15-ND攻击防御命令
本章节下载: 15-ND攻击防御命令 (156.95 KB)
1.1.1 display ipv6 nd source-mac
1.1.2 display ipv6 nd source-mac statistics
1.1.4 ipv6 nd source-mac aging-time
1.1.5 ipv6 nd source-mac exclude-mac
1.1.6 ipv6 nd source-mac threshold
1.1.7 reset ipv6 nd source-mac statistics
1.2.1 display ipv6 nd attack-suppression per-interface
1.2.2 ipv6 nd attack-suppression enable per-interface
1.2.3 ipv6 nd attack-suppression threshold
1.3.1 ipv6 nd check log enable
1.3.2 ipv6 nd mac-check enable
display ipv6 nd source-mac命令用来显示源MAC地址固定的ND攻击检测表项。
【命令】
(独立运行模式)
display ipv6 nd source-mac { interface interface-type interface-number [ slot slot-number ] | slot slot-number [ count ] }
(IRF模式)
display ipv6 nd source-mac { chassis chassis-number slot slot-number [ count ] | interface interface-type interface-number [ chassis chassis-number slot slot-number ] }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上的源MAC地址固定的ND攻击检测表项,interface-type interface-number表示指定接口的类型和编号。
slot slot-number:显示虚拟接口包含的指定单板上的物理口检测到的源MAC地址固定的ND攻击检测表项。slot-number表示单板所在的槽位号。如果未指定本参数,则显示的是虚拟接口包含的主用主控板上的物理口检测到的源MAC地址固定的ND攻击检测表项。(独立运行模式)
chassis chassis-number slot slot-number:显示虚拟接口包含的指定成员设备上指定单板上的物理口检测到的源MAC地址固定的ND攻击检测表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则显示虚拟接口包含的全局主用主控板上的物理口检测到的源MAC地址固定的ND攻击检测表项。(IRF模式)
slot slot-number:显示指定单板上的源MAC地址固定的ND攻击检测表项。slot-number表示单板所在的槽位号。如果未指定本参数,则显示主用主控板上的源MAC地址固定的ND攻击检测表项。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的源MAC地址固定的ND攻击检测表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则显示全局主用主控板上的源MAC地址固定的ND攻击检测表项。(IRF模式)
count:指定本参数后,只显示检测到的源MAC地址固定的ND攻击检测表项的数目。如果未指定本参数,则显示的是检测到的源MAC地址固定的ND攻击检测表项。
【使用指导】
如果未指定任何参数,则显示所有检测到的源MAC地址固定的ND攻击检测表项。
【举例】
# 显示接口GigabitEthernet1/0/1上的源MAC地址固定的ND攻击检测表项。
<Sysname> display ipv6 nd source-mac interface gigabitethernet 1/0/1
Source MAC VLAN ID Interface Aging time(s)
3333-2222-1234 11 GE1/0/1 286
# 显示源MAC地址固定的ND攻击检测表项的数目。
<Sysname> display ipv6 nd source-mac count
Total source MAC-based ND attack detection entries: 1
表1-1 display ipv6 nd source-mac命令显示信息描述表
字段 |
描述 |
Source MAC |
检测到攻击的源MAC地址 |
VLAN ID |
检测到攻击的VLAN ID,如果不存在,则显示为“N/A” |
Interface |
检测到攻击的接口 |
Aging time(s) |
ND攻击检测表项老化剩余时间,单位为秒 |
Total source MAC-based ND attack detection entries |
源MAC地址固定的ND攻击检测表项的数目 |
display ipv6 nd source-mac statistics命令用来显示ND攻击检测功能丢弃的源MAC地址固定的ND攻击报文计数统计信息。
【命令】
(独立运行模式)
display ipv6 nd source-mac statistics slot slot-number
(IRF模式)
display ipv6 nd source-mac statistics chassis chassis-number slot slot-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板上的计数统计信息。slot-number表示单板的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的计数统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。(IRF模式)
【举例】
# 显示设备上ND攻击检测功能丢弃的源MAC地址固定的ND攻击报文计数统计信息。
<Sysname> display ipv6 nd source-mac statistics slot 1
Dropped ND messages: 100
表1-2 display ipv6 nd source-mac statistics命令显示信息描述表
字段 |
描述 |
Dropped ND messages |
被丢弃的ND攻击报文数 |
【相关命令】
· reset ipv6 nd source-mac statistics
ipv6 nd source-mac命令用来开启源MAC地址固定的ND攻击检测功能,并选择检查模式。
undo ipv6 nd source-mac命令用来关闭源MAC地址固定的ND攻击检测功能。
【命令】
