- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
12-基于IP的攻击防御命令
本章节下载 (320.51 KB)
目 录
1.1.2 tcp check-state interval
1.2.1 display ipv6 tcp anti-syn-flood flow-based entry
1.2.2 display ipv6 tcp anti-syn-flood flow-based entry count
1.2.3 display tcp anti-syn-flood flow-based configuration
1.2.4 display tcp anti-syn-flood flow-based entry
1.2.5 display tcp anti-syn-flood flow-based entry count
1.2.6 reset ipv6 tcp anti-syn-flood flow-based entry
1.2.7 reset ipv6 tcp anti-syn-flood flow-based statistics
1.2.8 reset tcp anti-syn-flood flow-based entry
1.2.9 reset tcp anti-syn-flood flow-based statistics
1.2.10 tcp anti-syn-flood flow-based duration
1.2.11 tcp anti-syn-flood flow-based enable
1.2.12 tcp anti-syn-flood flow-based threshold
1.2.13 tcp anti-syn-flood log enable
1.2.14 tcp anti-syn-flood flow-based check-interval
1.3.1 display ipv6 udp anti-flood flow-based entry
1.3.2 display ipv6 udp anti-flood flow-based entry count
1.3.3 display udp anti-flood flow-based configuration
1.3.4 display udp anti-flood flow-based entry
1.3.5 display udp anti-flood flow-based entry count
1.3.6 reset ipv6 udp anti-flood flow-based entry
1.3.7 reset ipv6 udp anti-flood flow-based statistics
1.3.8 reset udp anti-flood flow-based entry
1.3.9 reset udp anti-flood flow-based statistics
1.3.10 udp anti-flood flow-based duration
1.3.11 udp anti-flood flow-based enable
1.3.12 udp anti-flood flow-based threshold
1.3.13 udp anti-flood log enable
1.3.14 udp anti-flood flow-based check-interval
tcp anti-naptha enable命令用来开启防止Naptha攻击功能。
undo tcp anti-naptha enable命令用来关闭防止Naptha攻击功能。
【命令】
tcp anti-naptha enable
undo tcp anti-naptha enable
【缺省情况】
防止Naptha攻击功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启防止Naptha攻击功能后,设备周期性地对各状态的TCP连接数进行检测(检测周期由tcp check-state interval命令配置),当某状态的最大TCP连接数超过指定的最大连接数后(最大连接数由tcp state命令配置),将加速该状态下TCP连接的老化。
【举例】
# 开启防止Naptha攻击功能。
<Sysname> system-view
[Sysname] tcp anti-naptha enable
【相关命令】
· tcp check-state interval
· tcp state
tcp check-state interval命令用来配置TCP连接状态的检测周期。
undo tcp check-state interval命令用来恢复缺省情况。
【命令】
tcp check-state interval interval
undo tcp check-state interval
【缺省情况】
TCP连接状态的检测周期为30秒。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interval:TCP连接状态的检测周期,取值范围为1~60,单位为秒。
【使用指导】
设备周期性地检测处于CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五种状态的TCP连接数,如果检测到某个状态的TCP连接数目超过设定的最大连接数时,将加速该状态下TCP连接的老化。
开启防止Naptha攻击功能后,设备才会周期性地对各状态的TCP连接数进行检测。
【举例】
# 配置TCP连接状态的检测周期为40秒。
<Sysname> system-view
[Sysname] tcp check-state interval 40
【相关命令】
· tcp anti-naptha enable
· tcp state
tcp state命令用来配置TCP连接的某一状态下的最大TCP连接数。
undo tcp state命令用来恢复为缺省情况。
【命令】
tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit number
undo tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit
【缺省情况】
CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五种状态最大TCP连接数均为50。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
closing:TCP连接的CLOSING状态。
established:TCP连接的ESTABLISHED状态。
fin-wait-1:TCP连接的FIN_WAIT_1状态。
fin-wait-2:TCP连接的FIN_WAIT_2状态。
last-ack:TCP连接的LAST_ACK状态。
connection-limit number:最大TCP连接数,取值范围为0~500,取值为0时,表示不会加速该状态下TCP连接的老化。
【使用指导】
开启防止Naptha攻击功能后,各状态的最大TCP连接数限制才能生效,连接数目超过最大连接数后,将加速该状态下TCP连接的老化。
【举例】
# 配置ESTABLISHED状态下的最大TCP连接数为100。
<Sysname> system-view
[Sysname] tcp state established connection-limit 100
【相关命令】
· tcp anti-naptha enable
· tcp check-state interval
display ipv6 tcp anti-syn-flood flow-based entry命令用来显示基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
【命令】
display ipv6 tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * chassis chassis-number slot slot-number [ cpu cpu-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
all:显示所有基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息,包括公网和私网VPN。如果未指定本参数,则显示公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
vpn-instance vpn-instance-name显示指定VPN实例的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
destination-port port-number:显示指定攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。port-number表示端口号,取值范围为1~65535。如果未指定本参数,则显示所有目的端口号的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
source ipv6-address:显示指定攻击源IPv6地址的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。ipv6-address 表示IPv6地址。如果未指定本参数,则显示所有源IPv6地址的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
type { ip | mpls }:显示指定报文类型的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则显示所有报文类型的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。
cpu cpu-number:显示指定CPU上的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示基于流的TCP SYN Flood攻击防范的IPv6攻击表项的详细信息。如果未指定本参数,则显示基于流的TCP SYN Flood攻击防范的IPv6攻击表项的简要信息。
【举例】
# 显示chassis1 slot1上公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的简要信息。
<Sysname> display ipv6 tcp anti-syn-flood flow-based entry chassis 1 slot 1
SrcAddr DstPort VPN Type Packets dropped
2::1 179 -- IP 987654321
