- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-DDoS攻击检测与防范命令
本章节下载: 01-DDoS攻击检测与防范命令 (386.06 KB)
目 录
1.1.1 ack-flood detection threshold
1.1.2 anti-ddos default-zone enable
1.1.3 anti-ddos detection-mode
1.1.5 anti-ddos flow-forward ip
1.1.8 anti-ddos out-of-band interface
1.1.9 anti-ddos user-defined attack-type protocol
1.1.10 anti-ddos user-defined attack-type protocol icmp
1.1.11 anti-ddos user-defined attack-type protocol icmpv6
1.1.12 anti-ddos user-defined attack-type protocol tcp
1.1.13 anti-ddos user-defined attack-type protocol udp
1.1.15 bandwidth-detection destination-ip threshold
1.1.16 display anti-ddos flow-agent statistics
1.1.17 display anti-ddos flow-agent-template
1.1.18 display anti-ddos flow-forward statistics
1.1.19 display anti-ddos statistics
1.1.20 display anti-ddos statistics destination-ip
1.1.21 display anti-ddos statistics http-slow-attack
1.1.22 display anti-ddos zone configuration
1.1.23 dns-query-flood detection threshold
1.1.24 dns-reply-flood detection threshold
1.1.25 http-flood detection threshold
1.1.26 https-flood detection threshold
1.1.27 icmp-flood detection threshold
1.1.28 icmp-frag-flood detection threshold
1.1.32 rst-flood detection threshold
1.1.33 sip-flood detection threshold
1.1.34 syn-ack-flood detection threshold
1.1.35 syn-flood detection threshold
1.1.36 tcp-frag-flood detection threshold
1.1.37 threshold-learning enable
1.1.38 udp-flood detection threshold
1.1.39 udp-frag-flood detection threshold
1.1.40 user-defined attack-type detection threshold
AFC2100-D-G设备为DDoS攻击检测设备,仅支持检测设备相关命令行。
ack-flood detection threshold命令用来配置ACK泛洪攻击防范阈值,并开启ACK泛洪攻击检测功能。
undo ack-flood detection threshold命令用来关闭ACK泛洪攻击检测功能。
【命令】
ack-flood detection threshold { bit-based value | packet-based value}
undo ack-flood detection threshold
【缺省情况】
ACK泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示ACK泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示ACK泛洪攻击的统计方式为按照报文个数进行统计。
value:表示ACK泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启ACK泛洪攻击检测功能后,设备会对收到的发往指定DDoS防护对象的流量进行ACK泛洪攻击检测。当设备检测到向某IP地址发送ACK报文的速率持续超过了配置的阈值时,即认为该IP地址受到了ACK泛洪攻击,继而启动相应的防范措施:
· DDoS攻击检测设备会向管理中心发送攻击告警日志,管理中心收到攻击告警日志后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 直路部署的DDoS攻击清洗设备在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启ACK泛洪攻击检测功能,并配置ACK泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] ack-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
anti-ddos default-zone enable命令用来开启缺省DDoS攻击防护对象功能。
undo anti-ddos default-zone enable命令用来关闭缺省DDoS攻击防护对象功能。
【命令】
anti-ddos default-zone enable
undo anti-ddos default-zone enable
【缺省情况】
缺省DDoS攻击防护对象功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
通过开启缺省DDoS攻击防护对象功能,可在流量未匹配自定义DDoS攻击防护对象时,采用缺省DDoS攻击防护对象下配置的DDoS攻击检测与防范策略对其进行DDoS攻击检测与防范。
在配置该命令前,缺省DDoS攻击防护对象下的配置不生效。
【举例】
# 开启缺省DDoS攻击防护对象功能。
<Sysname> system-view
[Sysname] anti-ddos default-zone enable
【相关命令】
· anti-ddos zone default
anti-ddos detection-mode命令用来配置DDoS攻击检测模式。
undo anti-ddos detection-mode命令用来恢复缺省情况。
【命令】
anti-ddos detection-mode { flow | mirror }
undo anti-ddos detection-mode
【缺省情况】
DDoS攻击检测模式为深度流检测模式。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
flow:表示深度流检测模式,即基于Netflow、NetStream和sFlow等流统计报文进行DDoS攻击检测。
mirror:表示深度报文检测模式,即基于镜像报文进行DDoS攻击检测。
【使用指导】
模式切换期间可能会有部分报文因未经DDoS检测而导致攻击行为未被识别出。
仅DDoS攻击检测设备支持配置本命令。
【举例】
# 配置DDoS攻击的检测模式为深度报文检测。
<Sysname> system-view
[Sysname] anti-ddos detection-mode mirror
anti-ddos flow-agent命令用来指定流统计报文输出器。
undo anti-ddos flow-agent命令用来删除流统计报文输出器配置。
【命令】
anti-ddos flow-agent { ip ip-address | ipv6 ipv6-address } port destination-port flow-type { netflow | netstream | sflow } [ sampling-rate sampling-rate-value ]
undo anti-ddos flow-agent [ { ip ip-address | ipv6 ipv6-address } port port-vlaue ]
【缺省情况】
未指定流统计报文输出器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip ip-address:指定流统计报文输出器的IPv4地址。
ipv6 ipv6-address:指定流统计报文输出器的IPv6地址。
port destination-port:指定流统计报文输出器输出的流统计报文的目的端口号,取值范围为1025~65535。
flow-type:指定流统计报文输出器输出的流统计报文的格式。
netflow:输出NetFlow格式的流统计报文。
netstream:输出NetStream格式的流统计报文。
sflow:输出sFlow格式的流统计报文。
sampling-rate sampling-rate-value:指定流统计报文的采样率,即每sampling-rate-value个报文采样一个报文,取值范围为1~65535。
【使用指导】
DDoS攻击检测设备支持深度流检测模式。该模式下,设备对流统计报文输出器(通常是路由器或交换机)发来的流统计报文内容进行检测与分析,并将分析结果汇总到DDoS攻击防护对象下的流量统计信息中。设备根据DDoS攻击防护对象下的流量统计信息判断受保护IP地址是否遭到DDoS攻击。
深度流检测功能支持NetFlow V5、NetFlow V9、NetStream V5、NetStream V9以及sFlow V5报文的检测与分析。
流统计报文输出器由IP地址和目的端口号二元组唯一确定,对于二元组相同的配置,最后一个配置生效。最多可指定16个流统计报文输出器。
当流统计报文中含有采样率信息时,sampling-rate-value参数所指定的采样率不生效。
执行undo命令行时若不指定IP地址和目的端口号,则删除设备上的所有流统计报文输出器配置。
【举例】
# 指定一个流统计报文输出器,其IP地址为10.10.10.10,报文目的端口号为1200,统计报文格式为NetFlow,采样率为1024。
<Sysname> system-view
[Sysname] anti-ddos flow-agent ip 10.10.10.10 port 1200 flow-type netflow sampling-rate 1024
【相关命令】
· display anti-ddos flow-agent statistics
anti-ddos flow-forward命令用来配置流统计报文的转发目的地址。
undo anti-ddos flow-forward命令用来删除流统计报文的转发目的地址配置。
【命令】
anti-ddos flow-forward { ip ip-address | ipv6 ipv6-address } port port-number
