- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-DDoS攻击检测与防范命令
本章节下载: 01-DDoS攻击检测与防范命令 (343.38 KB)
1.1.1 ack-flood detection threshold
1.1.3 anti-ddos blacklist timeout
1.1.4 anti-ddos cleaner deploy-mode
1.1.5 anti-ddos default-zone enable
1.1.6 anti-ddos detection-mode
1.1.8 anti-ddos flow-forward ip
1.1.10 anti-ddos log-server-ip
1.1.11 anti-ddos out-of-band interface
1.1.12 anti-ddos user-defined attack-type protocol
1.1.13 anti-ddos user-defined attack-type protocol icmp
1.1.14 anti-ddos user-defined attack-type protocol icmpv6
1.1.15 anti-ddos user-defined attack-type protocol tcp
1.1.16 anti-ddos user-defined attack-type protocol udp
1.1.19 bandwidth-detection destination-ip threshold
1.1.20 bandwidth-limit destination-ip type max-rate
1.1.21 display anti-ddos blacklist
1.1.22 display anti-ddos flow-agent statistics
1.1.23 display anti-ddos flow-agent-template
1.1.24 display anti-ddos flow-forward statistics
1.1.25 display anti-ddos source-verify protected ip
1.1.26 display anti-ddos source-verify protected ipv6
1.1.27 display anti-ddos source-verify trusted ip
1.1.28 display anti-ddos source-verify trusted ipv6
1.1.29 display anti-ddos statistics
1.1.30 display anti-ddos statistics bandwidth-limit destination-ip
1.1.31 display anti-ddos statistics destination-ip
1.1.32 display anti-ddos whitelist
1.1.33 display anti-ddos zone configuration
1.1.34 dns-query-flood defense source-verify
1.1.35 dns-query-flood detection threshold
1.1.36 dns-reply-flood defense source-verify
1.1.37 dns-reply-flood detection threshold
1.1.40 fingerprint-group apply
1.1.41 http-flood defense source-verify
1.1.42 http-flood detection threshold
1.1.43 https-flood detection threshold
1.1.44 icmp-flood detection threshold
1.1.45 icmp-frag-flood detection threshold
1.1.49 reset anti-ddos flow-agent statistics
1.1.50 reset anti-ddos flow-forward statistics
1.1.51 rst-flood detection threshold
1.1.52 sip-flood defense source-verify
1.1.53 sip-flood detection threshold
1.1.54 syn-ack-flood detection threshold
1.1.55 syn-flood defense source-verify
1.1.56 syn-flood detection threshold
1.1.57 tcp-frag-flood detection threshold
1.1.58 threshold-learning enable
1.1.59 udp-flood detection threshold
1.1.60 udp-frag-flood detection threshold
1.1.61 user-defined attack-type detection threshold
· AFC2020-D-G设备为DDoS攻击检测设备,仅支持检测设备相关命令行。
· AFC2120-G设备为DDoS攻击清洗设备,仅支持清洗设备相关命令行。
ack-flood detection threshold命令用来开启ACK泛洪攻击检测功能,并配置ACK泛洪攻击防范阈值。
undo ack-flood detection threshold命令用来关闭ACK泛洪攻击检测功能。
【命令】
ack-flood detection threshold { bit-based value | packet-based value}
undo ack-flood detection threshold
【缺省情况】
ACK泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示ACK泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示ACK泛洪攻击的统计方式为按照报文个数进行统计。
value:表示ACK泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启ACK泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行ACK泛洪攻击检测。当它检测到向某IP地址发送ACK报文的速率持续超过了配置的阈值时,即认为该IP地址受到了ACK泛洪攻击,则启动相应的防范措施:
· 旁路部署的DDoS攻击检测设备会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 直连部署的DDoS攻击清洗设备在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启ACK泛洪攻击检测功能,并配置ACK泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] ack-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
anti-ddos blacklist命令用来添加DDoS全局静态黑名单表项。
undo anti-ddos blacklist命令用来删除DDoS全局静态黑名单表项。
【命令】
anti-ddos blacklist { ip source-ip-address ip-mask-length | ipv6 source-ipv6-address ipv6-mask-length }
undo anti-ddos blacklist { all | ip source-ip-address ip-mask-length | ipv6 source-ipv6-address ipv6-mask-length }
【缺省情况】
不存在DDoS全局静态黑名单表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
all:表示删除所有全局静态黑名单表项,包括IPv4表项和IPv6表项。
ip source-ip-address ip-mask-length:DDoS全局静态黑名单表项的IPv4地址及掩码长度,用于匹配报文的源IPv4地址。其中ip-mask-length的取值范围为8~32。
ipv6 source-ipv6-address ipv6-mask-length:DDoS全局静态黑名单表项的IPv6地址及掩码长度,用于匹配报文的源IPv6地址。其中ipv6-mask-length的取值范围为8~128。
【使用指导】
若报文源地址匹配上DDoS全局静态黑名单表项,则进行丢包操作,未匹配则放行。
DDoS全局静态黑名单表项的IP地址范围不能与DDoS全局静态白名单表项的IP地址范围重叠。对于IPv4表项,不可配置地址0.0.0.0和255.255.255.255;对于IPv6表项,不可配置未指定地址(::/128)以及组播地址(FF00::/8)。
设备支持的DDoS全局静态黑名单与DDoS全局静态白名单表项数目之和最多为1024个。
【举例】
# 将1.1.1.1/24网段添加进DDoS全局静态黑名单中。
<Sysname> system-view
[Sysname] anti-ddos blacklist ip 1.1.1.1 24
【相关命令】
· anti-ddos whitelist
· display anti-ddos blacklist
anti-ddos blacklist timeout命令用来配置动态黑名单表项的老化时间。
undo anti-ddos blacklist timeout命令用来恢复缺省情况。
【命令】
anti-ddos blacklist timeout aging-time
undo anti-ddos blacklist timeout
【缺省情况】
动态黑名单表项的老化时间为1分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
aging-time:动态黑名单表项的老化时间,取值范围为1~1000,单位为分钟。
【举例】
# 配置动态黑名单表项的老化时间为2分钟。
<Sysname> system-view
[Sysname] anti-ddos blacklist timeout 2
anti-ddos cleaner deploy-mode命令用来配置DDoS攻击清洗设备的部署模式。
undo anti-ddos cleaner deploy-mode命令用来恢复缺省情况。
【命令】
anti-ddos cleaner deploy-mode { inline | out-of-path }
undo anti-ddos cleaner deploy-mode
【缺省情况】
配置DDoS攻击清洗设备的部署模式为直连部署。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
inline:指定部署模式为直连部署。
out-of-path:指定部署模式为旁路部署。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令,若DDoS攻击清洗设备采用旁路方式连接在组网中,则需要配置部署模式为旁路部署;若DDoS攻击清洗设备采用直连方式连接在组网中,则需要配置部署模式为直连部署。
在部署模式为旁路部署或直连部署模式时,DDoS攻击清洗设备配置的检测功能都会生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置DDoS攻击清洗设备的部署模式为旁路部署。
<Sysname> system-view
[Sysname] anti-ddos cleaner deploy-mode out-of-path
anti-ddos default-zone enable命令用来开启缺省DDoS攻击防护对象功能。
undo anti-ddos default-zone enable命令用来关闭缺省DDoS攻击防护对象功能。
【命令】
anti-ddos default-zone enable
undo anti-ddos default-zone enable
【缺省情况】
缺省DDoS攻击防护对象功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
通过开启缺省DDoS攻击防护对象功能,可在未匹配自定义防护对象时,采用缺省防护对象进行DDoS攻击防护。
在配置该命令前,缺省防护对象下的配置不生效。
【举例】
# 开启缺省DDoS攻击防护对象功能。
<Sysname> system-view
[Sysname] anti-ddos default-zone enable
【相关命令】
· anti-ddos zone default
anti-ddos detection-mode命令用来配置DDoS攻击的检测模式。
undo anti-ddos detection-mode命令用来恢复缺省情况。
【命令】
anti-ddos detection-mode { flow | mirror }
undo anti-ddos detection-mode
【缺省情况】
DDoS攻击的检测模式为flow检测模式。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
flow:表示基于flow采样报文检测。
mirror:表示基于镜像报文检测。
【使用指导】
仅DDoS攻击检测设备支持配置本命令。
模式切换期间可能会有部分报文因未经DDoS检测而导致攻击行为未被识别出。
【举例】
# 配置DDoS攻击的检测模式为基于NetStream采样报文检测。
<Sysname> system-view
[Sysname] anti-ddos detection-mode flow
anti-ddos flow-agent命令用来指定流量统计报文输出器。
undo anti-ddos flow-agent命令用来删除流量统计报文输出器配置。
【命令】
anti-ddos flow-agent ip ip-address port destination-port flow-type { netflow | netstream | sflow } [ sampling-rate sampling-rate-value ]
undo anti-ddos flow-agent [ ip ip-address port port-vlaue ]
【缺省情况】
未指定流量统计报文输出器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip ip-address:指定流量统计报文输出器的IP地址。
port destination-value:指定流量统计报文输出器输出的流量统计报文的目的端口号,取值范围为1025~65535。
flow-type:指定流量统计报文输出器输出的流量统计报文的格式。
netflow:输出NetFlow格式的流量统计报文。
netstream:输出NetStream格式的流量统计报文。
sflow:输出sFlow格式的流量统计报文。
sampling-rate sampling-rate-value:指定流量统计报文的采样率,即每sampling-rate-value个报文采样一个报文,取值范围为1~65535。
【使用指导】
DDoS攻击检测设备支持深度流检测模式。该模式下,设备对流量统计报文输出器(通常是路由器或交换机)发来的流量统计报文内容进行检测与分析,并将分析结果汇总到DDoS攻击防护对象下的流量统计信息中。设备根据DDoS攻击防护对象下的流量统计信息判断受保护IP地址是否遭到DDoS攻击。
深度流检测功能支持NetFlow V5、NetFlow V9、NetStream V5、NetStream V9以及sFlow V5报文的检测与分析。
流量统计报文输出器由IP地址和目的端口号二元组唯一确定,对于二元组相同的配置,最后一个配置生效。最多可指定16个流量统计报文输出器。
当流量统计报文中含有采样率信息时,sampling-rate-value参数所指定的采样率不生效。
执行undo命令行时若不指定IP地址和目的端口号,则删除设备上的所有流量统计报文输出器配置。
【举例】
# 指定一个流量统计报文输出器,其IP地址为10.10.10.10,报文目的端口号为1200,统计报文格式为NetFlow,采样率为1024。
<Sysname> system-view
[Sysname] anti-ddos flow-agent ip 10.10.10.10 port 1200 flow-type netflow sampling-rate 1024
【相关命令】
· display anti-ddos flow-agent statistics
anti-ddos flow-forward命令用来配置流统计报文的转发目的地址。
undo anti-ddos flow-forward命令用来删除流统计报文的转发目的地址配置。
【命令】
anti-ddos flow-forward { ip ip-address | ipv6 ipv6-address } port port-number