# 显示chassis1 slot1上公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的详细信息。
<Sysname> display ipv6 tcp anti-syn-flood flow-based entry chassis 1 slot 1 verbose
SrcAddr: 2::1
DstPort: 179
VPN: --
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/05/18 09:30:00
Packets dropped: 987654321
表1-1 display ipv6 tcp anti-syn-flood flow-based entry命令显示信息描述表
|
字段 |
描述 |
|
SrcAddr |
攻击源IPv6地址 |
|
DstPort |
攻击目的端口号 |
|
VPN |
VPN实例名称,如果是公网则显示-- |
|
Type |
报文类型:MPLS表示MPLS报文,IP表示IP报文 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not enough resources:资源不足 |
|
Aging time |
基于流的TCP SYN Flood攻击防范的攻击表项的剩余老化时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
|
Packets dropped |
基于流的TCP SYN Flood攻击防范丢弃的SYN报文数 |
【相关命令】
· reset ipv6 tcp anti-syn-flood flow-based entry
· reset ipv6 tcp anti-syn-flood flow-based statistics
display ipv6 tcp anti-syn-flood flow-based entry count命令用来显示基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数。
【命令】
display ipv6 tcp anti-syn-flood flow-based entry chassis chassis-number slot slot-number [ cpu cpu-number ] count
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。
cpu cpu-number:显示指定CPU上的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示chassis1 slot1上的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数。
<Sysname> display ipv6 tcp anti-syn-flood flow-based entry chassis 1 slot 1 count
Total flow-based entries: 2
表1-2 display ipv6 tcp anti-syn-flood flow-based entry count命令显示信息描述表
|
字段 |
描述 |
|
Total flow-based entries |
基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数 |
【相关命令】
· reset ipv6 tcp anti-syn-flood flow-based entry
· reset ipv6 tcp anti-syn-flood flow-based statistics
display tcp anti-syn-flood flow-based configuration命令用来显示基于流的TCP SYN Flood攻击防范功能的配置信息。
【命令】
display tcp anti-syn-flood flow-based configuration
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【举例】
# 显示基于流的TCP SYN Flood攻击防范功能的配置信息。
<Sysname> display tcp anti-syn-flood flow-based configuration
Flow-based TCP SYN flood attack prevention is enabled.
Check interval: 1 seconds
Duration: 5 minutes
Threshold: 100 packets per check interval
表1-3 display tcp anti-syn-flood flow-based configuration命令显示信息描述表
|
字段 |
描述 |
|
Flow-based TCP SYN flood attack prevention is enabled. |
基于流的TCP SYN Flood攻击防范功能处于开启状态 |
|
Flow-based TCP SYN flood attack prevention is disabled. |
基于流的TCP SYN Flood攻击防范功能处于关闭状态 |
|
Check interval |
基于流的TCP SYN Flood攻击防范功能的检测周期,单位为秒 |
|
Duration |
基于流的TCP SYN Flood攻击防范功能的持续时长,单位为分钟 |
|
Threshold |
基于流的TCP SYN Flood攻击防范功能的触发阈值 |
【相关命令】
· tcp anti-syn-flood flow-based enable
display tcp anti-syn-flood flow-based entry命令用来显示基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
【命令】
display tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * chassis chassis-number slot slot-number [ cpu cpu-number ] [ verbose ]
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
all:显示所有基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息,包括公网和私网VPN。如果未指定本参数,则显示公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
vpn-instance vpn-instance-name显示指定VPN实例的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
destination-port port-number:显示指定攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。port-number表示端口号,取值范围为1~65535。如果未指定本参数,则显示所有攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
source ipv4-address:显示指定攻击源IPv4地址的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。ipv4-address 表示IPv4地址。如果未指定本参数,则显示所有攻击源IPv4地址的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
type { ip | mpls }:显示指定报文类型的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则显示所有报文类型的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。
cpu cpu-number:显示指定CPU上的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示基于流的TCP SYN Flood攻击防范的IPv4攻击表项的详细信息。如果未指定本参数,则显示基于流的TCP SYN Flood攻击防范的IPv4攻击表项的简要信息。
【举例】
# 显示chassis1 slot1上公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的简要信息。
<Sysname> display tcp anti-syn-flood flow-based entry chassis 1 slot 1
SrcAddr DstPort VPN Type Packets dropped
1.1.1.1 179 -- MPLS 12345678
2.1.1.1 179 -- IP 87654321
# 显示chassis1 slot1上公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的详细信息。
<Sysname> display tcp anti-syn-flood flow-based entry chassis 1 slot 1 verbose
SrcAddr: 1.1.1.1
DstPort: 179
VPN: --
Type: MPLS
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/01/07 18:55:03
Packets dropped: 12345678
SrcAddr: 2.1.1.1
DstPort: 179
VPN: 1
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/05/18 09:30:00
Packets dropped: 87654321
表1-4 display tcp anti-syn-flood flow-based entry命令显示信息描述表
|
字段 |
描述 |
|
SrcAddr |
攻击报文的源IP地址 |
|
DstPort |
攻击目的端口号 |
|
VPN |
VPN实例名称,如果是公网则显示-- |
|
Type |
报文类型:MPLS表示MPLS报文,IP表示IP报文 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not enough resources:资源不足 |
|
Aging time |
基于流的TCP SYN Flood攻击防范的攻击表项的剩余老化时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
|
Packets dropped |
基于流的TCP SYN Flood攻击防范丢弃的SYN报文数 |