ipv6 nd source-mac { filter | monitor }
undo ipv6 nd source-mac
【缺省情况】
源MAC地址固定的ND攻击检测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
filter:配置检查方式为过滤模式。
monitor:配置检查方式为监控模式。
【使用指导】
建议在网关设备上开启本功能。
本特性根据ND报文的源MAC地址对上送CPU的ND报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ND报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在开启了ND日志信息功能的情况下(配置ipv6 nd check log enable命令),系统会根据设置的检查模式对存在于攻击检测表项中的MAC地址有如下处理:
· 如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ND报文过滤掉;
· 如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ND报文过滤掉。
切换源MAC地址固定的ND攻击检查模式时,如果从监控模式切换到过滤模式,过滤模式马上生效;如果从过滤模式切换到监控模式,已生成的攻击检测表项,到表项老化前还会继续按照过滤模式处理。
【举例】
# 开启源MAC地址固定的ND攻击检测功能,配置检查方式为监控模式。
<Sysname> system-view
[Sysname] ipv6 nd source-mac monitor
ipv6 nd source-mac aging-time命令用来配置源MAC地址固定的ND报文攻击检测表项的老化时间。
undo ipv6 nd source-mac aging-time命令用来恢复缺省情况。
【命令】
ipv6 nd source-mac aging-time time
undo ipv6 nd source-mac aging-time
【缺省情况】
源MAC地址固定的ND报文攻击检测表项的老化时间为300秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time:ND报文攻击检测表项的老化时间,取值范围为60~6000,单位为秒。
【举例】
# 配置源MAC地址固定的ND报文攻击检测表项的老化时间为100秒。
<Sysname> system-view
[Sysname] ipv6 nd source-mac aging-time 100
ipv6 nd source-mac exclude-mac命令用来配置保护MAC地址。当配置了保护MAC地址之后,即使检测认为这些MAC地址存在攻击,也不会过滤这些MAC地址发送的ND报文。
undo ipv6 nd source-mac exclude-mac命令用来删除配置的保护MAC地址。
【命令】
ipv6 nd source-mac exclude-mac mac-address&<1-10>
undo ipv6 nd source-mac exclude-mac [ mac-address&<1-10> ]
【缺省情况】
未配置任何保护MAC地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
mac-address&<1-n>:MAC地址列表,其中,mac-address表示配置的保护MAC地址,格式为H-H-H。&<1-10>表示前面的参数最多可以输入10次。
【使用指导】
如果undo命令中未指定MAC地址,则删除所有已配置的保护MAC地址。
【举例】
# 配置源MAC地址固定的ND报文攻击检查的保护MAC地址为001e-1200-0213。
<Sysname> system-view
[Sysname> ipv6 nd source-mac exclude-mac 001e-1200-0213
ipv6 nd source-mac threshold命令用来配置源MAC地址固定的ND报文攻击检测阈值,当在固定的时间(5秒)内收到相同MAC地址的ND报文超过该阈值则认为存在ND报文攻击。
undo ipv6 nd source-mac threshold命令用来恢复缺省情况。
【命令】
ipv6 nd source-mac threshold threshold-value
undo ipv6 nd source-mac threshold
【缺省情况】
源MAC地址固定的ND报文攻击检测表项的阈值为30个报文。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:固定时间内源MAC地址固定的ND报文攻击检测的阈值,取值范围为1~5000,单位为报文个数。
【举例】
# 配置源MAC地址固定的ND报文攻击检测阈值为100个报文。
<Sysname> system-view
[Sysname] ipv6 nd source-mac threshold 100
reset ipv6 nd source-mac statistics命令用来清除ND攻击检测功能丢弃的源MAC地址固定的ND攻击报文计数统计信息。
【命令】
(独立运行模式)
reset ipv6 nd source-mac statistics { all | slot slot-number }
(IRF模式)
reset ipv6 nd source-mac statistics { all | chassis chassis-number slot slot-number }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:清除所有的计数统计信息。
slot slot-number:清除指定单板上的计数统计信息。slot-number表示单板的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备的指定单板上的计数统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。(IRF模式)
【举例】
# 清除Slot 1上所有ND攻击检测功能丢弃的源MAC地址固定的ND攻击报文计数统计信息。(独立运行模式)
<Sysname> reset ipv6 nd source-mac statistics slot 1
【相关命令】
· display ipv6 nd source-mac statistics
仅CSPEX类单板(除CSPEX-1204之外)上的三层以太网接口和三层以太网子接口支持本特性。
display ipv6 nd attack-suppression per-interface命令用来显示ND接口攻击抑制表项。
【命令】
(独立运行模式)
display ipv6 nd attack-suppression per-interface slot slot-number [ count ]
