- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
12-基于IP的攻击防御命令
本章节下载: 12-基于IP的攻击防御命令 (597.26 KB)
目 录
1.1.2 tcp check-state interval
1.2.1 tcp abnormal-packet-defend
1.3.1 display ip icmp fast-reply statistics
1.3.2 display ipv6 icmpv6 fast-reply statistics
1.3.3 ip icmp fast-reply enable
1.3.4 ipv6 icmpv6 fast-reply enable
1.3.5 reset ip icmp fast-reply statistics
1.3.6 reset ipv6 icmpv6 fast-reply statistics
1.4.1 display ipv6 tcp anti-syn-flood flow-based entry
1.4.2 display ipv6 tcp anti-syn-flood flow-based entry count
1.4.3 display tcp anti-syn-flood flow-based configuration
1.4.4 display tcp anti-syn-flood flow-based entry
1.4.5 display tcp anti-syn-flood flow-based entry count
1.4.6 display tcp anti-syn-flood interface-based configuration
1.4.7 display tcp anti-syn-flood interface-based entry
1.4.8 display tcp anti-syn-flood interface-based entry count
1.4.9 reset ipv6 tcp anti-syn-flood flow-based entry
1.4.10 reset ipv6 tcp anti-syn-flood flow-based statistics
1.4.11 reset tcp anti-syn-flood flow-based entry
1.4.12 reset tcp anti-syn-flood flow-based statistics
1.4.13 reset tcp anti-syn-flood interface-based entry
1.4.14 reset tcp anti-syn-flood interface-based statistics
1.4.15 tcp anti-syn-flood flow-based duration
1.4.16 tcp anti-syn-flood flow-based enable
1.4.17 tcp anti-syn-flood flow-based threshold
1.4.18 tcp anti-syn-flood interface-based check-interval
1.4.19 tcp anti-syn-flood interface-based duration
1.4.20 tcp anti-syn-flood interface-based enable
1.4.21 tcp anti-syn-flood interface-based threshold
1.4.22 tcp anti-syn-flood log enable
1.4.23 tcp anti-syn-flood flow-based check-interval
1.5.1 display ipv6 udp anti-flood flow-based entry
1.5.2 display ipv6 udp anti-flood flow-based entry count
1.5.3 display udp anti-flood flow-based configuration
1.5.4 display udp anti-flood flow-based entry
1.5.5 display udp anti-flood flow-based entry count
1.5.6 display udp anti-flood interface-based configuration
1.5.7 display udp anti-flood interface-based entry
1.5.8 display udp anti-flood interface-based entry count
1.5.9 reset ipv6 udp anti-flood flow-based entry
1.5.10 reset ipv6 udp anti-flood flow-based statistics
1.5.11 reset udp anti-flood flow-based entry
1.5.12 reset udp anti-flood flow-based statistics
1.5.13 reset udp anti-flood interface-based entry
1.5.14 reset udp anti-flood interface-based statistics
1.5.15 udp anti-flood flow-based check-interval
1.5.16 udp anti-flood flow-based destination-port
1.5.17 udp anti-flood flow-based duration
1.5.18 udp anti-flood flow-based enable
1.5.19 udp anti-flood flow-based exclude destination-port
1.5.20 udp anti-flood flow-based threshold
1.5.21 udp anti-flood interface-based check-interval
1.5.22 udp anti-flood interface-based duration
1.5.23 udp anti-flood interface-based enable
1.5.24 udp anti-flood interface-based threshold
1.5.25 udp anti-flood log enable
1.6.1 display ip abnormal-packet-defend statistics
1.6.2 ip abnormal-packet-defend enable