【相关命令】
· reset tcp anti-syn-flood flow-based entry
· reset tcp anti-syn-flood flow-based statistics
display tcp anti-syn-flood flow-based entry count命令用来显示基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数。
【命令】
display tcp anti-syn-flood flow-based entry chassis chassis-number slot slot-number [ cpu cpu-number ] count
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。
cpu cpu-number:显示指定CPU上的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示chassis1 slot1上基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数。
<Sysname> display tcp anti-syn-flood flow-based entry chassis 1 slot 1 count
Total flow-based entries: 2
表1-5 display tcp anti-syn-flood flow-based entry count命令显示信息描述表
|
字段 |
描述 |
|
Total flow-based entries |
基于流的TCP SYN Flood攻击防范的IPv4表项的个数 |
【相关命令】
· reset tcp anti-syn-flood flow-based entry
· reset tcp anti-syn-flood flow-based statistics
reset ipv6 tcp anti-syn-flood flow-based entry命令用来删除基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
【命令】
reset ipv6 tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
all:删除所有基于流的TCP SYN Flood攻击防范的IPv6攻击表项,包括公网和私网VPN。如果未指定本参数,则删除公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
vpn-instance vpn-instance-name:删除指定VPN实例的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则删除公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
destination-port port-number:删除指定攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。port-number表示端口号,取值范围为1~65535。如果未指定攻击目的端口号,则删除所有攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
source ipv6-address:删除指定攻击源IPv6地址的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。ipv6-address表示IPv6地址。如果未指定攻击源IPv6地址,则删除所有攻击源IPv6地址的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
type { ip | mpls }:删除指定报文类型的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则删除所有报文类型的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
cpu cpu-number:删除指定CPU的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
【举例】
# 删除公网的攻击源IPv6地址为2000::1,攻击目的端口号为200的基于流的TCP SYN Flood攻击防范的IPv6表项。
<Sysname> reset ipv6 tcp anti-syn-flood flow-based entry destination-port 200 source 2000::1
【相关命令】
· display ipv6 tcp anti-syn-flood flow-based entry
reset ipv6 tcp anti-syn-flood flow-based statistics命令用来清除基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
【命令】
reset ipv6 tcp anti-syn-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
all:清除所有基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息,包括公网和私网。如果未指定本参数,则清除公网的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
vpn-instance vpn-instance-name:清除指定VPN实例的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则清除公网的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
destination-port port-number:清除指定攻击目的端口号的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。port-number表示端口号,取值范围为1~65535。如果未指定攻击目的端口号,则清除所有攻击目的端口号的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
source ipv6-address:清除指定攻击源IPv6地址的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。ipv6-address表示IPv6地址。如果未指定源IPv6地址,则清除所有攻击源IPv6地址的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
type { ip | mpls }:清除指定报文类型的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则清除所有报文类型的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
cpu cpu-number:清除指定CPU的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则清除设备上所有公网的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
【举例】
# 清除公网的攻击源IPv6地址为2000::1,攻击目的端口号为200的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
<Sysname> reset ipv6 tcp anti-syn-flood flow-based statistics destination-port 200 source 2000::1
【相关命令】
· display ipv6 tcp anti-syn-flood flow-based entry
reset tcp anti-syn-flood flow-based entry命令用来删除基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
【命令】
reset tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
all:删除所有基于流的TCP SYN Flood攻击防范的IPv4攻击表项,包括公网和私网VPN。如果未指定本参数,则删除公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
vpn-instance vpn-instance-name:删除指定VPN实例的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则删除公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
destination-port port-number:删除指定攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。port-number表示端口号,取值范围为1~65535。如果未指定攻击目的端口号,则删除所有攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
source ipv4-address:删除指定攻击源IPv4地址的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。ipv4-address表示IPv4地址。如果未指定攻击源IPv4地址,则删除所有攻击源IPv4地址的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
type { ip | mpls }:删除指定报文类型的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则删除所有报文类型的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
cpu cpu-number:删除指定CPU的基于流的TCP SYN Flood攻击防范功能的IPv4攻击表项。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
【举例】
# 删除公网的攻击源IPv4地址为2.2.2.2,攻击目的端口号为1024的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
<Sysname> reset tcp anti-syn-flood flow-based entry destination-port 1024 source 2.2.2.2