undo anti-ddos flow-forward { ip [ ip-address port port-number ] | ipv6 [ ipv6-address port port-number ] }
【缺省情况】
不存在流统计报文的转发配置。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip ip-address:指定IPv4流统计报文的转发目的IP地址。
ipv6 ipv6-address:指定IPv6流统计报文的转发目的IP地址。
port port-number:指定流统计报文的转发目的端口,取值范围为1~65535。
【使用指导】
流统计报文转发功能用来将流统计报文转发至其他设备进行处理。若设备上同时存在流统计报文输出器配置和流统计报文转发配置,则设备先将流统计报文转发至指定目的IP地址和端口,再根据输出器配置对报文进行解析和处理。
设备支持配置4个IPv4流统计报文转发目的地址和4个IPv6流统计报文转发目的地址。
执行undo命令时,若不指定IP地址和端口参数,则表示删除全部IPv4或IPv6流统计报文转发配置。
【举例】
# 创建一个目的IP地址为10.10.10.10,目的端口号为1200的转发配置。
<Sysname> system-view
[Sysname] anti-ddos flow-forward ip 10.10.10.10 port 1200
# 删除一个目的IP地址为10.10.10.10,目的端口号为1200的转发配置。
<Sysname> system-view
[Sysname] undo anti-ddos flow-forward ip 10.10.10.10 port 1200
anti-ddos log-local-ip命令用来配置上报日志的设备源IP地址。
undo anti-ddos log-local-ip命令用来恢复缺省情况。
【命令】
anti-ddos log-local-ip { ip ipv4-address | ipv6 ipv6-address }
undo anti-ddos log-local-ip
【缺省情况】
未配置上报日志的设备源IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定上报日志的源IPv4地址,该IP须为设备已配IP。
ipv6 ipv6-address:指定上报日志的源IPv6地址,该IP须为设备已配IP。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备支持均配置本命令。
本命令用来指定设备向管理中心发送DDoS日志报文的源IP地址。
仅支持配置一个IPv4地址或者一个IPv6地址。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置上报日志的设备源IP地址为192.168.1.2。
<Sysname> system-view
[Sysname] anti-ddos log-local-ip ip 192.168.1.2
【相关命令】
· anti-ddos log-server-ip
anti-ddos log-server-ip命令用来配置上报日志的服务端IP地址。
undo anti-ddos log-server-ip命令用来恢复缺省情况。
【命令】
anti-ddos log-server-ip { ip ipv4-address | ipv6 ipv6-address } [ port port-number ]
undo anti-ddos log-server-ip
【缺省情况】
未配置上报日志的服务端IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定日志上报的服务端IPv4地址。
ipv6 ipv6-address:指定日志上报的服务端IPv6地址。
port port-number:指定日志上报服务端的端口号,取值范围为1~65535,缺省为10083。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备支持均配置本命令。
本命令用来在设备上指定接收DDoS日志报文的管理中心的IP地址和端口号。
设备上只支持配置一个IPv4地址或者一个IPv6地址。当已存在一个配置时,再次下发配置则覆盖原有配置。
【举例】
# 配置上报日志的服务端IP地址为192.168.1.1。
<Sysname> system-view
[Sysname] anti-ddos log-server-ip ip 192.168.1.1
【相关命令】
· anti-ddos log-local-ip
anti-ddos out-of-band interface命令用于向DDoS攻击检测与防范业务中添加带外接口。
undo anti-ddos out-of-band interface命令用于从DDoS攻击检测与防范业务中移除带外接口。
【命令】
anti-ddos out-of-band interface { interface-type interface-number } &<1-10>
undo anti-ddos out-of-band interface [ interface-type interface-number ]
【缺省情况】
DDoS攻击检测与防范业务的带外接口仅包括GigabitEthernet1/0/0接口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number &<1-10>:指定带外接口的接口类型和接口编号。&<1-10>表示之前的参数最多可以输入10次。
【使用指导】
检测设备和清洗设备均支持配置本命令。
仅支持将物理接口配置为带外接口。
执行undo命令时,如果未配置接口类型和接口编号参数,设备将删除DDoS攻击检测与防范业务的所有带外接口。
【举例】
# 将接口GigabitEthernet1/0/1、GigabitEthernet1/0/4和LoopBack 1配置为DDoS攻击检测与防范业务的带外接口。
<Sysname> system-view
[Sysname] anti-ddos out-of-band interface gigabitethernet 1/0/1 gigabitethernet 1/0/4 loopback 1
anti-ddos user-defined attack-type protocol命令用来配置基于指定协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol protocol-number [ packet-length { equal | greater-than | less-than } packet-length ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于指定协议的自定义DDoS攻击类型。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
protocol-number:协议编号,取值范围为0~255。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于指定协议的自定义DDoS攻击类型。在基于协议来识别攻击报文的同时,还可以指定报文长度作为识别报文的特征,报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于VRRP协议(协议号为112),报文长度小于28字节的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol 112 packet-length less-than 28
anti-ddos user-defined attack-type protocol icmp命令用来配置基于ICMP协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol icmp [ packet-length { equal | greater-than | less-than } packet-length ] [ icmp-type icmp-type icmp-code icmp-code ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于ICMP协议的自定义DDoS攻击类型。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
icmp-type icmp-type:指定ICMP消息类型,取值范围为0~255。
icmp-code icmp-code:指定ICMP消息代码,取值范围为0~255。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于ICMP协议的自定义DDoS攻击类型。在基于报文长度来识别攻击报文的同时,还可以指定ICMP消息类型和消息代码作为识别报文的特征。报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于ICMP协议,类型为8,代码为0的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol icmp icmp-type 8 icmp-code 0
anti-ddos user-defined attack-type protocol icmpv6命令用来配置基于ICMPv6协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol icmpv6 [ packet-length { equal | greater-than | less-than } packet-length ] [ icmpv6-type icmpv6-type icmpv6-code icmpv6-code ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于ICMPv6协议的自定义DDoS攻击类型。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
icmpv6-type icmp-type:指定ICMPv6消息类型,取值范围为0~255。
icmpv6-code icmp-code:指定ICMPv6消息代码,取值范围为0~255。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于ICMPv6协议的自定义DDoS攻击类型。在基于报文长度来识别攻击报文的同时,还可以指定ICMPv6消息类型和消息代码作为识别报文的特征。报文长度的识别方法包括判断报文长度小于、大于和等于指定参考值三种类型。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于ICMPv6协议,报文长度大于65535字节的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol icmpv6 packet-length greater-than 65535
