name pattern2 offset 8 mask ffff between 15 20

1.1.120  sub-rule(自定义AP分类规则视图)

【命令】

sub-rule { ssid [ case-sensitive ] [ not ] { equal | include } string | security { equal | includ