【相关命令】
· display tcp anti-syn-flood flow-based entry
reset tcp anti-syn-flood flow-based statistics命令用来清除基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
【命令】
reset tcp anti-syn-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
all:清除所有基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息,包括公网和私网。如果未指定本参数,则清除公网的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
vpn-instance vpn-instance-name:清除指定VPN实例的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则清除公网的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
destination-port port-number:清除指定攻击目的端口号的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。port-number表示端口号,取值范围为1~65535。如果未指定攻击目的端口号,则清除所有攻击目的端口号的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
source ipv4-address:清除指定攻击源IPv4地址的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。ipv4-address表示IPv4地址。如果未指定攻击源IPv4地址,则清除所有攻击源IPv4地址的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
type { ip | mpls }:清除指定报文类型的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则清除所有报文类型的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
cpu cpu-number:清除指定CPU的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则清除设备上所有公网的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
【举例】
# 清除公网的攻击源IPv4地址为2.2.2.2,攻击目的端口号为1024的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
<Sysname> reset tcp anti-syn-flood flow-based statistics destination-port 1024 source 2.2.2.2
【相关命令】
· display tcp anti-syn-flood flow-based entry
tcp anti-syn-flood flow-based duration命令用来配置基于流的TCP SYN Flood攻击防范功能的持续时间。
undo tcp anti-syn-flood flow-based duration命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood flow-based duration minutes
undo tcp anti-syn-flood flow-based duration
【缺省情况】
基于流的TCP SYN Flood攻击防范功能的持续时间为5分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
minutes:基于流的TCP SYN Flood攻击防范功能的持续时间,取值范围为1~3600,单位为分钟。
【使用指导】
开启基于流的TCP SYN Flood攻击防范功能后,设备处于攻击检测状态。当监测到存在SYN Flood攻击时,则进入攻击防范状态,丢弃后续收到的SYN报文。在攻击防范的持续时间到达后,设备由攻击防范状态恢复为攻击检测状态。
【举例】
# 配置基于流的TCP SYN Flood攻击防范功能的持续时间为10分钟。
<Sysname> system-view
[Sysname] tcp anti-syn-flood flow-based duration 10
【相关命令】
· display tcp anti-syn-flood flow-based configuration
· tcp anti-syn-flood flow-based enable
· tcp anti-syn-flood flow-based check-interval
· tcp anti-syn-flood flow-based threshold
tcp anti-syn-flood flow-based enable命令用来开启基于流的TCP SYN Flood攻击防范功能。
undo tcp anti-syn-flood flow-based enable命令用来关闭基于流的TCP SYN Flood攻击防范功能。
【命令】
tcp anti-syn-flood flow-based enable
undo tcp anti-syn-flood flow-based enable
【缺省情况】
基于流的TCP SYN Flood攻击防范功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
根据TCP协议,TCP连接的建立需要经过三次握手。利用TCP连接的建立过程,一些恶意的攻击者可以进行SYN Flood攻击。攻击者向设备发送大量请求建立TCP连接的SYN报文,而不回应设备的SYN ACK报文,导致设备上建立了大量的TCP半连接。从而达到耗费设备资源,使设备无法处理正常业务的目的。
开启基于流的TCP SYN Flood攻击防范功能后,设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文后,如果在一个检测周期内收到SYN报文的个数达到或超过触发阈值,即认为存在攻击,设备丢弃后续收到的SYN报文。
【举例】
# 开启基于流的TCP SYN Flood攻击防范功能。
<Sysname> system-view
[Sysname] tcp anti-syn-flood flow-based enable
【相关命令】
· display tcp anti-syn-flood flow-based configuration
· tcp anti-syn-flood flow-based check-interval
· tcp anti-syn-flood flow-based threshold
· tcp anti-syn-flood flow-based duration
tcp anti-syn-flood flow-based threshold命令用来配置基于流的TCP SYN Flood攻击防范功能的触发阈值。
undo tcp anti-syn-flood flow-based threshold命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood flow-based threshold threshold-value
undo tcp anti-syn-flood flow-based threshold
【缺省情况】
基于流的TCP SYN Flood攻击防范功能的触发阈值为100。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
threshold-value:基于流的TCP SYN Flood 攻击防范功能的触发阈值,即一个检测周期内一条流可收到SYN报文的最大个数,取值范围为1~1000000。
【使用指导】
开启基于流的TCP SYN Flood攻击防范功能后,设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文后,如果在一个检测周期内一条流收到SYN报文的个数达到或超过触发阈值,即认为存在攻击,设备丢弃后续收到的SYN报文。
【举例】
# 配置基于流的TCP SYN Flood攻击防范功能的触发阈值为200。
<Sysname> system-view
[Sysname] tcp anti-syn-flood flow-based threshold 200
【相关命令】
· display tcp anti-syn-flood flow-based configuration
· tcp anti-syn-flood flow-based check-interval
· tcp anti-syn-flood flow-based enable
· tcp anti-syn-flood flow-based duration
tcp anti-syn-flood log enable命令用来开启TCP SYN Flood攻击防范的日志信息功能。
undo tcp anti-syn-flood log enable命令用来关闭TCP SYN Flood攻击防范的日志信息功能。
【命令】
tcp anti-syn-flood log enable
undo tcp anti-syn-flood log enable
【缺省情况】
TCP SYN Flood攻击防范的日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
TCP SYN Flood攻击防范日志可以方便管理员定位和解决问题。设备生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的日志信息而影响设备性能,除了审计或定位问题外,一般情况下建议不要开启此功能。
【举例】
# 开启TCP SYN Flood攻击防范的日志信息功能。
<Sysname> system-view
[Sysname] tcp anti-syn-flood log enable
【相关命令】
· tcp anti-syn-flood flow-based enable
· tcp anti-syn-flood interface-based enable
tcp anti-syn-flood flow-based check-interval命令用来配置基于流的TCP SYN Flood攻击防范功能的检测周期。