anti-ddos user-defined attack-type protocol tcp命令用来配置基于TCP协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol tcp [ packet-length { equal | greater-than | less-than } packet-length ] [ port port-num port-type { source | destination } ] [ tcp-flag flag-value ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于TCP协议的自定义DDoS攻击类型
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
port port-num:指定端口号,取值范围为1~65535。
port-type:指定端口类型。
source:端口类型为源端口。
destination:端口类型为目的端口。
tcp-flag flag-value:指定TCP flag字段的值,取值范围为0~63。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于TCP协议的自定义DDoS攻击类型。在基于TCP协议来识别攻击报文的同时,还可以指定报文长度、端口及TCP flag作为识别攻击报文的特征。设备将同时满足所有指定特征的报文视作攻击报文:
· 报文长度特征:报文长度小于、大于或等于攻击报文长度参考值。
· 端口特征:源端口号或目的端口号。
· TCP flag:TCP flag字段取值。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于TCP协议,报文长度大于65535字节,目的端口为80的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol tcp packet-length greater-than 65535 port 80 port-type destination
anti-ddos user-defined attack-type protocol udp命令用来配置基于UDP协议的自定义DDoS攻击类型。
undo anti-ddos user-defined attack-type命令用来删除自定义DDoS攻击类型。
【命令】
anti-ddos user-defined attack-type id id protocol udp [ packet-length { equal | greater-than | less-than } packet-length ] [ port port-num port-type { source | destination } ]
undo anti-ddos user-defined attack-type [ id id ]
【缺省情况】
不存在基于UDP协议的自定义DDoS攻击类型。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。攻击类型ID必须全局唯一。
packet-length:指定报文长度信息。
equal:等于报文长度参考值。
greater-than:大于报文长度参考值。
less-than:小于报文长度参考值。
packet-length:报文长度参考值,取值范围为20~65535,单位为字节。
port port-num:指定端口号,取值范围为1~65535。
port-type:指定端口类型。
source:端口类型为源端口。
destination:端口类型为目的端口。
【使用指导】
检测设备和清洗设备均支持配置本命令。
本命令用来配置基于UDP协议的自定义DDoS攻击类型。在基于UDP协议来识别攻击报文的同时,还可以指定报文长度和端口作为识别攻击报文的特征。设备将同时满足所有指定特征的报文视作攻击报文:
· 报文长度特征:报文长度小于、大于或等于攻击报文长度参考值。
· 端口特征:源端口号或目的端口号。
对同一ID的自定义DDoS攻击类型进行多次配置,最后一次配置生效。
执行undo命令时,如果未配置id参数,设备将删除全部自定义DDoS攻击类型配置。
【举例】
# 配置ID为3,基于UDP协议,报文长度等于48的自定义DDoS攻击类型。
<Sysname> system-view
[Sysname] anti-ddos user-defined attack-type id 3 protocol udp packet-length equal 48
anti-ddos zone命令用来创建一个DDoS攻击防护对象,并进入DDoS攻击防护对象视图。如果指定的DDoS攻击防护对象已经存在,则直接进入DDoS攻击防护对象视图。
undo anti-ddos zone命令用来删除指定的DDoS攻击防护对象。
【命令】
anti-ddos zone { id zone-id | default }
undo anti-ddos zone [ id zone-id ]
【缺省情况】
仅存在名称为default的缺省DDoS攻击防护对象。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
id zone-id:DDoS攻击防护对象的ID,取值范围为2~1024。
default:缺省DDoS攻击防护对象,其ID值为1。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
未配置任何防护对象时,设备对收到的流量不采取任何防护措施。
设备最多支持创建1024个DDoS攻击防护对象(包括default)
在执行undo ddos-zone命令时,若未指定DDoS攻击防护对象的ID,则表示删除所有自定义的DDoS攻击防护对象。
缺省DDoS攻击防护对象(default)不需要创建,也不能删除。
【举例】
# 创建ID值为3的DDoS攻击防护对象,并进入DDoS攻击防护对象视图。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3]
bandwidth-detection destination-ip threshold命令用来配置IP流量攻击的防范触发阈值,并开启IP流量攻击检测功能。
undo bandwidth-detection destination-ip threshold命令用来恢复缺省情况。
【命令】
bandwidth-detection destination-ip threshold threshold-value
undo bandwidth-detection destination-ip threshold
【缺省情况】
IP流量攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
threshold-value:表示IP流量攻击的防范触发阈值,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启IP流量攻击检测功能后,设备会对收到的发往指定DDoS防护对象的流量进行IP流量攻击检测。当设备检测到向某IP地址发送IP报文的速率持续超过了该触发阈值时,即认为该IP地址受到了IP流量攻击,继而启动相应的防范措施:
· 对于旁路部署的DDoS攻击检测设备:会向管理中心发送攻击告警日志,管理中心收到攻击告警日志后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 对于直路部署的DDoS攻击清洗设备:在设备本地对攻击流量进行检测和清洗。此时需检查是否开启了IP流量限速功能,若未开启,则全部放行;若开启,则对设备收到的IP流量进行限速。
此后,当设备检测到向该IP地址发送IP报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,停止执行防范措施。
【举例】
# 在DDoS攻击防护对象视图下,开启IP流量攻击检测功能,并配置IP流量攻击的防范触发阈值为20Mbps。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] bandwidth-detection destination-ip threshold 20
【相关命令】
· display anti-ddos zone configuration
display anti-ddos flow-agent statistics命令用来显示指定流统计报文输出器的统计信息。
【命令】
display anti-ddos flow-agent statistics { ip ip-address | ipv6 ipv6-address } port destination-port [ slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
ip ip-address:指定流统计报文输出器的IPv4地址。
ipv6 ipv6-address:指定流统计报文输出器的IPv6地址。
port destination-port:指定流统计报文的目的端口号,取值范围为1025~65535。
slot slot-number:显示指定成员设备上的指定流统计报文输出器的统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的指定流统计报文输出器的统计信息。
【举例】
# 显示设备槽位号为1的单板上,编号为1的CPU上的流统计报文输出器统计信息,其中流统计报文输出器的IP地址为10.10.10.10,报文目的端口号为1200。
<Sysname> display anti-ddos flow-agent statistics ip 10.10.10.10 port 1200 slot 1 cpu 1
CPU 1 on slot 1:
NetFlow V5 statistics:
Packets: 1000
Records: 1990
DropRecords: 10
NetFlow V9 statistics:
Packets: 1000
Records: 1980
TemplateRecords: 20
DataRecords: 10
DropRecords: 10
表1-1 display anti-ddos flow-agent statistics命令显示信息描述表
|
字段 |
描述 |
|
Packets |
DDoS攻击检测设备接收的报文个数 |
|
Records |
解析成功的报文记录数 |
|
DropRecords |
解析失败的报文记录数 |
|
TemplateRecords |
解析成功的Netflow V9报文模板数 |
|
DataRecords |
解析成功的Netflow V9报文记录数 |
|
DropRecords |
丢弃的Netflow V9模板个数和Netflow V9报文记录数 |
【相关命令】
· anti-ddos flow-agent
display anti-ddos flow-agent-template命令用来显示指定流统计报文输出器的NetFlow/NetStream V9模板信息。
【命令】
display anti-ddos flow-agent-template { ip ip-address | ipv6 ipv6-address } [ slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