undo anti-ddos flow-forward { ip [ ip-address port port-number ] | ipv6 [ ipv6-address port port-number ] }
【缺省情况】
不存在流统计报文的转发配置。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip ip-address:指定IPv4流统计报文的转发目的IP地址。
ipv6 ipv6-address:指定IPv6流统计报文的转发目的IP地址。
port port-number:指定流统计报文的转发目的端口,取值范围为1~65535。
【使用指导】
流统计报文转发功能用来将流统计报文转发至其他设备进行处理。若设备上同时存在流统计报文输出器配置和流统计报文转发配置,则设备先将流统计报文转发至指定目的IP地址和端口,再根据输出器配置对报文进行解析和处理。
设备支持配置4个IPv4流统计报文转发目的地址和4个IPv6流统计报文转发目的地址。
执行undo命令时,若不指定IP地址和端口参数,则表示删除全部IPv4或IPv6流统计报文转发配置。
【举例】
# 创建一个目的IP地址为10.10.10.10,目的端口号为1200的转发配置。
<Sysname> system-view
[Sysname] anti-ddos flow-forward ip 10.10.10.10 port 1200
# 删除一个目的IP地址为10.10.10.10,目的端口号为1200的转发配置。
<Sysname> system-view
[Sysname] undo anti-ddos flow-forward ip 10.10.10.10 port 1200
anti-ddos log-local-ip命令用来配置上报日志的设备源IP地址。
undo anti-ddos log-local-ip命令用来恢复缺省情况。
【命令】
anti-ddos log-local-ip { ip ipv4-address | ipv6 ipv6-address }
undo anti-ddos log-local-ip
【缺省情况】
未配置上报日志的设备源IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定上报日志的源IPv4地址,该IP须为设备已配IP。
ipv6 ipv6-address:指定上报日志的源IPv6地址,该IP须为设备已配IP。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备支持均配置本命令。
本命令用来指定DDoS攻击检测设备或DDoS攻击清洗设备向管理中心发送DDoS日志报文的源IP地址。
仅支持配置一个IPv4地址或者一个IPv6地址。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置上报日志的设备源IP地址为192.168.1.2。
<Sysname> system-view
[Sysname] anti-ddos log-local-ip ip 192.168.1.2
【相关命令】
· anti-ddos log-server-ip
anti-ddos log-server-ip命令用来配置上报日志的服务端IP地址。
undo anti-ddos log-server-ip命令用来恢复缺省情况。
【命令】
anti-ddos log-server-ip { ip ipv4-address | ipv6 ipv6-address } [ port port-number ]
undo anti-ddos log-server-ip
【缺省情况】
未配置上报日志的服务端IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定日志上报的服务端IPv4地址。
ipv6 ipv6-address:指定日志上报的服务端IPv6地址。
port port-number:指定日志上报服务端的端口号,取值范围为1~65535,缺省为10083。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备支持均配置本命令。
本命令用来在DDoS攻击检测设备或DDoS攻击清洗设备上指定接收DDoS日志报文的管理中心的IP地址和端口号。
DDoS攻击检测设备或DDoS攻击清洗设备上只支持配置一个IPv4地址或者一个IPv6地址。当已存在一个配置时,再次下发配置则覆盖原有配置。
【举例】
# 配置上报日志的服务端IP地址为192.168.1.1。
<Sysname> system-view
[Sysname] anti-ddos log-server-ip ip 192.168.1.1
【相关命令】
· anti-ddos log-local-ip
anti-ddos out-of-band interface命令用于向DDoS攻击检测与防范业务中添加带外接口。
undo anti-ddos out-of-band interface命令用于从DDoS攻击检测与防范业务中移除带外接口。
【命令】
anti-ddos out-of-band interface { interface-type interface-number } &<1-10>
undo anti-ddos out-of-band interface [ interface-type interface-number ]
【缺省情况】
DDoS攻击检测与防范业务的带外接口仅包括GigabitEthernet1/0/0接口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number &<1-10>:指定带外接口的接口类型和接口编号。&<1-10>表示之前的参数最多可以输入10次。
【使用指导】
检测设备和清洗设备均支持配置本命令。
对于设备上的特定接口,比如管理类接口、LoopBack接口,它们接收的流量不需要进行DDoS攻击检测与防范处理,可以通过本命令将其配置为带外接口。
本命令支持将最多10个三层物理接口和LoopBack接口配置为DDoS攻击检测与防范业务的带外接口。
执行undo命令时,如果未配置接口类型和接口编号参数,设备将删除DDoS攻击检测与防范业务的所有带外接口。
【举例】
# 将接口GigabitEthernet1/0/1、GigabitEthernet1/0/4和LoopBack 1配置为DDoS攻击检测与防范业务的带外接口。
<Sysname> system-view
[Sysname] anti-ddos out-of-band interface gigabitethernet 1/0/1 gigabitethernet 1/0/4 loopback 1
anti-ddos user-defined attack-type protocol命令用来配置基于指定协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol protocol-number [ packet-length { equal | greater-than | less-than } packet-length ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于指定协议的自定义DDoS攻击类型。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
protocol-number:协议编号,取值范围为0~255。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于指定协议的自定义DDoS攻击类型。在基于协议来识别攻击报文的同时,还可以指定报文长度作为识别报文的特征,报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于VRRP协议(协议号为112),报文长度小于28字节的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol 112 packet-length less-than 28
anti-ddos user-defined attack-type protocol icmp命令用来配置基于ICMP协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol icmp [ packet-length { equal | greater-than | less-than } packet-length ] [ icmp-type icmp-type icmp-code icmp-code ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于ICMP协议的自定义DDoS攻击类型。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
icmp-type icmp-type:指定ICMP消息类型,取值范围为0~255。
icmp-code icmp-code:指定ICMP消息代码,取值范围为0~255。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于ICMP协议的自定义DDoS攻击类型。在基于报文长度来识别攻击报文的同时,还可以指定ICMP消息类型和消息代码作为识别报文的特征。报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于ICMP协议,类型为8,代码为0的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol icmp icmp-type 8 icmp-code 0
anti-ddos user-defined attack-type protocol icmpv6命令用来配置基于ICMPv6协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol icmpv6 [ packet-length { equal | greater-than | less-than } packet-length ] [ icmpv6-type icmpv6-type icmpv6-code icmpv6-code ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于ICMPv6协议的自定义DDoS攻击类型。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
icmpv6-type icmp-type:指定ICMPv6消息类型,取值范围为0~255。
icmpv6-code icmp-code:指定ICMPv6消息代码,取值范围为0~255。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于ICMPv6协议的自定义DDoS攻击类型。在基于报文长度来识别攻击报文的同时,还可以指定ICMPv6消息类型和消息代码作为识别报文的特征。报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于ICMPv6协议,报文长度大于65535字节的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol icmpv6 packet-length greater-than 65535
anti-ddos user-defined attack-type protocol tcp命令用来配置基于TCP协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol tcp [ packet-length { equal | greater-than | less-than } packet-length ] [ port port-num port-type { source | destination } ] [ tcp-flag flag-value ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于TCP协议的自定义DDoS攻击类型
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
port port-num:指定端口号,取值范围为1~65535。
port-type:指定端口类型。
source:端口类型为源端口。
destination:端口类型为目的端口。
tcp-flag flag-value:指定TCP flag字段的值,取值范围为0~63。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于TCP协议的自定义DDoS攻击类型。在基于TCP协议来识别攻击报文的同时,还可以指定报文长度、端口及TCP flag作为识别攻击报文的特征。设备将同时满足所有指定特征的报文视作攻击报文:
· 报文长度特征:报文长度小于、大于或等于攻击报文长度参考值。
· 端口特征:源端口号或目的端口号。
· TCP flag:TCP flag字段取值。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于TCP协议,报文长度大于65535字节,目的端口为80的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol tcp packet-length greater-than 65535 port 80 port-type destination
anti-ddos user-defined attack-type protocol udp命令用来配置基于UDP协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol udp [ packet-length { equal | greater-than | less-than } packet-length ] [ port port-num port-type { source | destination } ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于UDP协议的自定义DDoS攻击类型。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
port port-num:指定端口号,取值范围为1~65535。
port-type:指定端口类型。
source:端口类型为源端口。
destination:端口类型为目的端口。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于UDP协议的自定义DDoS攻击类型。在基于UDP协议来识别攻击报文的同时,还可以指定报文长度和端口作为识别攻击报文的特征。设备将同时满足所有指定特征的报文视作攻击报文:
· 报文长度特征:报文长度小于、大于或等于攻击报文长度参考值。
· 端口特征:源端口号或目的端口号。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于UDP协议,报文长度等于48的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol udp packet-length equal 48
anti-ddos whitelist命令用来添加DDoS全局静态白名单表项。
undo anti-ddos whitelist命令用来删除DDoS全局静态白名单表项。
【命令】
anti-ddos whitelist { ip source-ip-address ip-mask-length | ipv6 source-ipv6-address ipv6-mask-length }
undo anti-ddos whitelist { all | ip source-ip-address ip-mask-length | ipv6 source-ipv6-address ipv6-mask-length }
【缺省情况】
不存在DDoS全局静态白名单表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
all:表示删除所有全局静态白名单表项,包括IPv4表项和IPv6表项。
ip source-ip-address ip-mask-length:DDoS全局静态白名单的IPv4地址及掩码长度,用于匹配报文的源IPv4地址。其中ip-mask-length的取值范围为8~32。
ipv6 source-ipv6-address ipv6-mask-length:DDoS全局静态白名单的IPv6地址及掩码长度,用于匹配报文的源IPv6地址。其中ipv6-mask-length的取值范围为8~128。
【使用指导】
若报文匹配上DDoS全局白名单表项,则跳过其他DDoS攻击检测与防范功能(不包括IP限速),执行后续报文处理。
DDoS全局静态黑名单表项的IP地址范围不能与DDoS全局静态白名单表项的IP地址范围重叠。对于IPv4表项,不可配置地址0.0.0.0和255.255.255.255;对于IPv6表项,不可配置未指定地址(::/128)以及组播地址(FF00::/8)。
DDoS全局静态黑名单表项的IP地址范围不能与DDoS全局静态白名单表项的IP地址范围重叠。