undo tcp anti-syn-flood flow-based check-interval命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood flow-based check-interval interval
undo tcp anti-syn-flood flow-based check-interval
【缺省情况】
基于流的TCP SYN Flood攻击防范功能的检测周期为1秒。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interval:基于流的TCP SYN Flood攻击防范功能的检测周期,取值范围为1~60,单位为秒。
【使用指导】
基于流的TCP SYN Flood攻击防范功能使用源IP地址、目的端口号、VPN和报文类型标识一条数据流。在本命令指定的检测周期内,如果设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文大于或等于一定的阈值,则认为设备受到了攻击,系统会进入攻击防范状态,丢弃后续收到的SYN报文。
当网络环境攻击较多时,建议配置较小的检测周期,便于TCP SYN Flood攻击防范。否则,可以配置较大的检测周期。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 设置基于流的TCP SYN Flood攻击防范功能的检测周期为30秒。
<Sysname> system-view
[Sysname] tcp anti-syn-flood flow-based check-interval 30
【相关命令】
· display tcp anti-syn-flood flow-based configuration
· tcp anti-syn-flood flow-based enable
· tcp anti-syn-flood flow-based duration
· tcp anti-syn-flood flow-based threshold
display ipv6 udp anti-flood flow-based entry命令用来显示基于流的UDP Flood攻击防范的IPv6攻击表项信息。
【命令】
display ipv6 udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * chassis chassis-number slot slot-number [ cpu cpu-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
all:显示所有基于流的UDP Flood攻击防范的IPv6攻击表项信息,包括公网和私网VPN。如果未指定本参数,则显示公网的基于流的UDP Flood攻击防范的IPv6攻击表项信息。
vpn-instance vpn-instance-name:显示指定VPN实例的基于流的UDP Flood攻击防范的IPv6攻击表项信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的基于流的UDP Flood攻击防范的IPv6攻击表项信息。
destination-port port-number:显示指定攻击目的端口号的基于流的UDP Flood攻击防范的IPv6攻击表项信息。port-number表示端口号,取值范围为1~65535。如果未指定本参数,则显示所有目的端口号的基于流的UDP Flood攻击防范的IPv6攻击表项信息。
source ipv6-address:显示指定攻击源IPv6地址的基于流的UDP Flood攻击防范的IPv6攻击表项信息。ipv6-address 表示IPv6地址。如果未指定本参数,则显示所有源IPv6地址的基于流的UDP Flood攻击防范的IPv6攻击表项信息。
type { ip | mpls }:显示指定报文类型的基于流的UDP Flood攻击防范的IPv6攻击表项信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则显示所有报文类型的基于流的UDP Flood攻击防范的IPv6攻击表项信息。
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的UDP Flood攻击防范的IPv6攻击表项信息。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。
cpu cpu-number:显示指定CPU上的基于流的UDP Flood攻击防范的IPv6攻击表项信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示基于流的UDP Flood攻击防范的IPv6攻击表项的详细信息。如果未指定本参数,则显示基于流的UDP Flood攻击防范的IPv6攻击表项的简要信息。
【举例】
# 显示slot1上公网的基于流的UDP Flood攻击防范的IPv6攻击表项的简要信息。
<Sysname> display ipv6 udp anti-flood flow-based entry slot 1
SrcAddr DstPort VPN Type Packets dropped
2::1 179 -- IP 987654321
# 显示slot1上公网的基于流的UDP Flood攻击防范的IPv6攻击表项的详细信息。
<Sysname> display ipv6 udp anti-flood flow-based entry slot 1 verbose
SrcAddr: 2::1
DstPort: 179
VPN: --
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/05/18 09:30:00
Packets dropped: 987654321
# 显示chassis1 slot1上公网的基于流的UDP Flood攻击防范的IPv6攻击表项的简要信息。
<Sysname> display ipv6 udp anti-flood flow-based entry chassis 1 slot 1
SrcAddr DstPort VPN Type Packets dropped
2::1 179 -- IP 987654321
# 显示chassis1 slot1上公网的基于流的UDP Flood攻击防范的IPv6攻击表项的详细信息。
<Sysname> display ipv6 udp anti-flood flow-based entry chassis 1 slot 1 verbose
SrcAddr: 2::1
DstPort: 179
VPN: --
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/05/18 09:30:00
Packets dropped: 987654321
表1-6 display ipv6 udp anti-flood flow-based entry命令显示信息描述表
|
字段 |
描述 |
|
SrcAddr |
攻击源IPv6地址 |
|
DstPort |
攻击目的端口号 |
|
VPN |
VPN实例名称,如果是公网则显示-- |
|
Type |
报文类型:MPLS表示MPLS报文,IP表示IP报文 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not enough resources:资源不足 |
|
Aging time |
基于流的UDP Flood攻击防范的攻击表项的剩余老化时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
|
Packets dropped |
基于流的UDP Flood攻击防范丢弃的SYN报文数 |
【相关命令】
· reset ipv6 udp anti-flood flow-based entry
· reset ipv6 udp anti-flood flow-based statistics
display ipv6 udp anti-flood flow-based entry count命令用来显示基于流的UDP Flood攻击防范的IPv6攻击表项的个数。
【命令】
display ipv6 udp anti-flood flow-based entry chassis chassis-number slot slot-number [ cpu cpu-number ] count
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的UDP Flood攻击防范的IPv6攻击表项的个数。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。
cpu cpu-number:显示指定CPU上的基于流的UDP Flood攻击防范的IPv6攻击表项的个数。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示slot1上的基于流的UDP Flood攻击防范的IPv6攻击表项的个数。
<Sysname> display ipv6 udp anti-flood flow-based entry slot 1 count
Total flow-based entries: 2
# 显示chassis1 slot1上的基于流的UDP Flood攻击防范的IPv6攻击表项的个数。
<Sysname> display ipv6 udp anti-flood flow-based entry chassis 1 slot 1 count
Total flow-based entries: 2
表1-7 display ipv6 udp anti-flood flow-based entry count命令显示信息描述表
|
字段 |
描述 |
|
Total flow-based entries |
基于流的UDP Flood攻击防范的IPv6攻击表项的个数 |
【相关命令】
· reset ipv6 udp anti-flood flow-based entry
· reset ipv6 udp anti-flood flow-based statistics
display udp anti-flood flow-based configuration命令用来显示基于流的UDP Flood攻击防范功能的配置信息。
【命令】
display udp anti-flood flow-based configuration
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【举例】
# 显示基于流的UDP Flood攻击防范功能的配置信息。
<Sysname> display udp anti-flood flow-based configuration
Flow-based UDP flood attack prevention is enabled.