ip ip-address:指定流统计报文输出器的IPv4地址。
ipv6 ipv6-address:指定流统计报文输出器的IPv6地址。
slot slot-number:显示指定成员设备上的指定流统计报文输出器的NetFlow/NetStream V9模板信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的指定流统计报文输出器的NetFlow/NetStream V9模板信息。
【举例】
# 显示设备的槽位号为1的单板上,编号为1的CPU上的IP地址为10.10.10.10的流统计报文输出器的NetFlow/NetStream V9模板信息。
<Sysname> system-view
[Sysname] display anti-ddos flow-agent-template ip 10.10.10.10 slot 1 cpu 1
CPU 1 on slot 1:
Template ID: 256 Source ID: 1936773375
Field information:
Field type Field length (bytes)
Packets 4
Bytes 4
Protocol 1
Template ID: 257 Source ID: 1936773376
Field information:
Field type Field length (bytes)
Packets 4
Bytes 4
Protocol 1
表1-2 display anti-ddos flow-agent-template命令显示信息描述表
|
字段 |
描述 |
|
Template id |
NetFlow/NetStream V9模板ID |
|
Source id |
NetFlow V9模板域ID |
|
Field information |
字段信息 |
|
Field Type |
字段类型 |
|
Field Length |
字段长度 |
|
Packets |
报文数字段,用来表示使用该模板发送的报文数 |
|
Bytes |
字节数字段,用来表示使用该模板发送的字节数 |
|
Protocol |
协议字段,用来表示报文的四层协议类型 |
display anti-ddos flow-forward statistics命令用来显示流统计报文的转发统计信息。
【命令】
display anti-ddos flow-forward statistics [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:显示指定成员设备上的流统计报文的转发统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的流统计报文的转发统计信息。
【举例】
# 显示槽位号为1的单板上的转发统计信息。
<Sysname> system-view
[Sysname] display anti-ddos flow-forward statistics slot 1
Slot 1:
Flow IPv4 Statistics information:
IP address port Pkts
192.168.1.1 2048 100
Flow IPv6 Statistics information:
IPv6 address port Pkts
192:168:1::1 2048 100
display anti-ddos statistics命令用来显示DDoS攻击防护统计信息。
【命令】
display anti-ddos statistics { destination-ip { ipv4 [ ip-address ] | ipv6 [ ipv6-address ] } | destination-port | source-ip { ipv4 | ipv6 } | source-port } [ slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
destination-ip:表示基于目的IP地址进行统计
destination-port:表示基于目的端口进行统计。
source-ip:表示基于源IP地址进行统计。
source-port:表示基于源端口进行统计。
ipv4:指定IP地址类型为IPv4。
ipv4-address:显示指定目的IPv4地址的DDoS攻击防护统计信息。若未指定本参数,则显示所有目的IPv4地址的DDoS攻击防护统计信息。
ipv6:指定IP地址类型为IPv6。
ipv6-address:显示指定目的IPv6地址的DDoS攻击防护统计信息。若未指定本参数,则显示所有目的IPv6地址的DDoS攻击防护统计信息。
slot slot-number:显示指定成员设备上的DDoS攻击防护统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的DDoS攻击防护统计信息
【使用指导】
DDoS攻击检测设备支持该命令。DDoS攻击清洗设备上只支持部分display anti-ddos statistics { destination-ip { ipv4 [ ip-address ] | ipv6 [ ipv6-address ] }
【举例】
# 显示基于源IPv4地址的DDoS攻击防护统计信息。
<Sysname> display anti-ddos statistics source-ip ipv4
Slot 1:
Source IP Dest IP Packet type Input(bps) Output(bps) Input(pps) Output(pps)
3.3.3.3 4.4.4.4 - 100 20 100 30
3.3.3.3 4.4.4.4 - 100 20 100 30
Slot 2:
Source IP Dest IP Packet type Input(bps) Output(bps) Input(pps) Output(pps)
2.2.2.2 4.4.4.4 - 100 30 100 30
# 显示基于源IPv6地址的DDoS攻击防护统计信息。
<Sysname> display anti-ddos statistics source-ip ipv6
Slot 1:
Source IPv6 Packet type Input(bps) Output(bps) Input(pps) Output(pps)
3::3 - 100 20 100 30
3::5 - 100 20 100 30
2::6 - 100 30 100 30
Slot 2:
Source IPv6 Packet type Input(bps) Output(bps) Input(pps) Output(pps)
8::3 ACK 100 20 100 30
#显示基于源端口的DDoS攻击防护统计信息。
<Sysname> display anti-ddos statistics source-port
Slot 1:
Source Port Dest addr Packet type Input(bps) Output(bps) Input(pps) Output(pps)
78 3.3.3.3 - 100 20 100 30
54321 3.3.3.3 - 100 20 100 30
Slot 2:
Source Port Dest addr Packet type Input(bps) Output(bps) Input(pps) Output(pps)
8080 3.3.3.3 - 100 30 100 30
#显示所有基于目的IPv4地址的DDoS攻击防护统计信息。
<Sysname> display anti-ddos statistics destination-ip ipv4
Slot 1:
Dest IP Packet type Input(bps) Output(bps) Input(pps) Output(pps)
3.3.3.3 UDP 100 20 60 10
3.3.3.3 IP 100 20 60 10
3.3.3.2 ACK 100 20 60 10
3.3.3.2 IP 100 20 60 10
6.6.6.6 HTTPS 500 50 60 10
6.6.6.6 TCP-FRAG 500 50 60 10
6.6.6.6 User-defined 2 500 50 60 10
6.6.6.6 IP 1500 150 180 30
Slot 2:
Dest IP Packet type Input(bps) Output(bps) Input(pps) Output(pps)
4.3.2.3 UDP 100 20 60 10
4.3.2.3 IP 100 20 60 10
5.3.2.3 ACK 100 20 60 10
5.3.2.3 IP 100 20 60 10
表1-3 display anti-ddos statistics 命令显示信息描述表
|
字段 |
描述 |
|
Source IP |
源IPv4地址 |
|
Source IPv6 |
源IPv6地址 |
|
Source port |
源端口号 |
|
Dest IP |
目的IPv4地址 |
|
Dest IPv6 |
目的IPv6地址 |
|
Dest addr |
目的地址 |
|
Dest port |
目的端口号 |
|
Packet type |
接收的报文类型,包括: · ACK · DNS query · DNS reply · ICMP · HTTP · SYN · SYN-ACK · UDP · RST · SIP · HTTPS · TCP fragment · UDP fragment · ICMP fragment · User-defined,即自定义DDoS攻击类型 · IP,即IP报文类型 |
|
Input(bps) |
每秒接收的报文比特数目 |
|
Output(bps) |
清洗后的报文比特数目 |
|
Input(pps) |
每秒接收的报文数目 |
|
Output (pps) |
清洗后的报文数目 |
display anti-ddos statistics destination-ip命令用来显示指定被攻击者的DDoS攻击防护统计信息。
【命令】
display anti-ddos statistics destination-ip { ipv4 ip-address | ipv6 ipv6-address } { destination-port | source-ip | source-port } [ slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv4 ip-address:指定被攻击者的IPv4地址。
ipv6 ipv6-address:指定被攻击者的IPv6地址。
destination-port:表示基于目的端口进行统计。
source-ip:表示基于源IP地址进行统计。
source-port:表示基于源端口进行统计。
slot slot-number:显示指定成员设备上指定被攻击者的DDoS攻击防护统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上指定被攻击者的DDoS攻击防护统计信息。
【举例】
#显示IPv4地址为1.1.1.1的被攻击者基于源IP地址的DDoS攻击防护统计信息。
