11-攻击检测与防范命令
本章节下载: 11-攻击检测与防范命令 (199.65 KB)
1.1.1 attack-defense login block-timeout
1.1.2 attack-defense login enable
1.1.3 attack-defense login max-attempt
1.1.4 attack-defense login reauthentication-delay
attack-defense login block-timeout命令用来配置Login用户登录失败后阻断时长。
undo attack-defense login block-timeout命令用来恢复缺省情况。
【命令】
attack-defense login block-timeout minutes
undo attack-defense login block-timeout
【缺省情况】
Login用户登录失败后默认阻断时长为60分钟。
系统视图
network-admin
【参数】
minutes:设备管理用户登录失败后阻断时长,取值范围为1~2880,单位为分钟。
【使用指导】
Login用户登录失败后,若用户的IP地址被加入黑名单,则设备将会丢弃来自该IP地址的报文,使得该用户不能在指定的阻断时长内进行登录操作。
# 配置Login用户登录失败后阻断时长为5分钟。
<Sysname> system-view
[Sysname] attack-defense login block-timeout 5
【相关命令】
· attack-defense login enable
· blacklist global enable
attack-defense login enable命令用来开启Login用户攻击防范功能。
undo attack-defense login enable命令用来关闭Login用户攻击防范功能。
【命令】
attack-defense login enable
undo attack-defense login enable
【缺省情况】
Login用户攻击防范功能处于关闭状态。
系统视图
network-admin
【使用指导】
开启Login用户攻击防范功能后,如果用户登录设备连续失败的次数达到指定次数,则此用户IP将被加入黑名单,并在指定时间内不能进行登录。
将Login用户加入黑名单进行阻断的功能必须在全局黑名单过滤功能处于开启状态时才能生效。
# 开启Login用户攻击防范功能。
<Sysname> system-view
[Sysname] attack-defense login enable
【相关命令】
· blacklist global enable
attack-defense login max-attempt命令用来配置Login用户登录失败的最大次数。
undo attack-defense login max-attempt命令用来恢复缺省情况。
【命令】
attack-defense login max-attempt max-attempt
undo attack-defense login max-attempt
【缺省情况】
Login用户登录失败的最大次数为3次。
系统视图
network-admin
【参数】
max-attempt:用户登录连续失败的最大次数,取值为1~60。
【使用指导】
Login用户攻击防范功能处于开启状态时,如果用户登录设备连续失败的次数达到指定次数,则此用户IP地址将被加入黑名单,在全局黑名单功能开启的情况下,来自该IP地址的用户报文将被阻断指定的时长。
若用户成功登录或设备重启,用户登录失败次数会重新从零计数。
# 配置Login用户登录失败的最大次数为5次。
<Sysname> system-view
[Sysname] attack-defense login max-attempt 5
【相关命令】
· attack-defense login enable
attack-defense login reauthentication-delay命令用来配置Login用户登录失败后重新进行认证的等待时长。
undo attack-defense login reauthentication-delay命令用来恢复缺省情况。
attack-defense login reauthentication-delay seconds
undo attack-defense login reauthentication-delay
【缺省情况】
Login用户登录失败后重新进行认证不需要等待。
系统视图
network-admin
【参数】
seconds:设备管理用户登录失败后重新进行认证的等待时长,取值范围为4~60,单位为秒。
【使用指导】
Login用户登录失败后,若设备上配置了重新进行认证的等待时长,则系统将会延迟一定的时长之后再允许用户进行认证,可以避免设备受到字典式攻击。
Login用户延迟认证功能与Login用户攻击防范功能无关,只要配置了延迟认证等待时间,即可生效。
# 配置Login用户登录失败后重新进行认证的等待时长为5秒钟。
[Sysname] attack-defense login reauthentication-delay 5
blacklist global enable命令用来开启全局黑名单过滤功能。
undo blacklist global enable命令用来关闭全局黑名单过滤功能。
【命令】
blacklist global enable
undo blacklist global enable
【缺省情况】
全局黑名单过滤功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
无
【使用指导】
使能全局黑名单过滤功能表示开启所有接口上的黑名单过滤功能。
【举例】
# 开启全局黑名单过滤功能。
<Sysname> system-view
[Sysname] blacklist global enable
【相关命令】
· blacklist ip
blacklist ip命令用来添加IPv4黑名单表项。
undo blacklist ip命令用来删除指定的IPv4黑名单表项。
【命令】
blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ] [ timeout minutes ]
undo blacklist ip source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ]
【缺省情况】
不存在IPv4黑名单表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
source-ip-address:黑名单的IPv4地址,用于匹配报文的源IP地址。
vpn-instance vpn-instance-name:黑名单所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该黑名单属于公网。