Check interval: 1 seconds
Duration: 5 minutes
Threshold: 100 packets per check interval
表1-8 display udp anti-flood flow-based configuration命令显示信息描述表
|
字段 |
描述 |
|
Flow-based UDP flood attack prevention is enabled. |
基于流的UDP Flood攻击防范功能处于开启状态 |
|
Flow-based UDP flood attack prevention is disabled. |
基于流的UDP Flood攻击防范功能处于关闭状态 |
|
Check interval |
基于流的UDP Flood攻击防范功能的检测周期,单位为秒 |
|
Duration |
基于流的UDP Flood攻击防范功能的持续时长,单位为分钟 |
|
Threshold |
基于流的UDP Flood攻击防范功能的触发阈值 |
【相关命令】
· udp anti-flood flow-based enable
display udp anti-flood flow-based entry命令用来显示基于流的UDP Flood攻击防范的IPv4攻击表项信息。
【命令】
display udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * chassis chassis-number slot slot-number [ cpu cpu-number ] [ verbose ]
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
all:显示所有基于流的UDP Flood攻击防范的IPv4攻击表项信息,包括公网和私网VPN。如果未指定本参数,则显示公网的基于流的UDP Flood攻击防范的IPv4攻击表项信息。
vpn-instance vpn-instance-name显示指定VPN实例的基于流的UDP Flood攻击防范的IPv4攻击表项信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的基于流的UDP Flood攻击防范的IPv4攻击表项信息。
destination-port port-number:显示指定攻击目的端口号的基于流的UDP Flood攻击防范的IPv4攻击表项信息。port-number表示端口号,取值范围为1~65535。如果未指定本参数,则显示所有攻击目的端口号的基于流的UDP Flood攻击防范的IPv4攻击表项信息。
source ipv4-address:显示指定攻击源IPv4地址的基于流的UDP Flood攻击防范的IPv4攻击表项信息。ipv4-address 表示IPv4地址。如果未指定本参数,则显示所有攻击源IPv4地址的基于流的UDP Flood攻击防范的IPv4攻击表项信息。
type { ip | mpls }:显示指定报文类型的基于流的UDP Flood攻击防范的IPv4攻击表项信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则显示所有报文类型的基于流的UDP Flood攻击防范的IPv4攻击表项信息。
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的UDP Flood攻击防范的IPv4攻击表项信息。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。
cpu cpu-number:显示指定CPU上的基于流的UDP Flood攻击防范的IPv4攻击表项信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示基于流的UDP Flood攻击防范的IPv4攻击表项的详细信息。如果未指定本参数,则显示基于流的UDP Flood攻击防范的IPv4攻击表项的简要信息。
【举例】
# 显示slot1上公网的基于流的UDP Flood攻击防范的IPv4攻击表项的简要信息。
<Sysname> display udp anti-flood flow-based entry slot 1
SrcAddr DstPort VPN Type Packets dropped
1.1.1.1 179 -- MPLS 12345678
2.1.1.1 179 -- IP 87654321
# 显示slot1上公网的基于流的UDP Flood攻击防范的IPv4攻击表项的详细信息。
<Sysname> display udp anti-flood flow-based entry slot 1 verbose
SrcAddr: 1.1.1.1
DstPort: 179
VPN: --
Type: MPLS
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/01/07 18:55:03
Packets dropped: 12345678
SrcAddr: 2.1.1.1
DstPort: 179
VPN: 1
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/05/18 09:30:00
Packets dropped: 87654321
# 显示chassis1 slot1上公网的基于流的UDP Flood攻击防范的IPv4攻击表项的简要信息。
<Sysname> display udp anti-flood flow-based entry chassis 1 slot 1
SrcAddr DstPort VPN Type Packets dropped
1.1.1.1 179 -- MPLS 12345678
2.1.1.1 179 -- IP 87654321
# 显示chassis1 slot1上公网的基于流的UDP Flood攻击防范的IPv4攻击表项的详细信息。
<Sysname> display udp anti-flood flow-based entry chassis 1 slot 1 verbose
SrcAddr: 1.1.1.1
DstPort: 179
VPN: --
Type: MPLS
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/01/07 18:55:03
Packets dropped: 12345678
SrcAddr: 2.1.1.1
DstPort: 179
VPN: 1
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/05/18 09:30:00
Packets dropped: 87654321
表1-9 display udp anti-flood flow-based entry命令显示信息描述表
|
字段 |
描述 |
|
SrcAddr |
攻击报文的源IP地址 |
|
DstPort |
攻击目的端口号 |
|
VPN |
VPN实例名称,如果是公网则显示-- |
|
Type |
报文类型:MPLS表示MPLS报文,IP表示IP报文 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not enough resources:资源不足 |
|
Aging time |
基于流的UDP Flood攻击防范的攻击表项的剩余老化时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
|
Packets dropped |
基于流的UDP Flood攻击防范丢弃的报文数 |
【相关命令】
· reset udp anti-flood flow-based entry
· reset udp anti-flood flow-based statistics
display udp anti-flood flow-based entry count命令用来显示基于流的UDP Flood攻击防范的IPv4攻击表项的个数。
【命令】
display udp anti-flood flow-based entry chassis chassis-number slot slot-number [ cpu cpu-number ] count
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的UDP Flood攻击防范的IPv4攻击表项的个数。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。
cpu cpu-number:显示指定CPU上的基于流的UDP Flood攻击防范的IPv4攻击表项的个数。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示slot1上基于流的UDP Flood攻击防范的IPv4攻击表项的个数。
<Sysname> display udp anti-flood flow-based entry slot 1 count
Total flow-based entries: 2
# 显示chassis1 slot1上基于流的UDP Flood攻击防范的IPv4攻击表项的个数。
<Sysname> display udp anti-flood flow-based entry chassis 1 slot 1 count
Total flow-based entries: 2
表1-10 display udp anti-flood flow-based entry count命令显示信息描述表
|
字段 |
描述 |
|
Total flow-based entries |
基于流的UDP Flood攻击防范的IPv4表项的个数 |
【相关命令】
· reset udp anti-flood flow-based entry
· reset udp anti-flood flow-based statistics