<Sysname> display anti-ddos statistics destination-ip ipv4 1.1.1.1 source-ip
Slot 1:
Source IP Packet type Input(bps) Output(bps) Input(pps) Output(pps)
3.3.3.3 - 100 20 60 10
3.3.3.3 - 100 20 60 10
Slot 2:
Source IP Packet type Input(bps) Output(bps) Input(pps) Output(pps)
1.1.1.2 - 100 20 60 10
2.2.2.3 - 100 20 60 10
#显示IPv6地址为1::1的被攻击者基于源IP地址的DDoS攻击防护统计信息。
<Sysname> display anti-ddos statistics destination-ip ipv6 1::1 source-ip
Slot 1:
Source IPv6 Packet type Input(bps) Output(bps) Input(pps) Output(pps)
3::3 - 100 20 60 10
4::4 - 100 20 60 10
Slot 2:
Source IPv6 Packet type Input(bps) Output(bps) Input(pps) Output(pps)
3::6 - 100 20 60 10
4::5 - 100 20 60 10
表1-4 display ddos statistics命令显示信息描述表
|
字段 |
描述 |
|
Source IP |
源IPv4地址 |
|
Source IPv6 |
源IPv6地址 |
|
Source port |
源端口号 |
|
Dest port |
目的端口号 |
|
Packet type |
接收的报文种类 |
|
Input(bps) |
每秒接收的报文比特数目 |
|
Output(bps) |
清洗后的报文比特数目 |
|
Input(pps) |
每秒接收的数目 |
|
Output(pps) |
清洗后的数目 |
display anti-ddos statistics http-slow-attack命令用来显示HTTP慢速攻击防范统计信息。
【命令】
display anti-ddos statistics http-slow-attack destination-ip { ip [ ipv4-address ] | ipv6 [ ipv6-address ] } [ slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图。
【缺省用户角色】
network-admin
network-operator
【参数】
destination-ip:基于目的IP地址显示HTTP慢速攻击防范统计信息。
ip [ ipv4-address ]:显示基于指定IPv4地址的HTTP慢速攻击防范统计信息。若未指定ipv4-address,则显示所有目的IPv4地址的HTTP慢速攻击防范统计信息。
ipv6 [ ipv6-address ]:显示基于指定IPv6地址的HTTP慢速攻击防范统计信息。若未指定ipv6-address,则显示所有目的IPv6地址的HTTP慢速攻击防范统计信息。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定所有成员设备。
cpu cpu-number:指定CPU,cpu-number表示单板上的CPU编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
仅DDoS攻击清洗设备支持配置本命令。
【举例】
# 查看IPv4慢速防护相关信息。
<Sysname> display anti-ddos statistics http-slow-attack destination-ip ip
Slot 1:
Zone ID Dest-ip Concurrent-num Illegal requests
3 192.168.8.9 100 80
3 192.168.3.6 200 90
Slot 2:
Zone ID Dest-ip Concurrent-num Illegal requests
4 192.168.9.6 5 0
表1-5 display anti-ddos statistics http-slow-attack命令显示信息描述表
|
字段 |
描述 |
|
Zone ID |
DDoS攻击防护对象ID |
|
Dest-ip |
攻击的目的IPv4地址 |
|
Dest-ipv6 |
攻击的目的IPv6地址 |
|
Concurrent-num |
并发连接数 |
|
Illegal requests |
非法请求数 |
【相关命令】
· http-slow-attack defense threshold
display anti-ddos zone configuration命令用于显示DDoS攻击防护对象的配置信息。
【命令】
display anti-ddos zone configuration [ default | id zone-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
default:指定缺省DDoS攻击防护对象。
id zone-id:指定DDoS攻击防护对象的ID,取值范围为2~1024。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备上都支持该命令。
若未指定default和id zone-id,则显示所有DDoS攻击防护对象的概要配置信息。
【举例】
# 显示指定DDoS攻击防护对象的配置信息。
<Sysname> display anti-ddos zone configuration id 2
Anti-DDoS zone configuration information
Zone ID : 2
Zone name : abc
IP range configuration:
Start IP End IP
1.1.1.1 1.1.1.100
2.2.2.2 2.2.2.10
Flood detection configuration:
Flood type Thres(pps/Mbps)
DNS query 1000 pps
DNS reply 1000 pps
HTTP 1000 bps
SYN 1000 pps
ACK 1000 Mbps
SYN-ACK 1000 pps
RST 1000 pps
UDP 1000 Mbps
ICMP 1000 Mbps
SIP 1000 Mbps
TCP fragment 1000 Mbps
UDP fragment 1000 Mbps
ICMP fragment 1000 Mbps
User-defined 2 1000 pps
ACK session check configuration: Enabled
Source verification configuration:
Type Status
TCP Enabled
HTTP Enabled
DNS query Enabled
DNS reply Enabled
SIP Enabled
HTTPS Enabled
Bandwidth configuration:
bandwidth-detection destination-ip threshold: 20
bandwidth-limit destination-ip max-rate: 10
Threshold Learning: Enabled
表1-6 display anti-ddos zone命令显示信息描述表
|
字段 |
描述 |
|
Anti-ddos zone Information |
DDoS攻击防护对象配置信息 |
|
Zone name |
DDoS攻击防护对象名称 |
|
Zone ID |
DDoS攻击防护对象ID |
|
IP configuration |
DDoS攻击防护对象的IP地址范围 |
|
Start IP |
起始IP地址 |
|
End IP |
结束IP地址 |
|
Flood detection configuration |
泛洪攻击防范配置信息 |
|
Flood type |
泛洪攻击类型,包括: · ACK flood · DNS-QUERY flood · DNS-REPLY flood · ICMP flood · SYN flood · SYN-ACK flood · UDP flood · RST flood · HTTP flood · SIP flood · HTTPS flood · TCP fragment flood · UDP fragment flood · ICMP fragment flood · User-defined flood,即自定义DDoS攻击类型 |
|
Thres(pps/Mbps) |
泛洪攻击防范阈值,单位为pps或Mbps |
|
Ack session check configuration |
ACK状态防护开启状态,包括: · Enabled:启用 · Disabled:关闭 |
|
Bandwidth configuration |
DDoS攻击防护对象下带宽阈值的配置 |
|
Bandwidth-detection destination-ip threshold |
IP流量攻击的防范触发阈值 |
|
Bandwidth-limit destination-ip max-rate |
IP流量限速的最大带宽限制 |
|
Threshold Learning |
阈值学习功能的开启状态,取值包括: · Enabled:启用 · Disabled:关闭 |
# 显示所有DDoS攻击防护对象的概要配置信息。
<Sysname> display anti-ddos zone configuration
Anti-ddos Zone Brief information
Zone ID Zone Name
2 abc
100 p1
10 p12
表1-7 display anti-ddos zone configuration命令显示信息描述表
|
字段 |
描述 |
|
Zone ID |
DDoS攻击防护对象ID |
|
Zone Name |
DDoS攻击防护对象名称 |
dns-query-flood detection threshold命令用来配置DNS query泛洪攻击防范阈值,并开启DNS query泛洪攻击检测功能。
undo dns-query-flood detection threshold命令用来关闭DNS query泛洪攻击检测功能。
【命令】
dns-query-flood detection threshold { bit-based value | packet-based value}
undo dns-query-flood detection threshold
【缺省情况】
DNS query泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示DNS query泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示DNS query泛洪攻击的统计方式为按照报文个数进行统计。