ds-lite-peer ds-lite-peer-address:黑名单所属的DS-Lite隧道对端地址。其中,ds-lite-peer-address表示黑名单的IPv4地址所属的DS-Lite隧道B4端IPv6地址。
timeout minutes:黑名单表项的老化时间。其中,minutes表示老化时间,取值范围为1~1000,单位为分钟。若未指定本参数,则表示该黑名单表项永不老化,除非用户手动将其删除。
【使用指导】
通过执行undo blacklist ip命令可以删除用户手工添加的黑名单表项,动态生成的黑名单表项需通过执行reset blacklist ip命令删除。指定了老化时间的黑名单表项不会被保存在配置文件中,且保存配置重启后会被删除。可通过执行display blacklist ip命令查看当前所有生效的用户配置的IPv4黑名单表项。
【举例】
# 将IP地址192.168.1.2加入黑名单,指定其老化时间为20分钟。
<Sysname> system-view
[Sysname] blacklist ip 192.168.1.2 timeout 20
【相关命令】
· blacklist global enable
· display blacklist ip
blacklist ipv6命令用来添加IPv6黑名单表项。
undo blacklist ipv6命令用来删除指定的IPv6黑名单表项。
【命令】
blacklist ipv6 source-ipv6-address [ vpn-instance vpn-instance-name ] [ timeout minutes ]
undo blacklist ipv6 source-ipv6-address [ vpn-instance vpn-instance-name ]
【缺省情况】
不存在IPv6黑名单表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
source-ipv6-address:黑名单的IPv6地址,用于匹配报文的源IP地址。
vpn-instance vpn-instance-name:黑名单所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该黑名单属于公网。
timeout minutes:黑名单表项的老化时间。其中,minutes表示老化时间,取值范围为1~1000,单位为分钟。若未指定本参数,则表示该黑名单表项永不老化,除非用户手动将其删除。
【使用指导】
通过执行undo blacklist ipv6命令可以删除用户手工添加的黑名单表项,动态生成的黑名单表项需通过执行reset blacklist ipv6命令删除。指定了老化时间的黑名单表项不会被保存在配置文件中,且保存配置重启后会被删除。可通过执行display blacklist ipv6命令查看当前所有生效的用户配置的IPv6黑名单表项。
【举例】
# 将IPv6地址2012::12:25加入黑名单,指定其老化时间为10分钟。
<Sysname> system-view
[Sysname] blacklist ipv6 2012::12:25 timeout 10
【相关命令】
· blacklist global enable
· blacklist ip
blacklist logging enable命令用来使能黑名单日志功能。
undo blacklist logging enable命令用来关闭黑名单日志功能。
【命令】
blacklist logging enable
undo blacklist logging enable
黑名单日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启黑名单日志功能后,当增加黑名单、删除黑名单、扫描攻击防范动态添加黑名单、黑名单老化被删除时会有相应的日志输出,日志的内容主要包括黑名单的源IP地址、DS-Lite隧道对端地址、VPN实例名称、添加或删除的原因以及老化时间等。
【举例】
# 开启黑名单日志功能,并配置一条黑名单后,输出如下日志信息。
<Sysname> system-view
[Sysname] blacklist logging enable
[Sysname] blacklist ip 192.168.100.12
%Mar 13 03:47:49:736 2013 Sysname BLS/5/BLS_ENTRY_ADD:SrcIPAddr(1003)=192.168.100.12; DSLiteTunnelPeer(1040)=--; RcvVPNInstance(1041)=--; TTL(1051)=; Reason(1052)=Configuration.
# 删除一条黑名单后,输出如下日志信息。
[Sysname] undo blacklist ip 192.168.100.12
%Mar 13 03:49:52:737 2013 Sysname BLS/5/BLS_ENTRY_DEL:SrcIPAddr(1003)=192.168.100.12; DSLiteTunnelPeer(1040)=--; RcvVPNInstance(1041)=--; Reason(1052)=Configuration.
【相关命令】
· blacklist ip
display blacklist ip命令用来显示用户配置的IPv4黑名单表项。
【命令】
display blacklist ip [ source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ] | count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
source-ip-address:显示指定IPv4地址的黑名单表项。
vpn-instance vpn-instance-name:显示指定VPN实例的IPv4黑名单表项。其中vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。
ds-lite-peer ds-lite-peer-address:显示指定DS-Lite隧道对端地址的IPv4黑名单表项。其中,ds-lite-peer-address表示黑名单的IPv4地址所属的DS-Lite隧道B4端IPv6地址。
count:显示符合指定条件的IPv4黑名单个数。
【使用指导】
若未指定任何参数,则表示显示所有用户配置的IPv4黑名单表项。
【举例】
# 显示所有用户配置的IPv4黑名单表项的信息。
<Sysname> display blacklist ip
IP address VPN instance DS-Lite tunnel peer Type TTL(sec)
192.168.11.5 -- -- Manual 10
201.55.7.45 -- 2013::1 Manual Never
# 显示所有用户配置的IPv4黑名单表项的个数。
<Sysname> display blacklist ip count
Totally 3 blacklist entries.
