- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
15-攻击检测与防范命令
本章节下载: 15-攻击检测与防范命令 (168.92 KB)
目 录
1.1.1 attack-defense local apply policy
1.1.2 attack-defense login reauthentication-delay
attack-defense local apply policy命令用来在本机应用安全攻击防范策略。
undo attack-defense local apply policy命令用来恢复缺省情况。
【命令】
attack-defense local apply policy policy-name
undo attack-defense local apply policy
【缺省情况】
本机未应用任何攻击防范策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:攻击防范策略名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。
【使用指导】
通过在本机应用攻击防范策略,使已配置的攻击防范策略对目的地址为本机的报文生效。
缺省情况下交换机将需要转发的报文下发给硬件转发,只有目的地址是本机的报文才会由软件处理,但软件没有攻击防范功能。为处理针对本机的攻击,需要通过在本机上应用攻击防范策略来实现。
本机只能应用一个攻击防范策略(可多次配置,最后一次配置的有效)。
【举例】
# 在本机应用攻击防范策略atk-policy-1。
<Sysname> system-view
[Sysname] attack-defense local apply policy atk-policy-1
【相关命令】
· attack-defense policy
· display attack-defense policy
attack-defense login reauthentication-delay命令用来配置Login用户登录失败后重新进行认证的等待时长。
undo attack-defense login reauthentication-delay命令用来恢复缺省情况。
attack-defense login reauthentication-delay seconds
undo attack-defense login reauthentication-delay
【缺省情况】
Login用户登录失败后重新进行认证不需要等待。
系统视图
network-admin
【参数】
seconds:设备管理用户登录失败后重新进行认证的等待时长,取值范围为4~60,单位为秒。
【使用指导】
Login用户登录失败后,若设备上配置了重新进行认证的等待时长,则系统将会延迟一定的时长之后再允许用户进行认证,可以避免设备受到字典式攻击。
Login用户延迟认证功能与Login用户攻击防范功能无关,只要配置了延迟认证等待时间,即可生效。
# 配置Login用户登录失败后重新进行认证的等待时长为5秒钟。
[Sysname] attack-defense login reauthentication-delay 5
attack-defense policy命令用来创建一个攻击防范策略,并进入攻击防范策略视图。如果指定的攻击防范策略已经存在,则直接进入攻击防范策略视图。
undo attack-defense policy命令用来删除指定的攻击防范策略。
【命令】
attack-defense policy policy-name
undo attack-defense policy policy-name
【缺省情况】
不存在任何攻击防范策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:攻击防范策略名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。
【使用指导】
攻击防范的缺省触发阈值对于现网环境而言可能过小,这会导致用户上网慢或者网页打不开等情况,请根据实际网络环境配置合理的触发阈值。
【举例】
# 创建攻击防范策略atk-policy-1,并进入攻击防范策略视图。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1]
【相关命令】
· attack-defense apply policy
· display attack-defense policy
attack-defense tcp fragment enable命令用来开启TCP分片攻击防范功能。
undo attack-defense tcp fragment enable命令用来关闭TCP分片攻击防范功能。
【命令】
attack-defense tcp fragment enable
undo attack-defense tcp fragment enable
【缺省情况】
TCP分片攻击防范功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
设备的包过滤功能一般是通过判断TCP首个分片中的五元组(源IP地址、源端口号、目的IP地址、目的端口号、传输层协议号)信息来决定后续TCP分片是否允许通过。RFC 1858对TCP分片报文进行了规定,认为TCP分片报文中,首片报文中TCP报文长度小于20字节,或后续分片报文中分片偏移量等于8字节的报文为TCP分片攻击报文。这类报文可以成功绕过上述包过滤功能,对设备造成攻击。为防止这类攻击,可以在设备上开启TCP分片攻击防范功能,对TCP分片攻击报文进行丢弃。
如果设备上开启了TCP分片攻击防范功能,并应用了单包攻击防范策略,则TCP分片攻击防范功能会先于单包攻击防范策略检测并处理入方向的TCP报文。
【举例】
# 开启TCP分片攻击防范功能。
<Sysname> system-view
[Sysname] attack-defense tcp fragment enable
signature detect命令用来开启指定类型单包攻击报文的特征检测,并设置攻击防范的处理行为。
undo signature detect命令用来关闭对指定类型的单包攻击报文的特征检测。
【命令】
signature detect ip-option { loose-source-routing | strict-source-routing } action drop
undo signature detect ip-option { loose-source-routing strict-source-routing }
【缺省情况】
所有类型的单包攻击报文的特征检测均处于关闭状态。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
ip-option:表示IP选项类型的报文攻击。可以指定IP选项代码值,或者指定IP选项关键字。
loose-source-routing:表示IP选项loose source route类型的报文攻击。
strict-source-routing:表示IP选项strict source route类型的报文攻击。
action:对指定报文攻击所采取的攻击防范处理行为。
drop:设置单包攻击的处理行为为丢弃报文。
【使用指导】
可以通过多次执行本命令开启多种类型的单包攻击报文的特征检测。
【举例】
# 在攻击防范策略atk-policy-1中开启对IP选项loose-source-routing类型的报文攻击的特征检测,并指定攻击防范处理行为为丢弃报文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] signature detect ip-option loose-source-routing action drop
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
