- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
23-攻击检测与防范命令
本章节下载: 23-攻击检测与防范命令 (107.41 KB)
attack-defense tcp fragment enable命令用来开启TCP分片攻击防范功能。
undo attack-defense tcp fragment enable命令用来关闭TCP分片攻击防范功能。
【命令】
attack-defense tcp fragment enable
undo attack-defense tcp fragment enable
【缺省情况】
TCP分片攻击防范功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
设备的包过滤功能一般是通过判断TCP首个分片中的五元组(源IP地址、源端口号、目的IP地址、目的端口号、传输层协议号)信息来决定后续TCP分片是否允许通过。RFC 1858对TCP分片报文进行了规定,认为TCP分片报文中,首片报文中TCP报文长度小于20字节,或后续分片报文中分片偏移量等于8字节的报文为TCP分片攻击报文。这类报文可以成功绕过上述包过滤功能,对设备造成攻击。为防止这类攻击,可以在设备上开启TCP分片攻击防范功能,对TCP分片攻击报文进行丢弃。
如果设备上开启了TCP分片攻击防范功能,并应用了单包攻击防范策略,则TCP分片攻击防范功能会先于单包攻击防范策略检测并处理入方向的TCP报文。
【举例】
# 开启TCP分片攻击防范功能。
<Sysname> system-view
[Sysname] attack-defense tcp fragment enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