设备支持的DDoS全局静态黑名单与DDoS全局静态白名单表项数目之和最多为1024个。
【举例】
# 将1.1.1.1/24网段添加进DDoS全局静态白名单中。
<Sysname> system-view
[Sysname] anti-ddos whitelist ip 1.1.1.1 24
【相关命令】
· anti-ddos blacklist
· display anti-ddos whitelist
anti-ddos zone命令用来创建一个DDoS攻击防护对象,并进入DDoS攻击防护对象视图。如果指定的DDoS攻击防护对象已经存在,则直接进入DDoS攻击防护对象视图。
undo anti-ddos zone命令用来删除指定的DDoS攻击防护对象。
【命令】
anti-ddos zone { id zone-id | default }
undo anti-ddos zone [ id zone-id ]
【缺省情况】
仅存在名称为default的缺省DDoS攻击防护对象。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id zone-id:DDoS攻击防护对象的ID,取值范围为2~1024。
default:缺省DDoS攻击防护对象,其ID值为1。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
未配置任何防护对象时,设备对收到的流量不采取任何防护措施。
设备最多支持创建1024个DDoS攻击防护对象(包括default)
在执行undo ddos-zone命令时,若未指定DDoS攻击防护对象的名称,则表示删除所有自定义的DDoS攻击防护对象。
系统缺省DDoS攻击防护对象(default)不需要创建,也不能删除。
【举例】
# 创建ID值为3的DDoS攻击防护对象,并进入DDoS攻击防护对象视图。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3]
bandwidth-detection destination-ip threshold命令用来开启IP流量攻击检测功能,并配置IP流量攻击的检测触发阈值。
undo bandwidth-detection destination-ip threshold命令用来关闭IP总流量攻击检测功能。
【命令】
bandwidth-detection destination-ip threshold threshold-value
undo bandwidth-detection destination-ip threshold
【缺省情况】
IP总流量攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
threshold-value:表示IP流量攻击的检测触发阈值,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启IP流量攻击检测功能后,会对设备收到的发往指定DDoS防护对象的流量进行IP流量攻击检测。当它检测到向某IP地址发送IP报文的速率持续超过了该触发阈值时,即认为该IP地址受到了IP流量攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备:会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行检测和清洗。此时需检查是否开启了IP流量限速功能,若未开启,则全部放行;若开启,则对设备收到的IP流量进行限速。
此后,当设备检测到向该IP地址发送IP报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,停止执行防范措施。
【举例】
# 在DDoS攻击防护对象视图下,开启IP流量攻击检测功能,并配置IP流量攻击的检测触发阈值为20Mbps。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] bandwidth-detection destination-ip threshold 20
【相关命令】
· anti-ddos cleaner deploy-mode
· bandwidth-limit destination-ip type max-rate
· display anti-ddos zone configuration
bandwidth-limit destination-ip type max-rate命令用来开启IP流量限速功能,并配置最大带宽限制。
undo bandwidth-limit destination-ip type max-rate命令用来关闭IP流量限速功能。
【命令】
bandwidth-limit destination-ip type total max-rate value
undo bandwidth-limit destination-ip [ type total ]
【缺省情况】
IP流量限速功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
total:表示对总流量进行限速。
value:表示最大带宽,取值范围为1~4294967295,单位为Mbps。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
DDoS攻击清洗设备在旁路部署或直连部署模式下配置本命令后,会对当前DDoS防护对象下的流量进行清洗操作,限制流量带宽为配置的值。
【举例】
# 在DDoS攻击防护对象视图下,开启IP流量的限速功能,并配置最大带宽限制为20Mbps。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] bandwidth-limit destination-ip type total max-rate 20
【相关命令】
· bandwidth-detect destination-ip threshold
· display anti-ddos zone configuration
display anti-ddos blacklist命令用来显示DDoS全局静态黑名单表项。
【命令】
display anti-ddos blacklist [ ip source-ip-address | ipv6 source-ipv6-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip souce-ip-address:显示指定源IPv4地址的DDoS全局静态黑名单表项。
ipv6 source-ipv6-address:显示指定源IPv6地址的DDoS全局静态黑名单表项。
【使用指导】
仅清洗设备支持配置本命令。
若未指定IPv4地址或IPv6地址参数,则表示显示所有的IPv4或IPv6全局静态黑名单表项。
【举例】
# 显示所有全局静态黑名单。
<Sysname> display anti-ddos blacklist
Total: 4 Blacklist: 3 Whitelist: 1
Source-ip/MaskLen Black/White
3.3.3.3/32 Black
10.0.0.0/24 Black
8000::/64 Black
# 显示指定IP对应的全局静态黑名单。
<Sysname> display anti-ddos blacklist ip 10.0.0.3
Total: 4 Blacklist: 3 Whitelist: 1
-------------------------------------------------------------------
Source-ip/MaskLen Black/White
10.0.0.0/24 Black
#显示指定IPv6对应的全局静态黑名单。
<Sysname> display anti-ddos blacklist ipv6 8000::1
Total: 4 Blacklist: 3 Whitelist: 1
-------------------------------------------------------------------
Source-ip/MaskLen Black/White
8000::/64 Black
表1-1 display anti-ddos blacklist命令显示信息描述表
|
字段 |
描述 |
|
Total |
IPv4或IPv6黑名单表项与白名单表项数目之和 |
|
Blacklist |
IPv4或IPv6黑名单表项数目 |
|
Whitelist |
IPv4或IPv6白名单表项数目 |
|
Source-ip/MaskLen |
源IP地址及掩码长度 |
|
Black/White |
表项类型,即黑名单类型或白名单类型 |
【相关命令】
· anti-ddos blacklist
display anti-ddos flow-agent statistics命令用来显示指定流量统计报文输出器的统计信息。
【命令】
display anti-ddos flow-agent statistics ip ip-address port destination-port [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
ip ip-address:指定流量统计报文输出器的IP地址。
port destination-port:指定流量统计报文的目的端口号,取值范围为1025~65535。
slot slot-number:显示指定成员设备上的指定流量统计报文输出器的统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的指定流量统计报文输出器的统计信息。
【举例】
# 显示设备槽位号为1的单板上的流量统计报文输出器统计信息,其中流量统计报文输出器的IP地址为10.10.10.10,报文目的端口号为1200。
<Sysname> display anti-ddos flow-agent statistics ip 10.10.10.10 port 1200 slot 1
Slot 1:
NetFlow V5 statistics:
Packets: 1000
Records: 1990
DropRecords: 10
NetFlow V9 statistics:
Packets: 1000
Records: 1980
TemplateRecords: 20
DataRecords: 10
DropRecords: 10
表1-2 display anti-ddos flow-agent statistics命令显示信息描述表
|
字段 |
描述 |
|
Packets |
DDoS攻击检测设备接收的报文个数 |
|
Records |
解析成功的报文记录数 |
|
DropRecords |
解析失败的报文记录数 |
|
TemplateRecords |
解析成功的Netflow V9报文模板数 |
|
DataRecords |
解析成功的Netflow V9报文记录数 |
|
DropRecords |
丢弃的Netflow V9模板个数和Netflow V9报文记录数 |
【相关命令】
· anti-ddos flow-agent
display anti-ddos flow-agent-template命令用来显示指定流量统计报文输出器的NetFlow/NetStream V9模板信息。
【命令】
display anti-ddos flow-agent-template ip ip-address [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
ip ip-address:指定流量统计报文输出器的IP地址。
slot slot-number:显示指定成员设备上的指定流量统计报文输出器的NetFlow/NetStream V9模板信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的指定流量统计报文输出器的NetFlow/NetStream V9模板信息。
【举例】
# 显示设备的槽位号为1的单板上的IP地址为10.10.10.10的流量统计报文输出器的NetFlow/NetStream V9模板信息。
<Sysname> system-view
[Sysname] display anti-ddos flow-agent-template ip 10.10.10.10 slot 1
Slot 1:
Template ID: 256 Source ID: 1936773375
Field information:
Field type Field length (bytes)
Packets 4
Bytes 4
Protocol 1
Template ID: 257 Source ID: 1936773376
Field information:
Field type Field length (bytes)
Packets 4
Bytes 4
Protocol 1
表1-3 display anti-ddos flow-agent-template命令显示信息描述表
|
字段 |
描述 |
|
Template id |
NetFlow/NetStream V9模板ID |
|
Source id |
NetFlow V9模板域ID |
|
Field information |
字段信息 |
|
Field Type |
字段类型 |
|
Field Length |
字段长度 |
|
Packets |
报文数字段,用来表示使用该模板发送的报文数 |
|
Bytes |
字节数字段,用来表示使用该模板发送的字节数 |
|
Protocol |
协议字段,用来表示报文的四层协议类型 |
display anti-ddos flow-forward statistics命令用来显示流统计报文的转发统计信息。
【命令】
display anti-ddos flow-forward statistics [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:显示指定成员设备上的流统计报文的转发统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的流统计报文的转发统计信息。
【举例】
# 显示槽位号为1的单板上的转发统计信息。
<Sysname> system-view
[Sysname] display anti-ddos flow-forward statistics ip slot 1
Slot 1:
Flow IPv4 Statistics information:
IP address port Pkts
192.168.1.1 2048 100
Flow IPv6 Statistics information:
IPv6 address port Pkts
192:168:1::1 2048 100
display anti-ddos source-verify protected ip命令用来显示DDoS攻击源验证的受保护IPv4表项。
【命令】
display anti-ddos source-verify { dns-query | dns-reply | http | sip | syn } protected ip [ ip-address ] [ count ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
dns-query:指定DNS query源验证功能。
dns-reply:指定DNS reply源验证功能。
http:指定HTTP源验证功能。
sip:指定SIP源验证功能。
syn:指定SYN源验证功能。
ip-address:显示DDoS攻击源验证的指定受保护IPv4表项。若未指定本参数,则显示DDoS攻击源验证的所有受保护IPv4表项。
slot slot-number:显示指定成员设备上的DDoS攻击源验证的受保护IPv4表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的DDoS攻击源验证的受保护IPv4表项。
count:显示符合指定条件的DDoS攻击源验证的受保护IPv4表项个数。
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
【举例】
# 显示所有DDoS攻击防护对象的SYN泛洪攻击源验证的受保护IPv4表项。
<Sysname> display anti-ddos source-verify syn protected ip
Slot 1:
IP address Port Type Requested Trusted
192.168.11.5 23 Dynamic 353452 555
123.123.123.123 23 Dynamic 4294967295 15151
Slot 2:
IP address Port Type Requested Trusted
192.168.11.6 23 Dynamic 467901 78578
201.55.7.45 23 Dynamic 236829 7237
# 显示所有DDoS攻击防护对象的SYN泛洪攻击源验证的受保护IPv4表项的个数。
<Sysname> display anti-ddos source-verify syn protected ip count
Slot 1:
Totally 3 protected IP addresses.