reset ipv6 udp anti-flood flow-based entry命令用来删除基于流的UDP Flood攻击防范的IPv6攻击表项。
【命令】
reset ipv6 udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
all:删除所有基于流的UDP Flood攻击防范的IPv6攻击表项,包括公网和私网VPN。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范的IPv6攻击表项。
vpn-instance vpn-instance-name:删除指定VPN实例的基于流的UDP Flood攻击防范的IPv6攻击表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范的IPv6攻击表项。
destination-port port-number:删除指定攻击目的端口号的基于流的UDP Flood攻击防范的IPv6攻击表项。port-number表示端口号,取值范围为1~65535。如果未指定攻击目的端口号,则删除所有攻击目的端口号的基于流的UDP Flood攻击防范的IPv6攻击表项。
source ipv6-address:删除指定攻击源IPv6地址的基于流的UDP Flood攻击防范的IPv6攻击表项。ipv6-address表示IPv6地址。如果未指定攻击源IPv6地址,则删除所有攻击源IPv6地址的基于流的UDP Flood攻击防范的IPv6攻击表项。
type { ip | mpls }:删除指定报文类型的基于流的UDP Flood攻击防范的IPv6攻击表项。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则删除所有报文类型的基于流的UDP Flood攻击防范的IPv6攻击表项。
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于流的UDP Flood攻击防范的IPv6攻击表项。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的UDP Flood攻击防范的IPv6攻击表项。
cpu cpu-number:删除指定CPU的基于流的UDP Flood攻击防范的IPv6攻击表项。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有公网的基于流的UDP Flood攻击防范的IPv6攻击表项。
【举例】
# 删除公网的攻击源IPv6地址为2000::1,攻击目的端口号为200的基于流的UDP Flood攻击防范的IPv6表项。
<Sysname> reset ipv6 udp anti-flood flow-based entry destination-port 200 source 2000::1
【相关命令】
· display ipv6 udp anti-flood flow-based entry
reset ipv6 udp anti-flood flow-based statistics命令用来删除基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
【命令】
reset ipv6 udp anti-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
all:删除所有基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息,包括公网和私网。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
vpn-instance vpn-instance-name:删除指定VPN实例的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
destination-port port-number:删除指定攻击目的端口号的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。port-number表示端口号,取值范围为1~65535。如果未指定攻击目的端口号,则删除所有攻击目的端口号的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
source ipv6-address:删除指定攻击源IPv6地址的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。ipv6-address表示IPv6地址。如果未指定源IPv6地址,则删除所有攻击源IPv6地址的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
type { ip | mpls }:删除指定报文类型的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则删除所有报文类型的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
cpu cpu-number:删除指定CPU的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有公网的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
【举例】
# 删除公网的攻击源IPv6地址为2000::1,攻击目的端口号为200的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
<Sysname> reset ipv6 udp anti-flood flow-based statistics destination-port 200 source 2000::1
【相关命令】
· display ipv6 udp anti-flood flow-based entry
reset udp anti-flood flow-based entry命令用来删除基于流的UDP Flood攻击防范的IPv4攻击表项。
【命令】
reset udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
all:删除所有基于流的UDP Flood攻击防范的IPv4攻击表项,包括公网和私网VPN。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范的IPv4攻击表项。
vpn-instance vpn-instance-name:删除指定VPN实例的基于流的UDP Flood攻击防范的IPv4攻击表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范的IPv4攻击表项。
destination-port port-number:删除指定攻击目的端口号的基于流的UDP Flood攻击防范的IPv4攻击表项。port-number表示端口号,取值范围为1~65535。如果未指定攻击目的端口号,则删除所有攻击目的端口号的基于流的UDP Flood攻击防范的IPv4攻击表项。
source ipv4-address:删除指定攻击源IPv4地址的基于流的UDP Flood攻击防范的IPv4攻击表项。ipv4-address表示IPv4地址。如果未指定攻击源IPv4地址,则删除所有攻击源IPv4地址的基于流的UDP Flood攻击防范的IPv4攻击表项。
type { ip | mpls }:删除指定报文类型的基于流的UDP Flood攻击防范的IPv4攻击表项。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则删除所有报文类型的基于流的UDP Flood攻击防范的IPv4攻击表项。
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于流的UDP Flood攻击防范的IPv4攻击表项。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的UDP Flood攻击防范的IPv4攻击表项。
cpu cpu-number:删除指定CPU的基于流的UDP Flood攻击防范功能的IPv4攻击表项。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有公网的基于流的UDP Flood攻击防范的IPv4攻击表项。
【举例】
# 删除公网的攻击源IPv4地址为2.2.2.2,攻击目的端口号为1024的基于流的UDP Flood攻击防范的IPv4攻击表项。
<Sysname> reset udp anti-flood flow-based entry destination-port 1024 source 2.2.2.2
【相关命令】
· display udp anti-flood flow-based entry
reset udp anti-flood flow-based statistics命令用来删除基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
【命令】
reset udp anti-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
all:删除所有基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息,包括公网和私网。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
vpn-instance vpn-instance-name:删除指定VPN实例的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