value:表示DNS query泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启DNS query泛洪攻击检测功能后,设备会对收到的发往指定DDoS防护对象的流量进行DNS query泛洪攻击检测。当设备检测到向某IP地址发送DNS query报文的速率持续超过了配置的阈值时,即认为该IP地址受到了DNS query泛洪攻击,继而启动相应的防范措施:
· DDoS攻击检测设备会向管理中心发送攻击告警日志,管理中心收到攻击告警日志后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 直路部署的DDoS攻击清洗设备在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启DNS query泛洪攻击检测功能,并配置DNS query泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] dns-query-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
dns-reply-flood detection threshold命令用来配置DNS reply泛洪攻击防范阈值,并开启DNS reply泛洪攻击检测功能。
undo dns-reply-flood detection threshold命令用来关闭DNS reply泛洪攻击检测功能。
【命令】
dns-reply-flood detection threshold { bit-based value | packet-based value}
undo dns-reply-flood detection threshold
【缺省情况】
DNS reply泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示DNS reply泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示DNS reply泛洪攻击的统计方式为按照报文个数进行统计。
value:表示DNS reply泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启DNS reply泛洪攻击检测功能后,设备会对收到的发往指定DDoS防护对象的流量进行DNS reply泛洪攻击检测。当设备检测到向某IP地址发送DNS reply报文的速率持续超过了配置的阈值时,即认为该IP地址受到了DNS reply泛洪攻击,继而启动相应的防范措施:
· DDoS攻击检测设备会向管理中心发送攻击告警日志,管理中心收到攻击告警日志后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 直路部署的DDoS攻击清洗设备在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启DNS reply泛洪攻击检测功能,并配置DNS reply泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] dns-reply-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
http-flood detection threshold命令用来配置HTTP泛洪攻击防范阈值,并开启HTTP泛洪攻击检测功能。
undo http-flood detection threshold命令用来关闭HTTP泛洪攻击检测功能。
【命令】
http-flood detection threshold { bit-based value | packet-based value}
undo http-flood detection threshold
【缺省情况】
HTTP泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示HTTP泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示HTTP泛洪攻击的统计方式为按照报文个数进行统计。
value:表示HTTP泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启HTTP泛洪攻击检测功能后,设备会对收到的发往指定DDoS防护对象的流量进行HTTP泛洪攻击检测。当设备检测到向某IP地址发送HTTP报文的速率持续超过了配置的阈值时,即认为该IP地址受到了HTTP泛洪攻击,继而启动相应的防范措施:
· DDoS攻击检测设备会向管理中心发送攻击告警日志,管理中心收到攻击告警日志后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 直路部署的DDoS攻击清洗设备在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启HTTP泛洪攻击检测功能,并配置HTTP泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] http-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
https-flood detection threshold命令用来开启HTTPS泛洪攻击检测功能,并配置HTTPS 泛洪攻击防范阈值。
undo https-flood detection threshold命令用来关闭HTTPS泛洪攻击检测功能。
【命令】
https-flood detection threshold { bit-based | packet-based } value
undo https-flood detection threshold
【缺省情况】
HTTPS泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示HTTPS泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示HTTPS泛洪攻击的统计方式为按照报文个数进行统计。
value:表示HTTPS泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启HTTPS泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行HTTPS泛洪攻击检测。
当设备检测到向某IP地址发送HTTPS报文的速率超过了配置的阈值时,即认为该IP地址受到了HTTPS泛洪攻击,然后启动相应的防范措施:
对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启HTTPS泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] https-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
icmp-flood detection threshold命令用来配置ICMP泛洪攻击防范阈值,并开启ICMP泛洪攻击检测功能。
undo icmp-flood detection threshold命令用来关闭ICMP泛洪攻击检测功能。
【命令】
icmp-flood detection threshold { bit-based value | packet-based value}
undo icmp-flood detection threshold
【缺省情况】
ICMP泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示ICMP泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示ICMP泛洪攻击的统计方式为按照报文个数进行统计。
value:表示ICMP泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启ICMP泛洪攻击检测功能后,设备会对收到的发往指定DDoS防护对象的流量进行ICMP泛洪攻击检测。当设备检测到向某IP地址发送ICMP报文的速率持续超过了配置的阈值时,即认为该IP地址受到了ICMP泛洪攻击,继而启动相应的防范措施:
· 旁路部署的DDoS攻击检测设备会向管理中心发送攻击告警日志,管理中心收到攻击告警日志后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 直路部署的DDoS攻击清洗设备在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启ICMP泛洪攻击检测功能,并配置ICMP泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] icmp-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
icmp-frag-flood detection threshold命令用来开启ICMP分片泛洪攻击检测功能,并配置ICMP分片泛洪攻击防范阈值。
undo icmp-frag-flood detection threshold命令用来关闭ICMP分片泛洪攻击检测功能。
【命令】
icmp-frag-flood detection threshold { bit-based | packet-based } value
undo icmp-frag-flood detection threshold
【缺省情况】
ICMP分片泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示ICMP分片泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示ICMP分片泛洪攻击的统计方式为按照报文个数进行统计。
value:表示ICMP分片泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启ICMP分片泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行ICMP分片泛洪攻击检测。
当设备检测到向某IP地址发送ICMP分片报文的速率超过了配置的阈值时,即认为该IP地址受到了ICMP分片泛洪攻击,启动相应的防范措施:
· 对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
· 对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启ICMP分片泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] icmp-frag-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
ip-range命令用来添加DDoS攻击防护对象的IPv4地址范围。
undo ip-range命令用来删除DDoS攻击防护对象的IPv4地址范围。
【命令】
ip-range start-ip end-ip