Slot 2:
Totally 0 protected IP addresses.
表1-4 display anti-ddos source-verify protected ip命令显示信息描述表
|
字段 |
描述 |
|
Totally n protected IP addresses. |
DDoS攻击源验证的受保护IPv4表项数目 |
|
IP address |
受保护IPv4地址 |
|
Port |
连接的目的端口 |
|
Type |
受保护IP地址的添加方式,取值包括Dynamic,即动态添加 |
|
Requested |
收到的匹配该受保护IP地址的报文数目 |
|
Trusted |
通过验证的报文数目 |
display anti-ddos source-verify protected ipv6命令用来显示DDoS攻击源验证的受保护IPv6表项。
【命令】
display anti-ddos source-verify { dns-query | dns-reply | http | sip | syn } protected ipv6 [ ipv6-address ] [ slot slot-number ] [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
dns-query:指定DNS query源验证功能。
dns-reply:指定DNS reply源验证功能。
http:指定HTTP源验证功能。
sip:指定SIP源验证功能。
syn:指定SYN源验证功能。
ipv6-address:显示DDoS攻击源验证的指定IPv6地址的受保护IPv6表项。若未指定本参数,则显示DDoS攻击源验证的所有受保护IPv6表项。
slot slot-number:显示指定单板上的DDoS攻击源验证的受保护IPv6表项,slot-number表示单板所在槽位号。如果不指定该参数,则表示显示所有单板上的DDoS攻击源验证的受保护IPv6表项。
slot slot-number:显示指定成员设备上的DDoS攻击源验证的受保护IPv6表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的DDoS攻击源验证的受保护IPv6表项。
slot slot-number:显示指定成员设备/PEX上的DDoS攻击源验证的受保护IPv6表项,slot-number表示设备在IRF中的成员编号或者PEX的虚拟槽位号。如果不指定该参数,则表示显示所有成员设备/PEX上的DDoS攻击源验证的受保护IPv6表项。
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的DDoS攻击源验证的受保护IPv6表项,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,则表示显示所有成员设备上的DDoS攻击源验证的受保护IPv6表项。
chassis chassis-number slot slot-number:显示指定单板的DDoS攻击源验证的受保护IPv6表项,chassis-number表示设备在IRF中的成员编号或者PEX对应的虚拟框号,slot-number表示单板或PEX所在的槽位号。如果不指定该参数,则表示显示所有单板上的DDoS攻击源验证的受保护IPv6表项。
count:显示符合指定条件的DDoS攻击源验证的受保护IPv6表项个数。
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
【举例】
# 显示所有DDoS攻击防护对象的SYN泛洪攻击源验证的受保护IPv6表项。
<Sysname> display anti-ddos source-verify syn protected ipv6
Slot 1:
IPv6 address Port Type Requested Trusted
192:168:11::5 23 Dynamic 353452 555
123:123:123::123 23 Dynamic 4294967295 15151
Slot 2:
IPv6 address Port Type Requested Trusted
192:168:11::5 23 Dynamic 467901 78578
201:55:7::45 23 Dynamic 236829 7237
# 显示所有DDoS攻击防护对象的SYN泛洪攻击源验证的受保护IPv6表项的个数。
<Sysname> display anti-ddos source-verify syn protected ipv6 count
Slot 1:
Totally 3 protected IPv6 addresses.
Slot 2:
Totally 0 protected IPv6 addresses.
表1-5 display anti-ddos source-verify protected ipv6命令显示信息描述表
|
字段 |
描述 |
|
Totally n protected IPv6 addresses. |
DDoS攻击源验证的受保护IPv6表项数目 |
|
IPv6 address |
受保护IPv6地址 |
|
Port |
连接的目的端口 |
|
Type |
受保护IP地址的添加方式,取值包括Dynamic,即动态添加 |
|
Requested |
收到的匹配该受保护IP地址的报文数目 |
|
Trusted |
通过验证的报文数目 |
display anti-ddos source-detect trusted ip命令用来显示DDoS攻击源验证的信任IPv4表项。
【命令】
display anti-ddos source-verify { dns-query | dns-reply | http | sip | syn } trusted ip [ ip-address ] [ slot slot-number ] [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
dns-query:指定DNS query源验证功能。
dns-reply:指定DNS reply源验证功能。
http:指定HTTP源验证功能。
sip:指定SIP源验证功能。
syn:指定SYN源验证功能。
ip-address:显示DDoS攻击源验证的指定IPv4地址的受信任IPv4表项。若未指定本参数,则显示DDoS攻击源验证的所有受信任IPv4表项。
slot slot-number:显示指定成员设备上的DDoS攻击源验证的受信任IPv4表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的DDoS攻击源验证的受信任IPv4表项。
count:显示符合指定条件的DDoS攻击源验证的受信任IPv4表项个数。
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
【举例】
# 显示所有DDoS攻击防护对象的HTTP泛洪攻击源验证的受信任IPv4表项。
<Sysname> display anti-ddos source-verify http trusted ip
Slot 1:
IP address Age-time (sec)
11.1.1.2 3600
123.123.123.123 3550
Slot 2:
IP address Age-time (sec)
11.1.1. 1200
# 显示所有DDoS攻击防护对象的HTTP泛洪攻击源验证的受信任IPv4表项的个数。
<Sysname> display anti-ddos source-verify http trusted ip count
Slot 1:
Totally 3 trusted IP addresses.
Slot 2:
Totally 0 trusted IP addresses.
表1-6 表 display anti-ddos source-verify trusted ip命令显示信息描述表
|
字段 |
描述 |
|
Totally n trusted IP addresses |
DDoS攻击源验证的受信任IPv4表项的个数 |
|
IP address |
受信任的IPv4地址 |
|
Age-time(sec) |
信任IP地址的剩余老化时间,单位为秒。 |
display anti-ddos source-verify trusted ipv6命令用来显示DDoS攻击源验证的信任IPv6表项。
【命令】
display anti-ddos source-verify { dns-query | dns-reply | http | sip | syn } trusted ipv6 [ ipv6-address ] [ slot slot-number ] [ count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
dns-query:指定DNS query源验证功能。
dns-reply:指定DNS reply源验证功能。
http:指定HTTP源验证功能。
sip:指定SIP源验证功能。
syn:指定SYN源验证功能。
ipv6-address:显示DDoS攻击源验证的指定IPv6地址的信任IPv6表项。若未指定本参数,则显示DDoS攻击源验证的所有信任IPv6表项。
slot slot-number:显示指定成员设备上的DDoS攻击源验证的信任IPv6表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的DDoS攻击源验证的信任IPv6表项。
count:显示符合指定条件的DDoS攻击源验证的信任IPv6表项个数。
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
【举例】
# 显示所有DDoS攻击防护对象的HTTP泛洪攻击源验证的受信任IPv6表项。
<Sysname> display anti-ddos source-verify http trusted ipv6
Slot 1:
IPv6 address Age-time(sec)
11:1:1::2 3600
123:123:123::123 3550
Slot 2:
IPv6 address Age-time(sec)
11:1:1::3 1200
# 显示所有DDoS攻击防护对象的HTTP泛洪攻击源验证的受信任IPv6表项的个数。
<Sysname> display anti-ddos zone source-verify http trusted ipv6 count
Slot 1:
Totally 3 trusted IPv6 addresses.
Slot 2:
Totally 0 trusted IPv6 addresses.