表1-1 display blacklist ip命令显示信息描述表
字段 |
描述 |
IP address |
黑名单表项的IP地址 |
VPN instance |
VPN实例名称,属于公网时显示为“--” |
DS-Lite tunnel peer |
DS-Lite隧道对端地址 。DS-Lite组网下,若本设备为AFTR,此列表示报文来自具体的哪个B4,如果不在DS-Lite组网或本设备不为AFTR,则该字段无意义,显示为“--” |
Type |
黑名单表项的添加方式 |
TTL(sec) |
黑名单表项的剩余老化时间,单位为秒。若未指定老化时间,则显示“Never” |
Totally 3 blacklist entries. |
黑名单表项数目 |
【相关命令】
· blacklist ip
display blacklist ipv6命令用来显示用户配置的IPv6黑名单表项。
【命令】
display blacklist ipv6 [ source-ipv6-address [ vpn-instance vpn-instance-name ] | count ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
source-ipv6-address:显示指定IPv6地址的黑名单表项。
vpn-instance vpn-instance-name:显示指定VPN实例的IPv6黑名单表项。其中vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。
count:仅显示符合指定条件的IPv6黑名单个数。
【使用指导】
若未指定任何参数,则表示显示所有用户配置的IPv6黑名单表项。
【举例】
# 显示所有用户配置的IPv6黑名单表项的信息。
<Sysname> display blacklist ipv6
IPv6 address VPN instance Type TTL(sec)
1::4 -- Manual Never
2013:fe07:221a:4011: -- Manual 123
2013:fe07:221a:4011
# 显示所有用户配置的IPv6黑名单表项的个数。
<Sysname> display blacklist ipv6 count
Totally 3 blacklist entries.
表1-2 display blacklist ipv6命令显示信息描述表
字段 |
描述 |
IPv6 address |
黑名单表项的IPv6地址 |
VPN instance |
VPN实例名称,属于公网时显示为“--” |
Type |
黑名单表项的添加方式 |
TTL(sec) |
黑名单表项的剩余老化时间,单位为秒。若未指定老化时间,则显示“Never” |
Totally 3 blacklist entries. |
黑名单表项数目 |
【相关命令】
· blacklist ipv6
reset blacklist ip命令用来清除IPv4动态黑名单表项。
【命令】
reset blacklist ip { source-ip-address [ vpn-instance vpn-instance-name ] [ ds-lite-peer ds-lite-peer-address ] | all }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
source-ip-address:清除指定IPv4地址的动态黑名单表项。其中source-ip-address表示黑名单表项的IPv4地址。
vpn-instance vpn-instance-name:清除指定VPN实例的动态黑名单表项。其中vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示清除公网中的指定动态黑名单表项。
ds-lite-peer ds-lite-peer-address:清除黑名单所属的DS-Lite隧道对端地址。其中,ds-lite-peer-address表示黑名单的IPv4地址所属的DS-Lite隧道B4端IPv6地址。若未指定本参数,则表示清除公网中的指定动态黑名单表项。
all:表示清除所有动态IPv4的黑名单表项。
【使用指导】
该命令仅用来清除动态生成的IPv4的黑名单表项。用户添加的黑名单表项需要通过undo blacklist ip命令来删除。
【举例】
# 清除所有IPv4动态黑名单表项的信息。
<Sysname> reset blacklist ip all
【相关命令】
· display blacklist ip
reset blacklist ipv6命令用来清除IPv6动态黑名单表项。
【命令】
reset blacklist ipv6 { source-ipv6-address [ vpn-instance vpn-instance-name ] | all }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
source-ipv6-address:清除指定IPv6地址的动态黑名单表项。其中source-ip-address表示黑名单表项的IPv6地址。
vpn-instance vpn-instance-name:清除指定VPN实例的动态黑名单表项。其中vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示清除公网中的指定动态黑名单表项。
all:表示清除所有动态IPv6的黑名单表项。
【使用指导】
该命令仅用来清除动态生成的IPv6的黑名单表项。用户添加的黑名单表项需要通过undo blacklist ipv6命令来删除。
【举例】
# 清除所有IPv6动态黑名单表项的信息。
<Sysname> reset blacklist ipv6 all
【相关命令】
· display blacklist ipv6
reset blacklist statistics命令用来清除黑名单表项的统计信息。
【命令】
reset blacklist statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【使用指导】
执行本命令后,将清空所有黑名单表项的丢包统计信息。
【举例】
# 清除所有黑名单表项的丢包统计信息。
<Sysname> reset blacklist statistics
【相关命令】
· display blacklist ip
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!