(IRF模式)
display ipv6 nd attack-suppression per-interface chassis chassis-number slot slot-number [ count ]
【视图】
任意试图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的ND接口攻击抑制表项。slot-number表示单板的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的ND接口攻击抑制表项。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。(IRF模式)
count:制定本参数后,只显示ND接口攻击抑制表项的数目。如果未指定本参数,则显示的是ND接口攻击抑制表项。
【举例】
# 显示ND接口攻击抑制表项。
<Sysname> display ipv6 nd attack-suppression per-interface
Interface Suppression time (second)
GE1/0/1 200
# 显示ND接口攻击抑制表项的数目。
<Sysname> display ipv6 nd attack-suppression per-interface count
Total ND message suppression entries: 1
表1-3 display ipv6 nd attack-suppression per-interface命令显示信息描述表
字段 |
描述 |
Interface |
受到ND攻击的接口 |
Suppression time (second) |
抑止接口接收ND报文的时间,单位为秒 |
Total ND message suppression entries |
ND接口攻击抑制表项的数目 |
【相关命令】
· ipv6 nd attack-suppression enable per-interface
· ipv6 nd attack-suppression threshold
ipv6 nd attack-suppression enable per-interface命令用来开启ND接口攻击抑制功能。
undo ipv6 nd attack-suppression enable per-interface命令用来关闭ND接口攻击抑制功能。
【命令】
ipv6 nd attack-suppression enable per-interface
undo ipv6 nd attack-suppression enable per-interface
【缺省情况】
ND接口攻击抑制功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
ND接口攻击抑制功能基于接口限制ND请求速率,以防止非法用户构造大量ND请求报文对设备进行ND攻击。本功能只统计设备的三层接口上收到的ND请求报文,在5秒内,如果单个接口收到的ND请求报文个数超过配置的ND接口攻击抑制阈值,则认为该接口受到ND攻击。确定受到ND攻击后,设备会生成ND接口攻击抑制表项,在ND接口攻击抑制表项的抑制时间清零之前设备会限制被攻击的接口每秒钟接收ND报文的速率,防止ND攻击报文持续冲击CPU。以128个字节的ND报文为例,则被攻击的接口每秒钟只能接收100个ND报文。
建议在网关设备上开启本功能。
【举例】
# 开启ND接口攻击抑制功能。
<Sysname> system-view
[Sysname] ipv6 nd attack-suppression enable per-interface
【相关命令】
· display ipv6 nd attack-suppression per-interface
· ipv6 nd attack-suppression threshold
ipv6 nd attack-suppression threshold命令用来配置ND接口攻击抑制阈值。
undo ipv6 nd attack-suppression threshold命令用来恢复缺省情况。
【命令】
ipv6 nd attack-suppression threshold threshold-value
undo ipv6 nd attack-suppression threshold
【缺省情况】
ND接口攻击抑制阈值为1000。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:ND接口攻击抑制阈值,即5秒内可接收ND请求报文的个数,取值范围为1~5000。
【使用指导】
当在5秒内某个接口收到的ND请求报文个数超过阈值,则认为该接口受到ND报文攻击。
【举例】
# 配置ND接口攻击抑制阈值为500,即当某个接口上在5秒内收到的ND请求报文个数超过500个,则认为该接口受到ND报文攻击。
<Sysname> system-view
[Sysname] ipv6 nd attack-suppression threshold 500
【相关命令】
· display ipv6 nd attack-suppression per-interface
· ipv6 nd attack-suppression enable per-interface
ipv6 nd check log enable命令用来开启ND日志信息功能。
undo ipv6 nd check log enable命令用来关闭ND日志信息功能。
【命令】
ipv6 nd check log enable
undo ipv6 nd check log enable
【缺省情况】
ND日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。
【举例】
# 开启ND日志信息功能。
<Sysname> system-view
[Sysname] ipv6 nd check log enable
ipv6 nd mac-check enable命令用来开启ND协议报文源MAC地址一致性检查功能。
undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。
【命令】
ipv6 nd mac-check enable
undo ipv6 nd mac-check enable
【缺省情况】
ND协议报文源MAC地址一致性检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
网关设备开启该功能后,会对接收到的ND协议报文进行检查,如果ND报文中的源MAC地址和以太网数据帧首部的源MAC地址不一致,则丢弃该报文。
【举例】
# 开启ND协议报文源MAC地址一致性检查功能。
<Sysname> system-view
[Sysname] ipv6 nd mac-check enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!