表1-7 display anti-ddos source-verify trusted ipv6命令显示信息描述表
|
字段 |
描述 |
|
Totally n trusted IPv6 addresses |
DDoS攻击源验证的受信任IPv6表项的个数 |
|
IPv6 address |
受信任的IPv6地址 |
|
Age-time(sec) |
信任IPv6地址的剩余老化时间,单位为秒。 |
display anti-ddos statistics命令用来显示DDoS攻击防护统计信息。
【命令】
display anti-ddos statistics { destination-ip { ipv4 [ ip-address ] | ipv6 [ ipv6-address ] } | destination-port | source-ip { ipv4 | ipv6 } | source-port } [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
destination-ip:表示基于目的IP地址进行统计
destination-port:表示基于目的端口进行统计。
srp-ip:表示基于源IP地址进行统计。
srp-port:表示基于源端口进行统计。
ipv4:指定IP地址类型为IPv4。
ipv4-address:显示指定目的IPv4地址的DDoS攻击防护统计信息。若未指定本参数,则显示所有目的IPv4地址的DDoS攻击防护统计信息。
ipv6:指定IP地址类型为IPv6。
ipv6-address:显示指定目的IPv6地址的DDoS攻击防护统计信息。若未指定本参数,则显示所有目的IPv6地址的DDoS攻击防护统计信息。
slot slot-number:显示指定成员设备上的DDoS攻击防护统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的DDoS攻击防护统计信息
【使用指导】
DDoS攻击检测设备支持该命令。DDoS攻击清洗设备上只支持部分display anti-ddos statistics { destination-ip { ipv4 [ ip-address ] | ipv6 [ ipv6-address ] }
【举例】
# 显示基于源IPv4地址的DDoS攻击防护统计信息。
<Sysname> display anti-ddos statistics source-ip ipv4
Slot 1:
Source IP Dest IP Packet type Input(Bps) Output(Bps) Input(pps) Output(pps)
3.3.3.3 4.4.4.4 - 100 20 100 30
3.3.3.3 4.4.4.4 - 100 20 100 30
Slot 2:
Source IP Dest IP Packet type Input(Bps) Output(Bps) Input(pps) Output(pps)
2.2.2.2 4.4.4.4 - 100 30 100 30
# 显示基于源IPv6地址的DDoS攻击防护统计信息。
<Sysname> display anti-ddos statistics source-ip ipv6
Slot 1:
Source IPv6 Packet type Input(Bps) Output(Bps) Input(pps) Output(pps)
3::3 - 100 20 100 30
3::5 - 100 20 100 30
2::6 - 100 30 100 30
Slot 2:
Source IPv6 Packet type Input(Bps) Output(Bps) Input(pps) Output(pps)
8::3 ACK 100 20 100 30
#显示基于源端口的DDoS攻击防护统计信息。
<Sysname> display anti-ddos statistics source-port
Slot 1:
Source Port Dest addr Packet type Input(Bps) Output(Bps) Input(pps) Output(pps)
78 3.3.3.3 - 100 20 100 30
54321 3.3.3.3 - 100 20 100 30
Slot 2:
Source Port Dest addr Packet type Input(Bps) Output(Bps) Input(pps) Output(pps)
8080 3.3.3.3 - 100 30 100 30
#显示所有基于目的IPv4地址的DDoS攻击防护统计信息。
<Sysname> display anti-ddos statistics destination-ip ipv4
Slot 1:
Dest IP Packet type Input(Bps) Output(Bps) Input(pps) Output(pps)
3.3.3.3 UDP 100 20 60 10
3.3.3.3 IP 100 20 60 10
3.3.3.2 ACK 100 20 60 10
3.3.3.2 IP 100 20 60 10
Slot 2:
Dest IP Packet type Input(Bps) Output(Bps) Input(pps) Output(pps)
4.3.2.3 UDP 100 20 60 10
4.3.2.3 IP 100 20 60 10
5.3.2.3 ACK 100 20 60 10
5.3.2.3 IP 100 20 60 10
表1-8 display anti-ddos statistics 命令显示信息描述表
|
字段 |
描述 |
|
Source IP |
源IPv4地址 |
|
Source IPv6 |
源IPv6地址 |
|
Source port |
源端口号 |
|
Dest IP |
目的IPv4地址 |
|
Dest IPv6 |
目的IPv6地址 |
|
Dest addr |
目的地址 |
|
Dest port |
目的端口号 |
|
Packet type |
接收的报文类型,包括: · ACK · DNS query · DNS reply · ICMP · HTTP · SYN · SYN-ACK · UDP · RST · SIP · IP |
|
Input(Bps) |
每秒接收的报文字节数目 |
|
Output(Bps) |
清洗后的报文字节数目 |
|
Input(pps) |
每秒接收的报文数目 |
|
Output (pps) |
清洗后的报文数目 |
display anti-ddos statistics bandwidth-limit destination-ip { ipv4 ipv4-address | ipv6 ipv6-address } 命令用来显示指定目的IP地址的限速统计信息。
【命令】
display anti-ddos statistics bandwidth-limit destination-ip { ipv4 ipv4-address | ipv6 ipv6-address } [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv4 ipv4-address:显示指定IPv4地址的限速统计信息。
ipv6 ipv6-address:显示指定IPv6地址的限速统计信息。
slot slot-number:显示指定成员设备上的指定目的IP地址的限速统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的指定目的IP地址的限速统计信息。
【使用指导】
仅清洗设备支持配置本命令,只显示已配置指定类型的限速策略的统计信息。
当清洗设备中有报文通过时,会生成对应报文目的IP的统计节点,若老化时间内无对应目的IP的报文再经过设备,则该目的IP的统计节点会被删除。
若存在指定目的IP的统计节点,输入本命令行能够显示对应的限速阈值配置以及报文流量统计信息;若不存在指定的目的IP的统计节点,输入本命令行不显示数据。
【举例】
# 显示指定目的IPv4地址的速率限制统计信息。
<Sysname> display anti-ddos statistics bandwidth-limit destination-ip ipv4 10.10.10.10
slot 1:
Type Input(Bps) Output(Bps) Input(pps) Output(pps) Threshold(Mbps)
TCP 50000 50000 100 100 50
UDP 400000 393216 800 786 3
TCP-FRAG 50000 50000 100 100 50
IP 493216 493216 986 986 50
slot 2:
Type Input(Bps) Output(Bps) Input(pps) Output(pps) Threshold(Mbps)
TCP 20000 20000 40 40 50
UDP 420000 393216 840 786 3
TCP-FRAG 50000 50000 100 100 50
IP 453216 453216 906 906 50
表1-9 display anti-ddos statistics bandwidth-limit destination-ip命令显示信息描述表
|
字段 |
描述 |
|
Type |
报文类型,包括: · TCP · UDP · ICMP · TCP-FRAG · UDP-FRAG · ICMP-FRAG · Other · IP |
|
Input(Bps) |
综合限速或单类报文限速前的报文速率,单位为Bps |
|
Input(pps) |
综合限速或单类报文限速前的报文速率,单位为pps |
|
Output(Bps) |
综合限速或单类报文限速后的报文速率,单位为Bps |
|
Output(pps) |
综合限速或单类报文限速后的报文速率,单位为pps |
|
Threhold(Mbps) |
综合速率上限或单类报文速率上限,单位为Mbps |
display anti-ddos statistics destination-ip命令用来显示指定被攻击者的DDoS攻击防护统计信息。
【命令】
display anti-ddos statistics destination-ip { ipv4 ip-address | ipv6 ipv6-address } { destination-port | source-ip | source-port } [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv4 ip-address:指定被攻击者的IPv4地址。
ipv6 ipv6-address:指定被攻击者的IPv6地址。
destination-port:表示基于目的端口进行统计。
srp-ip:表示基于源IP地址进行统计。
srp-port:表示基于源端口进行统计。
slot slot-number:显示指定成员设备上指定被攻击者的DDoS攻击防护统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上指定被攻击者的DDoS攻击防护统计信息。
【使用指导】
该命令只在DDoS攻击检测设备上支持。
【举例】
#显示IPv4地址为1.1.1.1的被攻击者基于源IP地址的DDoS攻击防护统计信息。
<Sysname> display anti-ddos statistics destination-ip ipv4 1.1.1.1 source-ip
Slot 1:
Source IP Packet type Input(Bps) Output(Bps) Input(pps) Output(pps)
3.3.3.3 - 100 20 60 10
3.3.3.3 - 100 20 60 10
Slot 2:
Source IP Packet type Input(Bps) Output(Bps) Input(pps) Output(pps)
1.1.1.2 - 100 20 60 10
2.2.2.3 - 100 20 60 10
#显示IPv6地址为1::1的被攻击者基于源IP地址的DDoS攻击防护统计信息。
<Sysname> display anti-ddos statistics destination-ip ipv6 1::1 source-ip
Slot 1:
Source IPv6 Packet type Input(Bps) Output(Bps) Input(pps) Output(pps)
3::3 - 100 20 60 10
4::4 - 100 20 60 10
Slot 2:
Source IPv6 Packet type Input(Bps) Output(Bps) Input(pps) Output(pps)
3::6 - 100 20 60 10
4::5 - 100 20 60 10
表1-10 display ddos statistics命令显示信息描述表
|
字段 |
描述 |
|
Source IP |
源IPv4地址 |
|
Source IPv6 |
源IPv6地址 |
|
Source port |
源端口号 |
|
Dest port |
目的端口号 |
|
Packet type |
接收的报文种类 |
|
Input(Bps) |
每秒接收的报文字节数目 |
|
Output(Bps) |
清洗后的报文字节数目 |
|
Input(pps) |
每秒接收的数目 |
|
Output(pps) |
清洗后的数目 |
display anti-ddos whitelist命令用来显示全局静态白名单表项。
【命令】
display anti-ddos whitelist [ ip source-ip-address | ipv6 source-ipv6-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip source-ip-address:显示指定源IPv4地址的DDoS全局静态白名单表项。
ipv6 source-ipv6-address:显示指定源IPv4地址的DDoS全局静态白名单表项。
【使用指导】
仅清洗设备支持配置本命令。
若未指定IPv4地址或IPv6地址参数,则表示显示所有的IPv4或IPv6白名单表项。
【举例】
# 显示所有全局静态白名单。
<Sysname> display anti-ddos whitelist
Total: 4 Blacklist: 3 Whitelist: 1
-------------------------------------------------------------------
Source-ip/MaskLen Black/White
3.3.3.4/32 White
# 显示指定IP对应的全局静态白名单。
<Sysname> display anti-ddos whitelist ip 3.3.3.4
Total: 4 Blacklist: 3 Whitelist: 1
-------------------------------------------------------------------
Source-ip/MaskLen Black/White
3.3.3.4/32 White
#显示指定IPv6对应的全局静态白名单。
<Sysname> display anti-ddos whitelist ipv6 8000::1
Total: 4 Blacklist: 3 Whitelist: 0
-------------------------------------------------------------------
Source-ip/MaskLen Black/White
表1-11 display anti-ddos blacklist命令显示信息描述表
|
字段 |
描述 |
|
Total |
IPv4或IPv6黑名单表项与白名单表项数目之和 |
|
Blacklist |
IPv4或IPv6黑名单表项数目 |
|
Whitelist |
IPv4或IPv6白名单表项数目 |
|
Source-ip/MaskLen |
源IP地址及掩码长度 |
|
Black/White |
表项类型,即黑名单或白名单 |
【相关命令】
· anti-ddos whitelist
display anti-ddos zone configuration命令用于显示DDoS攻击防护对象的配置信息。
【命令】
display anti-ddos zone configuration [ default | id zone-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
default:指定缺省DDoS攻击防护对象。
id zone-id:指定DDoS攻击防护对象的ID,取值范围为2~1024。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备上都支持该命令。
若未指定default和id zone-id,则显示所有DDoS攻击防护对象的概要配置信息。
【举例】
# 显示指定DDoS攻击防护对象的配置信息。
<Sysname> display anti-ddos zone configuration id 2