destination-port port-number:删除指定攻击目的端口号的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。port-number表示端口号,取值范围为1~65535。如果未指定攻击目的端口号,则删除所有攻击目的端口号的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
source ipv4-address:删除指定攻击源IPv4地址的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。ipv4-address表示IPv4地址。如果未指定攻击源IPv4地址,则删除所有攻击源IPv4地址的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
type { ip | mpls }:删除指定报文类型的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则删除所有报文类型的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
cpu cpu-number:删除指定CPU的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有公网的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
【举例】
# 删除公网的攻击源IPv4地址为2.2.2.2,攻击目的端口号为1024的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
<Sysname> reset udp anti-flood flow-based statistics destination-port 1024 source 2.2.2.2
【相关命令】
· display udp anti-flood flow-based entry
udp anti-flood flow-based duration命令用来配置基于流的UDP Flood攻击防范功能的抑制时间。
undo udp anti-flood flow-based duration命令用来恢复缺省情况。
【命令】
udp anti-flood flow-based duration minutes
undo udp anti-flood flow-based duration
【缺省情况】
基于流的UDP Flood攻击防范功能的抑制时间为5分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
minutes:基于流的UDP Flood攻击防范功能的抑制时间,取值范围为1~3600,单位为分钟。
【使用指导】
开启基于流的UDP Flood攻击防范功能后,设备处于攻击检测状态。当监测到存在Flood攻击时,则进入攻击防范状态,丢弃后续收到的报文。在攻击防范的抑制时间到达后,设备由攻击防范状态恢复为攻击检测状态。
【举例】
# 配置基于流的UDP Flood攻击防范功能的抑制时间为10分钟。
<Sysname> system-view
[Sysname] udp anti-flood flow-based duration 10
【相关命令】
· display udp anti-flood flow-based configuration
· udp anti-flood flow-based check-interval
· udp anti-flood flow-based enable
· udp anti-flood flow-based threshold
udp anti-flood flow-based enable命令用来开启基于流的UDP Flood攻击防范功能。
undo udp anti-flood flow-based enable命令用来关闭基于流的UDP Flood攻击防范功能。
【命令】
udp anti-flood flow-based enable
undo udp anti-flood flow-based enable
【缺省情况】
基于流的UDP Flood攻击防范功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启本功能后,如果设备收到同一条数据流的报文(使用源IP地址、目的端口号、VPN和报文类型标识一条数据流)个数在一个检测周期内达到或超过触发阈值,即认为存在UDP Flood攻击,设备丢弃后续收到的报文。
【举例】
# 开启基于流的UDP Flood攻击防范功能。
<Sysname> system-view
[Sysname] udp anti-flood flow-based enable
【相关命令】
· display udp anti-flood flow-based configuration
· udp anti-flood flow-based check-interval
· udp anti-flood flow-based duration
· udp anti-flood flow-based threshold
udp anti-flood flow-based threshold命令用来配置基于流的UDP Flood攻击防范功能的触发阈值。
undo udp anti-flood flow-based threshold命令用来恢复缺省情况。
【命令】
udp anti-flood flow-based threshold threshold-value
undo udp anti-flood flow-based threshold
【缺省情况】
基于流的UDP Flood攻击防范功能的触发阈值为100。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
threshold-value:基于流的UDP Flood 攻击防范功能的触发阈值,即一个检测周期内,设备可收到一条流中报文个数的最大值,取值范围为1~1000000。
【使用指导】
开启本功能后,如果设备收到同一条数据流的报文个数在一个检测周期内达到或超过触发阈值,即认为存在UDP Flood攻击,设备丢弃后续收到的报文。
【举例】
# 配置基于流的UDP Flood攻击防范功能的触发阈值为200。
<Sysname> system-view
[Sysname] udp anti-flood flow-based threshold 200
【相关命令】
· display udp anti-flood flow-based configuration
· udp anti-flood flow-based check-interval
· udp anti-flood flow-based duration
· udp anti-flood flow-based enable
udp anti-flood log enable命令用来开启UDP Flood攻击防范的日志信息功能。
undo udp anti-flood log enable命令用来关闭UDP Flood攻击防范的日志信息功能。
【命令】
udp anti-flood log enable
undo udp anti-flood log enable
【缺省情况】
UDP Flood攻击防范的日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
UDP Flood攻击防范日志可以方便管理员定位和解决问题。设备生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的日志信息而影响设备性能,除了审计或定位问题外,一般情况下建议不要开启此功能。
【举例】
# 开启UDP Flood攻击防范的日志信息功能。
<Sysname> system-view
[Sysname] udp anti-flood log enable
【相关命令】
· udp anti-flood flow-based enable
· udp anti-flood interface-based enable
udp anti-flood flow-based check-interval命令用来配置基于流的UDP Flood攻击防范功能的检测周期。
undo udp anti-flood flow-based check-interval命令用来恢复缺省情况。
【命令】
udp anti-flood flow-based check-interval interval
undo udp anti-flood flow-based check-interval
【缺省情况】
基于流的UDP Flood攻击防范功能的检测周期为1秒。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
interval:基于流的UDP Flood攻击防范功能的检测周期,取值范围为1~60,单位为秒。
【使用指导】
基于流的UDP Flood攻击防范功能使用源IP地址、目的端口号、VPN和报文类型标识一条数据流。在本命令指定的检测周期内,如果设备收到请求端发送的报文大于或等于一定的阈值,则认为设备受到了攻击,系统会进入攻击防范状态,丢弃后续收到的报文。
当网络环境攻击较多时,建议配置较小的检测周期,便于UDP Flood攻击防范。否则,可以配置较大的检测周期。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 设置基于流的UDP Flood攻击防范功能的检测周期为30秒。
<Sysname> system-view
[Sysname] udp anti-flood flow-based check-interval 30
【相关命令】
· display udp anti-flood flow-based configuration
· udp anti-flood flow-based enable
· udp anti-flood flow-based duration
· udp anti-flood flow-based threshold
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