undo ip-range start-ip end-ip
【缺省情况】
未配置DDoS攻击防护对象的IPv4地址范围。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
start-ip:表示IPv4地址范围的起始IPv4地址。
end-ip:表示IPv4地址范围的结束IPv4地址。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
每个防护对象最多允许配置128段IPv4地址范围,每个地址范围内IPv4地址的前16位必须相同,各个DDoS攻击防护对象下的IPv4地址范围不允许重叠,设备最多支持512个前16位不同的IPv4和IPv6地址范围。
缺省DDoS攻击防护对象不支持配置本命令。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,添加DDoS攻击防护对象的IPv4地址范围为192.168.30.10~192.168.30.120。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] ip-range 192.168.30.10 192.168.30.120
【相关命令】
· display anti-ddos zone configuration
· ipv6-range
ipv6-range命令用来添加DDoS攻击防护对象的IPv6地址范围。
undo ipv6-range命令用来删除DDoS攻击防护对象的IPv6地址范围。
【命令】
ipv6-range start-ip end-ip
undo ipv6-range start-ip end-ip
【缺省情况】
未配置DDoS攻击防护对象的IPv6地址范围。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
start-ip:表示IPv6地址范围的起始IPv6地址。
end-ip:表示IPv6地址范围的结束IPv6地址。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
每个防护对象最多允许配置128段IPv6地址范围,每个地址范围内IPv6地址的前16位必须相同,
各个DDoS攻击防护对象下的IPv6地址范围不允许重叠,设备最多支持512个前16位不同的IPv4和IPv6地址范围。
缺省DDoS攻击防护对象不支持配置本命令。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,添加DDoS攻击防护对象的IPv6地址范围为192:168:30::10~192:168:30::120。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] ipv6-range 192:168:30::10 192:168:30::120
【相关命令】
· display anti-ddos zone configuration
· ip-range
name命令用来配置DDoS攻击防护对象的名称。
undo name命令用来恢复缺省情况。
【命令】
name zone-name
undo name
【缺省情况】
不存在DDoS攻击防护对象的名称。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
zone-name:DDoS攻击防护对象名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。名称不能为“default”。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
不支持配置缺省DDoS攻击防护对象的名称。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,配置DDoS攻击防护对象的名称为test。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] name test
【相关命令】
· anti-ddos zone
· display anti-ddos zone configuration
rst-flood detection threshold命令用来配置RST泛洪攻击防范阈值,并开启RST泛洪攻击检测功能。
undo rst-flood detection threshold命令用来关闭RST泛洪攻击检测功能。
【命令】
rst-flood detection threshold { bit-based value | packet-based value}
undo rst-flood detection threshold
【缺省情况】
RST泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示RST泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示RST泛洪攻击的统计方式为按照报文个数进行统计。
value:表示RST泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启RST泛洪攻击检测功能后,设备会对收到的发往指定DDoS防护对象的流量进行RST泛洪攻击检测。当设备检测到向某IP地址发送RST报文的速率持续超过了配置的阈值时,即认为该IP地址受到了RST泛洪攻击,继而启动相应的防范措施:
· 旁路部署的DDoS攻击检测设备会向管理中心发送攻击告警日志,管理中心收到攻击告警日志后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 直路部署的DDoS攻击清洗设备在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启RST泛洪攻击检测功能,并配置RST泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] rst-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
sip-flood detection threshold命令用来配置SIP泛洪攻击防范阈值,并开启SIP泛洪攻击检测功能。
undo sip-flood detection threshold命令用来关闭SIP泛洪攻击检测功能。
【命令】
sip-flood detection threshold { bit-based value | packet-based value}
undo sip-flood detection threshold
【缺省情况】
SIP泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示SIP泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示SIP泛洪攻击的统计方式为按照报文个数进行统计。
value:表示SIP泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启SIP泛洪攻击检测功能后,设备会对收到的发往指定DDoS防护对象的流量进行SIP泛洪攻击检测。当设备检测到向某IP地址发送SIP报文的速率持续超过了配置的阈值时,即认为该IP地址受到了SIP泛洪攻击,继而启动相应的防范措施:
· 旁路部署的DDoS攻击检测设备会向管理中心发送攻击告警日志,管理中心收到攻击告警日志后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 直路部署的DDoS攻击清洗设备在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启SIP泛洪攻击检测功能,并配置SIP泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] sip-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
syn-ack-flood detection threshold命令用来配置SYN-ACK泛洪攻击防范阈值,并开启SYN-ACK泛洪攻击检测功能。
undo syn-ack-flood detection threshold命令用来关闭SYN-ACK泛洪攻击检测功能。
【命令】
syn-ack-flood detection threshold { bit-based value | packet-based value}
undo syn-ack-flood detection threshold
【缺省情况】
SYN-ACK泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示SYN-ACK泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示SYN-ACK泛洪攻击的统计方式为按照报文个数进行统计。
value:表示SYN-ACK泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启SYN-ACK泛洪攻击检测功能后,设备会对收到的发往指定DDoS防护对象的流量进行SYN-ACK泛洪攻击检测。当设备检测到向某IP地址发送SYN-ACK报文的速率持续超过了配置的阈值时,即认为该IP地址受到了SYN-ACK泛洪攻击,继而启动相应的防范措施:
· 旁路部署的DDoS攻击检测设备会向管理中心发送攻击告警日志,管理中心收到攻击告警日志后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 直路部署的DDoS攻击清洗设备在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启SYN-ACK泛洪攻击检测功能,并配置SYN-ACK泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zoneid--3] syn-ack-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
syn-flood detection threshold命令用来配置SYN泛洪攻击防范阈值,并开启SYN泛洪攻击检测功能。
undo syn-flood detection threshold命令用来关闭SYN泛洪攻击检测功能。
【命令】
syn-flood detection threshold { bit-based value | packet-based value}
undo syn-flood detection threshold
【缺省情况】
SYN泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示SYN泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示SYN泛洪攻击的统计方式为按照报文个数进行统计。
value:表示SYN泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启SYN泛洪攻击检测功能后,设备会对收到的发往指定DDoS防护对象的流量进行SYN泛洪攻击检测。当设备检测到向某IP地址发送SYN报文的速率持续超过了配置的阈值时,即认为该IP地址受到了SYN泛洪攻击,继而启动相应的防范措施:
· 旁路部署的DDoS攻击检测设备会向管理中心发送攻击告警日志,管理中心收到攻击告警日志后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 直路部署的DDoS攻击清洗设备在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启SYN泛洪攻击检测功能,并配置SYN泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] syn-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
tcp-frag-flood detection threshold命令用来开启TCP分片泛洪攻击检测功能,并配置TCP分片泛洪攻击防范阈值。
undo tcp-frag-flood detection threshold 命令用来关闭TCP分片泛洪攻击检测功能。
【命令】
tcp-frag-flood detection threshold { bit-based | packet-based } value
undo tcp-frag-flood detection threshold
【缺省情况】
TCP分片泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示TCP分片泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示TCP分片泛洪攻击的统计方式为按照报文个数进行统计。
value:表示TCP分片泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启TCP分片泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行TCP分片泛洪攻击检测。
当设备检测到向某IP地址发送TCP分片报文的速率超过了配置的阈值时,即认为该IP地址受到了TCP分片泛洪攻击,启动相应的防范措施:
· 对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
· 对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启TCP分片泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] tcp-frag-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
threshold-learning enable命令用来开启DDoS攻击防护对象的防范阈值学习功能。
undo threshold-learning enable命令用来关闭DDoS攻击防护对象的防范阈值学习功能。
【命令】
threshold-learning enable
undo threshold-learning enable
【缺省情况】
DDoS攻击防护对象的防范阈值学习功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
防范阈值学习功能根据当前网络的实际情况自动计算针对不同DDoS攻击类型的建议防范阈值。计算出的防范阈值比用户凭经验配置的防范阈值更符合当前网络环境。建议用户在不了解实际网络流量大小的情况下开启本功能。
在非缺省DDoS攻击防护对象视图下开启本功能后,设备以五分钟为周期统计访问DDoS攻击防护对象内IP地址的流量的基线值,并将统计值上报给DDoS管理中心,由DDoS管理中心进行数据分析、防范阈值计算和策略下发。
目前仅支持开启非缺省DDoS攻击防护对象的防范阈值学习功能。
【举例】
# 在ID为6的DDoS攻击防护对象下开启防范阈值学习功能。
<Sysname> system-view
[Sysname] anti-ddos zone id 6
[Sysname-anti-ddos-zone-id-6] threshold-learning enable
【相关命令】
· display anti-ddos zone configuration
udp-flood detection threshold命令用来配置UDP泛洪攻击防范阈值,并开启UDP泛洪攻击检测功能。
undo udp-flood detection threshold命令用来关闭UDP泛洪攻击检测功能。
【命令】
udp-flood detection threshold { bit-based value | packet-based value}
undo udp-flood detection threshold
【缺省情况】
DNS query泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示UDP泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示UDP flood的统计方式为按照报文个数进行统计。
value:表示UDP泛洪攻击防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
DDoS攻击检测设备和DDoS攻击清洗设备均支持配置本命令。
开启UDP泛洪攻击检测功能后,设备会对收到的发往指定DDoS防护对象的流量进行UDP泛洪攻击检测。当设备检测到向某IP地址发送UDP报文的速率持续超过了配置的阈值时,即认为该IP地址受到了UDP泛洪攻击,继而启动相应的防范措施:
· 旁路部署的DDoS攻击检测设备会向管理中心发送攻击告警日志,管理中心收到攻击告警日志后向DDoS攻击清洗设备下发引流策略,将攻击流量引流到DDoS攻击清洗设备上进行流量清洗。
· 直路部署的DDoS攻击清洗设备在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启UDP泛洪攻击检测功能,并配置UDP泛洪攻击防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] udp-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
udp-frag-flood detection threshold命令用来开启UDP分片泛洪攻击检测功能,并配置UDP分片泛洪攻击防范阈值。
undo upd-frag-flood detection threshold 命令用来关闭UDP分片泛洪攻击检测功能。
【命令】
udp-frag-flood detection threshold { bit-based | packet-based } value
undo udp-frag-flood detection threshold
【缺省情况】
UDP分片泛洪攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
bit-based:表示UDP分片泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示UDP分片泛洪攻击的统计方式为按照报文个数进行统计。
value:表示UDP分片泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启UDP分片泛洪攻击检测功能后,会对设备收到的指定DDoS防护对象的流量进行UDP分片泛洪攻击检测。
当设备检测到向某IP地址发送UDP分片报文的速率超过了配置的阈值时,即认为该IP地址受到了UDP分片泛洪攻击,启动相应的防范措施:
· 对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
· 对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启UDP分片 泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] udp-frag-flood detection threshold packet-based 20
【相关命令】
· display anti-ddos zone configuration
user-defined attack-type detection threshold命令用来开启指定自定义DDoS攻击类型的攻击检测功能,并配置指定自定义DDoS攻击类型的攻击防范阈值。
undo user-defined attack-type detection threshold命令用来关闭自定义DDoS攻击类型的攻击检测功能。
【命令】
user-defined attack-type id id detection threshold { bit-based | packet-based } value
undo user-defined attack-type [ id id ] detection threshold
【缺省情况】
自定义DDoS攻击类型的攻击检测功能处于关闭状态。
【视图】
DDoS攻击防护对象视图
【缺省用户角色】
network-admin
【参数】
id id:指定自定义DDoS攻击类型的ID,取值范围为0~15。
bit-based:表示指定自定义DDoS攻击类型的泛洪攻击的统计方式为按照比特数进行统计。
packet-based:表示指定自定义DDoS攻击类型的泛洪攻击的统计方式为按照报文个数进行统计。
value:表示指定自定义DDoS攻击类型的泛洪攻击的防范阈值。当统计方式为packet-based时,取值范围为1~4294967295,单位为pps;当统计方式为bit-based时,取值范围为1~4294967295,单位为Mbps。
【使用指导】
检测设备和清洗设备均支持配置本命令。
开启指定自定义DDoS攻击类型的泛洪攻击检测功能后,设备会对收到的指定DDoS防护对象的流量进行指定自定义DDoS攻击类型的泛洪攻击检测。
当设备检测到向某IP地址发送指定自定义DDoS攻击类型的报文的速率超过了配置的阈值时,即认为该IP地址受到了指定自定义DDoS攻击类型的泛洪攻击,启动相应的防范措施:
· 对于旁路部署的检测设备,会向管理中心发送攻击告警通知,管理中心收到攻击告警通知后向清洗设备下发引流策略,将攻击流量引流到清洗设备上进行流量检测和流量清洗。
· 对于直路部署的清洗设备:在设备本地对攻击流量进行清洗。
此后,当设备检测到向该IP地址发送报文的速率持续低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,并停止执行防范措施。
【举例】
# 在ID为3的DDoS攻击防护对象视图下,开启ID为2的自定义DDoS攻击类型的泛洪攻击检测功能,并配置防范阈值为20个报文。
<Sysname> system-view
[Sysname] anti-ddos zone id 3
[Sysname-anti-ddos-zone-id-3] user-defined attack-type id 2 detection threshold packet-based 20
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