Anti-DDoS zone configuration information
Zone ID : 2
Zone name : abc
IP range configuration:
Start IP End IP
1.1.1.1 1.1.1.100
2.2.2.2 2.2.2.10
Flood detection configuration:
Flood type Thres(pps/Mbps)
DNS query 1000 pps
DNS reply 1000 pps
HTTP 1000 bps
SYN 1000 pps
ACK 1000 Mbps
SYN-ACK 1000 pps
RST 1000 pps
UDP 1000 Mbps
ICMP 1000 Mbps
SIP 1000 Mbps
Source verification configuration:
Type Status
TCP Enabled
HTTP Enabled
DNS query Enabled
DNS reply Enabled
SIP Enabled
Bandwidth configuration:
bandwidth-detection destination-ip threshold: 20
bandwidth-limit destination-ip max-rate: 10
Fingerprint configuration:
Type GroupID
IPv4 10
Threshold Learning: Enabled
表1-12 display anti-ddos zone命令显示信息描述表
|
字段 |
描述 |
|
Anti-ddos zone Information |
DDoS攻击防护对象配置信息 |
|
Zone name |
DDoS攻击防护对象名称 |
|
Zone ID |
DDoS攻击防护对象ID |
|
IP configuration |
DDoS攻击防护对象的IP地址范围 |
|
Start IP |
起始IP地址 |
|
End IP |
结束IP地址 |
|
Flood detection configuration |
泛洪攻击防范配置信息 |
|
Flood type |
泛洪攻击类型,包括: · ACK flood · DNS-QUERY flood · DNS-REPLY flood · ICMP flood · SYN flood · SYN-ACK flood · UDP flood · RST flood · HTTP flood · SIP flood |
|
Thres(pps/Mbps) |
泛洪攻击防范阈值,单位为pps或Mbps |
|
Source verification configuration |
源验证配置 |
|
Type |
源验证类型,包括: · DNS query:DNS query源验证 · DNS reply:DNS reply源验证 · TCP:TCP syn源验证 · HTTP:HTTP源验证 · SIP:SIP源验证 |
|
Status |
源验证的状态 · Enable:启用 · Disable:关闭 |
|
Bandwidth configuration |
DDoS攻击防护对象下带宽阈值的配置 |
|
Bandwidth-detection destination-ip threshold |
IP流量攻击的检测触发阈值 |
|
Bandwidth-limit destination-ip max-rate |
IP流量限速的最大带宽限制 |
|
Fingerprint configuration |
指纹防护配置信息 |
|
Type |
指纹防护策略组类型,包括以下取值: IPv4 IPv6 |
|
GroupID |
指纹防护策略组ID |
# 显示所有DDoS攻击防护对象的概要配置信息。
<Sysname> display anti-ddos zone configuration
Anti-ddos Zone Brief information
Zone ID Zone Name
2 abc
100 p1
10 p12
表1-13 display anti-ddos zone configuration命令显示信息描述表
|
字段 |
描述 |
|
Zone ID |
DDoS攻击防护对象ID |
|
Zone Name |
DDoS攻击防护对象名称 |
dns-query-flood defense source-verify命令用来开启DNS query泛洪攻击的源验证功能。
undo dns-query-flood defense source-verify命令用来关闭DNS query泛洪攻击的源验证功能。
【命令】
dns-query-flood defense source-verify
undo dns-query-flood defense source-verify
【缺省情况】
DNS query泛洪攻击的源验证功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
该功能用来保护内部网络的DNS服务器免受外部网络中非法客户端发起的DNS query泛洪攻击。若在DDoS攻击清洗设备上开启了DNS query泛洪攻击的源验证功能,则设备会对发往受攻击IP地址的DNS query报文进行源地址验证,通过源地址验证的IP地址将被加入信任IP地址列表中,之后设备将放行来自该IP地址的DNS query报文。未通过源地址验证的DNS query报文会被丢弃。
【举例】
# 在DDoS攻击防护对象视图下,开启DNS query泛洪攻击的源验证功能。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] dns-query-flood defense source-verify
【相关命令】
· display anti-ddos zone configuration
dns-query-flood detection threshold命令用来开启DNS query泛洪攻击检测功能,并配置DNS query泛洪攻击防范阈值。
undo dns-query-flood detection threshold命令用来关闭DNS query泛洪攻击检测功能。
【命令】
dns-query-flood detection threshold { bit-based value | packet-based value}
undo dns-query-flood detection threshold
【缺省情况】
DNS query泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示DNS query泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示DNS query泛洪攻击的统计方式为按照报文个数进行统计。
value:表示DNS query泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启DNS query泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行DNS query泛洪攻击检测。当它检测到向某IP地址发送DNS query报文的速率持续超过了配置的阈值时,即认为该IP地址受到了DNS query泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备:会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启DNS query泛洪攻击检测功能,并配置DNS query泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] dns-query-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
dns-reply-flood defense source-verify命令用来开启DNS reply泛洪攻击的源验证功能。
undo dns-reply-flood defense source-verify命令用来关闭DNS reply泛洪攻击的源验证功能。
【命令】
dns-reply-flood defense source-verify
undo dns-reply-flood defense source-verify
【缺省情况】
DNS reply泛洪攻击的源验证功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
本功能用来防御客户端受到的DNS reply泛洪攻击。若在DDoS攻击清洗设备上开启了DNS reply泛洪攻击的源验证功能,则设备会对发往受攻击IP地址的DNS reply 报文进行源地址验证,通过源地址验证的IP地址将被加入信任IP地址列表中,之后设备将放行来自该IP地址的DNS reply 报文。未通过源地址验证的DNS reply报文会被丢弃。
【举例】
# 在DDoS攻击防护对象视图下,开启DNS reply泛洪攻击的源验证功能。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] dns-reply-flood defense source-verify
【相关命令】
· display anti-ddos zone configuration
dns-reply-flood detection threshold命令用来开启DNS reply泛洪攻击检测功能,并配置DNS reply泛洪攻击防范阈值。
undo dns-reply-flood detection threshold命令用来关闭DNS reply泛洪攻击检测功能。
【命令】
dns-reply-flood detection threshold { bit-based value | packet-based value}
undo dns-reply-flood detection threshold
【缺省情况】
DNS reply泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示DNS reply泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示DNS reply泛洪攻击的统计方式为按照报文个数进行统计。
value:表示DNS reply泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启DNS reply泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行DNS reply泛洪攻击检测。当它检测到向某IP地址发送DNS reply报文的速率持续超过了配置的阈值时,即认为该IP地址受到了DNS reply泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备:会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启DNS reply泛洪攻击检测功能,并配置DNS reply泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] dns-reply-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
fingerprint命令用来创建一条指纹防护策略。
undo fingerprint命令用来删除指定的指纹防护策略。
【命令】
fingerprint policy-id protocol { icmp | other | tcp | udp } { offset offset-value length length-value [ content content ] } &<1-3> threshold threshold-value action { bandwidth-limit | drop | watch }
undo fingerprint id
【缺省情况】
不存在指纹防护策略。
【视图】
指纹防护策略组视图
【缺省用户角色】
network-admin
【参数】
id:指纹防护策略ID,取值范围为0~31。
protocol { icmp | other | tcp | udp }:表示报文指纹的协议类型,包括ICMP、其他、TCP、UDP类型。
offset offset-value:表示报文指纹的偏移量,取值范围为1~254。
length length-value :表示报文指纹的长度,取值范围为1~4,单位为字节。
content content:表示报文指纹的内容,1~4个字节,每个字节由2个十六进制数表示。
&<1-3>:表示前面的参数最多可以输入三次。即每条指纹防护策略最多可以指定3段匹配内容,每段均可包括指纹的偏移量、长度和内容。
threshold threshold-value:配置指纹防护防范阈值。其中,threshold-value为每秒匹配上指定指纹的报文数目,取值范围1~10000000,单位为pps。
action:配置匹配指纹特征的报文速率超过阈值时的处理行为。
bandwidth-limit:表示限制报文速率,即匹配指纹特征的报文速率超过阈值时,后续匹配该指纹的流量将被限制为阈值速率,每秒内超出阈值的流量将会被丢弃。
drop:表示丢弃报文,即匹配指纹特征的报文速率超过阈值时,后续匹配该指纹的流量将会被丢弃。
watch:表示通过查看日志信息观察报文,即匹配指纹特征的报文速率超过阈值时,不会对匹配该指纹的后续流量采取任何处理行为。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
一条指纹防护策略中,定义了报文的特征以及触发指纹防护的阈值和设备的处理行为。对于匹配上指纹特征的报文,若报文速率超过指纹防护防范阈值,则采取相应的处理行为。
若一条指纹防护策略中,同时指定多段匹配内容,则报文必须同时匹配多段内容,才算匹配上指纹。
配置指纹防护的处理行为时,无论指定哪种动作,设备均会发送日志信息。
报文指纹中不支持配置IP option或IPv6扩展头的匹配。
每个指纹防护策略组下面最多可以配置32条指纹防护策略,对于TCP、UDP、ICMP及其他协议类型各限制为8条。
在同一条指纹防护策略中,不允许配置多段内容重复的指纹。
【举例】
# 配置IPv4类型ID为10的指纹防护策略组,并进入指纹防护策略组视图,之后配置ID为5的指纹防护策略:当匹配上指定指纹特征的报文速率超过指纹防护防范阈值2000时,采取的指纹防护的处理行为为观察。
<Sysname> system-view
[Sysname] fingerprint-group ip 10
[Sysname-fingerprint-group-ip-10] fingerprint 5 protocol tcp offset 40 length 4 content 01ab3f0c threshold 2000 action watch
【相关命令】
· bandwidth-limit destination-ip max-rate
fingerprint-group命令用来创建一个指纹防护策略组,并进入指纹防护策略组视图。如果指定的指纹防护策略组已经存在,则直接进入指纹防护策略组视图。
undo fingerprint-group命令用来删除指定的指纹防护策略组。
【命令】
fingerprint-group { ip | ipv6 } group-id
undo fingerprint-group { ip | ipv6 } group-id
【缺省情况】
不存在指纹防护策略组。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip:指纹防护策略组的类型为IPv4。
ipv6:指纹防护策略组的类型为IPv6。
group-id:指纹防护策略组ID,取值范围为0~31。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
设备最多允许配置64个指纹防护策略组,IPv4和IPv6各32个。
【举例】
# 配置IPv4类型ID为10的指纹防护策略组,并进入指纹防护策略组视图。
<Sysname> system-view
[Sysname] fingerprint-group ip 10
[Sysname-fingerprint-group-ip-10]
【相关命令】
· fingerprint
· fingerprint-group { ip | ipv6 }
· display anti-ddos zone configuration
fingerprint-group apply命令用来引用一个指纹防护策略组。
undo fingerprint-group apply命令用来删除对指定指纹防护策略组的引用。
【命令】
fingerprint-group apply { ip | ipv6 } group-id
undo fingerprint-group apply { ip | ipv6 }
【缺省情况】
未引用指纹防护策略组。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
ip:指纹防护策略组的类型为IPv4。
ipv6:指纹防护策略组的类型为IPv6。
group-id:指纹防护策略组ID,取值范围为0~31。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
一个DDoS防护对象只能引用一个IPv4指纹防护策略组和IPv6指纹防护策略组。
【举例】
# 在ID为3的DDoS防护对象视图下,引用ID为10的指纹防护策略组。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-ddos-zone-3] fingerprint-group apply ip 10
【相关命令】
· fingerprint-group { ip | ipv6 }
http-flood defense source-verify命令用来开启HTTP泛洪攻击的源验证功能。
undo http-flood defense source-verify命令用来关闭HTTP泛洪攻击的源验证功能。
【命令】
http-flood defense source-verify
undo http-flood defense source-verify
【缺省情况】
HTTP泛洪攻击的源验证功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
该功能用来保护内部网络的服务器免受外部网络中非法客户端发起的HTTP泛洪攻击。若在DDoS攻击清洗设备上开启了HTTP泛洪攻击的源验证功能,则设备会对发往受攻击IP地址的HTTP GET请求报文进行源地址验证,通过源地址验证的客户端将被加入信任IP地址列表中,之后设备将放行来自该IP地址的HTTP GET请求报文。未通过源地址验证的HTTP GET请求报文会被丢弃。
【举例】
# 在DDoS攻击防护对象视图下,开启HTTP泛洪攻击的源验证功能。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] http-flood defense source-verify
【相关命令】
· display anti-ddos zone configuration
http-flood detection threshold命令用来开启HTTP泛洪攻击检测功能,并配置HTTP泛洪攻击防范阈值。
undo http-flood detection threshold命令用来关闭HTTP泛洪攻击检测功能。
【命令】
http-flood detection threshold { bit-based value | packet-based value}
undo http-flood detection threshold
【缺省情况】
HTTP泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示HTTP泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示HTTP泛洪攻击的统计方式为按照报文个数进行统计。
value:表示HTTP泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启HTTP泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行HTTP泛洪攻击检测。当它检测到向某IP地址发送HTTP报文的速率持续超过了配置的阈值时,即认为该IP地址受到了HTTP泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备:会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启HTTP泛洪攻击检测功能,并配置HTTP泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] http-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
https-flood detection threshold命令用来开启HTTPS泛洪攻击检测功能,并配置HTTPS 泛洪攻击防范阈值。
undo https-flood detection threshold命令用来关闭HTTPS泛洪攻击检测功能。
【命令】
https-flood detection threshold { bit-based | packet-based } value
undo https-flood detection threshold
【缺省情况】
HTTPS泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示HTTPS泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示HTTPS泛洪攻击的统计方式为按照报文个数进行统计。
value:表示HTTPS泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启HTTPS泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行HTTPS泛洪攻击检测。
当设备检测到向某IP地址发送HTTPS报文的速率超过了配置的阈值时,即认为该IP地址受到了HTTPS泛洪攻击,然后启动相应的防范措施:
对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启HTTPS泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] https-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
icmp-flood detection threshold命令用来开启ICMP泛洪攻击检测功能,并配置ICMP泛洪攻击防范阈值。
undo icmp-flood detection threshold命令用来关闭ICMP泛洪攻击检测功能。
【命令】
icmp-flood detection threshold { bit-based value | packet-based value}
undo icmp-flood detection threshold
【缺省情况】
ICMP泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示ICMP泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示ICMP泛洪攻击的统计方式为按照报文个数进行统计。
value:表示ICMP泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启ICMP泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行ICMP泛洪攻击检测。当它检测到向某IP地址发送ICMP报文的速率持续超过了配置的阈值时,即认为该IP地址受到了ICMP泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启ICMP泛洪攻击检测功能,并配置ICMP泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] icmp-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
icmp-frag-flood detection threshold命令用来开启ICMP分片泛洪攻击检测功能,并配置ICMP分片泛洪攻击防范阈值。
undo icmp-frag-flood detection threshold命令用来关闭ICMP分片泛洪攻击检测功能。
【命令】
icmp-frag-flood detection threshold { bit-based | packet-based } value
undo icmp-frag-flood detection threshold
【缺省情况】
ICMP分片泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示ICMP分片泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示ICMP分片泛洪攻击的统计方式为按照报文个数进行统计。
value:表示ICMP分片泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启ICMP分片泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行ICMP分片泛洪攻击检测。
当设备检测到向某IP地址发送ICMP分片报文的速率超过了配置的阈值时,即认为该IP地址受到了ICMP分片泛洪攻击,启动相应的防范措施:
· 对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
· 对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启ICMP分片泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] icmp-frag-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
ip-range命令用来添加DDoS攻击防护对象的IPv4地址范围。
undo ip-range命令用来删除DDoS攻击防护对象的IPv4地址范围。
【命令】
ip-range start-ip end-ip
undo ip-range start-ip end-ip
【缺省情况】
未配置DDoS攻击防护对象的IPv4地址范围。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
start-ip:表示IPv4地址范围的起始IPv4地址。
end-ip:表示IPv4地址范围的结束IPv4地址。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
设备支持对30000个IPv4地址进行DDoS攻击防护。每个防护对象最多允许配置128段IPv4地址范围,每个地址段包含的所有IP都应该属于同一个B类地址范围,所有防护对象下的地址最多属于512个B类地址范围。各个DDoS攻击防护对象下的IPv4地址范围不允许重叠。
缺省DDoS攻击防护对象default不支持配置本命令。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,添加DDoS攻击防护对象的IPv4地址范围为192.168.30.10~192.168.30.120。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] ip-range 192.168.30.10 192.168.30.120
【相关命令】
· display anti-ddos zone configuration
ipv6-range命令用来添加DDoS攻击防护对象的IPv6地址范围。
undo ipv6-range命令用来删除DDoS攻击防护对象的IPv6地址范围。
【命令】
ipv6-range start-ip end-ip
undo ipv6-range start-ip end-ip
【缺省情况】
未配置DDoS攻击防护对象的IPv6地址范围。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
start-ip:表示IPv6地址范围的起始IPv6地址。
end-ip:表示IPv6地址范围的结束IPv6地址。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
每个防护对象最多允许配置4段IPv6地址范围,每段最多允许配置65535个IPv6地址。各个DDoS攻击防护对象下的IPv6地址范围不允许重叠。
缺省DDoS攻击防护对象default不支持配置本命令。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,添加DDoS攻击防护对象的IPv6地址范围为192:168:30::10~192:168:30::120。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] ipv6-range 192:168:30::10 192:168:30::120
【相关命令】
· display anti-ddos zone configuration
name命令用来配置DDoS攻击防护对象的名称。
【命令】
name zone-name
【缺省情况】
不存在DDoS攻击防护对象的名称。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
zone-name:DDoS攻击防护对象名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。名称不能为“default”。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
缺省DDoS攻击防护对象default的名称为default,且不支持修改。
多次执行本命令,最后一次执行的命令生效。
设备仅支持修改防护对象名称,不支持删除防护对象名称。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,配置DDoS攻击防护对象的名称为test。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] name test
【相关命令】
· anti-ddos zone
· display anti-ddos zone configuration
reset anti-ddos flow-agent statistics命令用来清空所有流量统计报文输出器的统计信息。
【命令】
reset anti-ddos flow-agent statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清空流量统计报文输出器统计信息。
<Sysname> reset anti-ddos flow-agent statistics
reset anti-ddos flow-forward statistics命令用来清空流统计报文的转发统计信息。
【命令】
reset anti-ddos flow-forward statistics [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:清空指定成员设备上的flow转发的的统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示清空所有成员设备上的flow转发的的统计信息。
【举例】
# 清空flow转发的统计信息。
<Sysname> reset anti-ddos flow-forward statistics
rst-flood detection threshold命令用来开启RST泛洪攻击检测功能,并配置RST泛洪攻击防范阈值。
undo rst-flood detection threshold命令用来关闭RST泛洪攻击检测功能。
【命令】
rst-flood detection threshold { bit-based value | packet-based value}
undo rst-flood detection threshold
【缺省情况】
RST泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示RST泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示RST泛洪攻击的统计方式为按照报文个数进行统计。
value:表示RST泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启RST泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行RST泛洪攻击检测。当它检测到向某IP地址发送RST报文的速率持续超过了配置的阈值时,即认为该IP地址受到了RST泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启RST泛洪攻击检测功能,并配置RST泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] rst-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
sip-flood defense source-verify命令用来开启SIP泛洪攻击的源验证功能。
undo sip-flood defense source-verify命令用来关闭SIP泛洪攻击的源验证功能。
【命令】
sip-flood defense source-verify
undo sip-flood defense source-verify
【缺省情况】
SIP泛洪攻击的源验证功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
该功能用来保护内部网络的服务器免受外部网络中非法客户端发起的SIP泛洪攻击。若在DDoS攻击清洗设备上开启了SIP泛洪攻击的源验证功能,则设备会对发往受攻击IP地址的SIP报文进行源地址验证,通过源地址验证的客户端将被加入信任IP地址列表中,之后设备将放行来自该IP地址的SIP报文。未通过源地址验证的SIP报文会被丢弃。
【举例】
# 在DDoS攻击防护对象视图下,开启SIP泛洪攻击的源验证功能。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] sip-flood defense source-verify
【相关命令】
· display anti-ddos zone configuration
sip-flood detection threshold命令用来开启SIP泛洪攻击检测功能,并配置SIP泛洪攻击防范阈值。
undo sip-flood detection threshold命令用来关闭SIP泛洪攻击检测功能。
【命令】
sip-flood detection threshold { bit-based value | packet-based value}
undo sip-flood detection threshold
【缺省情况】
SIP泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示SIP泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示SIP泛洪攻击的统计方式为按照报文个数进行统计。
value:表示SIP泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启SIP泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行SIP泛洪攻击检测。当它检测到向某IP地址发送SIP报文的速率持续超过了配置的阈值时,即认为该IP地址受到了SIP泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启SIP泛洪攻击检测功能,并配置SIP泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] sip-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
syn-ack-flood detection threshold命令用来开启SYN-ACK泛洪攻击检测功能,并配置SYN-ACK泛洪攻击防范阈值。
undo syn-ack-flood detection threshold命令用来关闭SYN-ACK泛洪攻击检测功能。
【命令】
syn-ack-flood detection threshold { bit-based value | packet-based value}
undo syn-ack-flood detection threshold
【缺省情况】
SYN-ACK泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示SYN-ACK泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示SYN-ACK泛洪攻击的统计方式为按照报文个数进行统计。
value:表示SYN-ACK泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启SYN-ACK泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行SYN-ACK泛洪攻击检测。当它检测到向某IP地址发送SYN-ACK报文的速率持续超过了配置的阈值时,即认为该IP地址受到了SYN-ACK泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启SYN-ACK泛洪攻击检测功能,并配置SYN-ACK泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zoneid--3] syn-ack-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
syn-flood defense source-verify命令用来开启SYN泛洪攻击的源验证功能。
undo syn-flood defense source-verify命令用来关闭SYN泛洪攻击的源验证功能。
【命令】
syn-flood defense source-verify
undo syn-flood defense source-verify
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【缺省情况】
SYN泛洪攻击的源验证功能处于关闭状态。
【使用指导】
该命令只在DDoS攻击清洗设备上支持。
该功能用来保护内部网络的服务器免受外部网络中非法客户端发起的SYN泛洪攻击。若在DDoS攻击清洗设备上开启了SYN泛洪攻击的源验证功能,则设备会对发往受攻击IP地址的SYN报文进行源地址验证,通过源地址验证的客户端将被加入信任IP地址列表中,之后设备将放行来自该IP地址的SYN 报文。未通过源地址验证的SYN报文会被丢弃。
【举例】
# 在DDoS攻击防护对象视图下,开启SYN泛洪攻击的源验证功能。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] syn-flood defense source-verify
【相关命令】
· display anti-ddos zone configuration
syn-flood detection threshold命令用来开启SYN泛洪攻击检测功能,并配置SYN泛洪攻击防范阈值。
undo syn-flood detection threshold命令用来关闭SYN泛洪攻击检测功能。
【命令】
syn-flood detection threshold { bit-based value | packet-based value}
undo syn-flood detection threshold
【缺省情况】
SYN泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示SYN泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示SYN泛洪攻击的统计方式为按照报文个数进行统计。
value:表示SYN泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启SYN泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行SYN泛洪攻击检测。当它检测到向某IP地址发送SYN报文的速率持续超过了配置的阈值时,即认为该IP地址受到了SYN泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启SYN泛洪攻击检测功能,并配置SYN泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] syn-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
tcp-frag-flood detection threshold命令用来开启TCP分片泛洪攻击检测功能,并配置TCP分片泛洪攻击防范阈值。
undo tcp-frag-flood detection threshold 命令用来关闭TCP分片泛洪攻击检测功能。
【命令】
tcp-frag-flood detection threshold { bit-based | packet-based } value
undo tcp-frag-flood detection threshold
【缺省情况】
TCP分片泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示TCP分片泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示TCP分片泛洪攻击的统计方式为按照报文个数进行统计。
value:表示TCP分片泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启TCP分片泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行TCP分片泛洪攻击检测。
当设备检测到向某IP地址发送TCP分片报文的速率超过了配置的阈值时,即认为该IP地址受到了TCP分片泛洪攻击,启动相应的防范措施:
· 对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
· 对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启TCP分片泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] tcp-frag-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
threshold-learning enable命令用来开启DDoS攻击防护对象的防范阈值学习功能。
undo threshold-learning enable命令用来关闭DDoS攻击防护对象的防范阈值学习功能。
【命令】
threshold-learning enable
undo threshold-learning enable
【缺省情况】
DDoS攻击防护对象的防范阈值学习功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
防范阈值学习功能根据当前网络的实际情况自动计算针对不同DDoS攻击类型的建议防范阈值。计算出的防范阈值比用户凭经验配置的防范阈值更符合当前网络环境。建议用户在不了解实际网络流量大小的情况下开启本功能。
在非缺省DDoS攻击防护对象视图下开启本功能后,设备以五分钟为周期统计访问DDoS攻击防护对象内IP地址的流量的基线值,并将统计值上报给DDoS管理中心,由DDoS管理中心进行数据分析、防范阈值计算和策略下发。
目前仅支持开启非缺省DDoS攻击防护对象的防范阈值学习功能。
【举例】
# 在ID为6的DDoS攻击防护对象下开启防范阈值学习功能。
<Sysname> system-view
[Sysname] anti-ddos zone id 6
[Sysname-anti-ddos-zone-id-6] threshold-learning enable
【相关命令】
· display anti-ddos zone configuration
udp-flood detection threshold命令用来开启UDP泛洪攻击检测功能,并配置UDP泛洪攻击防范阈值。
undo udp-flood detection threshold命令用来关闭UDP泛洪攻击检测功能。
【命令】
udp-flood detection threshold { bit-based value | packet-based value}
undo udp-flood detection threshold
【缺省情况】
DNS query泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示UDP泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示UDP flood的统计方式为按照报文个数进行统计。
value:表示UDP泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启UDP泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行UDP泛洪攻击检测。当它检测到向某IP地址发送UDP报文的速率持续超过了配置的阈值时,即认为该IP地址受到了UDP泛洪攻击,启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直连部署的DDoS攻击清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启UDP泛洪攻击检测功能,并配置UDP泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] udp-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
udp-frag-flood detection threshold命令用来开启UDP分片泛洪攻击检测功能,并配置UDP分片泛洪攻击防范阈值。
undo upd-frag-flood detection threshold 命令用来关闭UDP分片泛洪攻击检测功能。
【命令】
udp-frag-flood detection threshold { bit-based | packet-based } value
undo udp-frag-flood detection threshold
【缺省情况】
UDP分片泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示UDP分片泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示UDP分片泛洪攻击的统计方式为按照报文个数进行统计。
value:表示UDP分片泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启UDP分片泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行UDP分片泛洪攻击检测。
当设备检测到向某IP地址发送UDP分片报文的速率超过了配置的阈值时,即认为该IP地址受到了UDP分片泛洪攻击,启动相应的防范措施:
· 对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
· 对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启UDP分片 泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] udp-frag-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
user-defined attack-type detection threshold命令用来开启指定自定义DDoS攻击类型的攻击检测功能,并配置指定自定义DDoS攻击类型的攻击防范阈值。
undo user-defined attack-type detection threshold命令用来关闭自定义DDoS攻击类型的攻击检测功能。
【命令】
user-defined attack-type id id detection threshold { bit-based | packet-based } value
undo user-defined attack-type [ id id ] detection threshold
【缺省情况】
自定义DDoS攻击类型的攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。
bit-based:表示指定自定义DDoS攻击类型的泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示指定自定义DDoS攻击类型的泛洪攻击的统计方式为按照报文个数进行统计。
value:表示指定自定义DDoS攻击类型的泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启指定自定义DDoS攻击类型的泛洪攻击检测功能后,设备会对收到的指定DDoS防护对象的流量进行指定自定义DDoS攻击类型的泛洪攻击检测。
当设备检测到向某IP地址发送指定自定义DDoS攻击类型的报文的速率超过了配置的阈值时,即认为该IP地址受到了指定自定义DDoS攻击类型的泛洪攻击,启动相应的防范措施:
· 对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
· 对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启ID为2的自定义DDoS攻击类型的泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] user-defined attack-type id 2 threshold packet-based 20
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