1.6.3 reset ip abnormal-packet-defend statistics
tcp anti-naptha enable命令用来开启防止Naptha攻击功能。
undo tcp anti-naptha enable命令用来关闭防止Naptha攻击功能。
【命令】
tcp anti-naptha enable
undo tcp anti-naptha enable
【缺省情况】
防止Naptha攻击功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启防止Naptha攻击功能后,设备周期性地对各状态的TCP连接数进行检测(检测周期由tcp check-state interval命令配置),当某状态的最大TCP连接数超过指定的最大连接数后(最大连接数由tcp state命令配置),将加速该状态下TCP连接的老化。
【举例】
# 开启防止Naptha攻击功能。
<Sysname> system-view
[Sysname] tcp anti-naptha enable
【相关命令】
· tcp check-state interval
· tcp state
tcp check-state interval命令用来配置TCP连接状态的检测周期。
undo tcp check-state interval命令用来恢复缺省情况。
【命令】
tcp check-state interval interval
undo tcp check-state interval
【缺省情况】
TCP连接状态的检测周期为30秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:TCP连接状态的检测周期,取值范围为1~60,单位为秒。
【使用指导】
设备周期性地检测处于CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五种状态的TCP连接数,如果检测到某个状态的TCP连接数目超过设定的最大连接数时,将加速该状态下TCP连接的老化。
开启防止Naptha攻击功能后,设备才会周期性地对各状态的TCP连接数进行检测。
【举例】
# 配置TCP连接状态的检测周期为40秒。
<Sysname> system-view
[Sysname] tcp check-state interval 40
【相关命令】
· tcp anti-naptha enable
· tcp state
tcp state命令用来配置TCP连接的某一状态下的最大TCP连接数。
undo tcp state命令用来恢复为缺省情况。
【命令】
tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit number
undo tcp state { closing | established | fin-wait-1 | fin-wait-2 | last-ack } connection-limit
【缺省情况】
CLOSING、ESTABLISHED、 FIN_WAIT_1、 FIN_WAIT_2和LAST_ACK五种状态最大TCP连接数均为50。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
closing:TCP连接的CLOSING状态。
established:TCP连接的ESTABLISHED状态。
fin-wait-1:TCP连接的FIN_WAIT_1状态。
fin-wait-2:TCP连接的FIN_WAIT_2状态。
last-ack:TCP连接的LAST_ACK状态。
connection-limit number:最大TCP连接数,取值范围为0~500,取值为0时,表示不会加速该状态下TCP连接的老化。
【使用指导】
开启防止Naptha攻击功能后,各状态的最大TCP连接数限制才能生效,连接数目超过最大连接数后,将加速该状态下TCP连接的老化。
【举例】
# 配置ESTABLISHED状态下的最大TCP连接数为100。
<Sysname> system-view
[Sysname] tcp state established connection-limit 100
【相关命令】
· tcp anti-naptha enable
· tcp check-state interval
tcp abnormal-packet-defend命令用来开启防止对TCP连接的攻击功能。
undo tcp abnormal-packet-defend命令用来关闭防止对TCP连接的攻击功能。
【命令】
tcp abnormal-packet-defend [ log | threshold threshold-value ]*
undo tcp abnormal-packet-defend
【缺省情况】
防止对TCP连接的攻击功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
log:开启TCP连接防攻击的日志功能,缺省情况下该功能关闭。
threshold threshold-value:TCP连接防攻击的监控阈值,取值范围为100~1000000,缺省值为1000。
【使用指导】
开启防止对TCP连接的攻击功能,设备将对每个已建立的TCP连接收到的错误文进行数量统计,若一个统计周期(固定为1s)内收到的错误报文数量超过TCP连接防攻击的监控阈值,则判断当前连接遭到攻击,此时设备会断开该TCP连接。开启TCP连接防攻击的日志功能后,断开TCP连接时,设备会打印受攻击的TCP连接的日志信息。
【举例】
# 开启防止对TCP连接的攻击功能,并设置监控阈值为200。
<Sysname> system-view
[Sysname] tcp abnormal-packet-defend threshold 200
display ip icmp fast-reply statistics命令用来显示ICMP快速应答的报文统计信息。
【命令】
(独立运行模式)
display ip icmp fast-reply statistics [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display ip icmp fast-reply statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的ICMP快速应答的报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板上的ICMP快速应答的报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的ICMP快速应答的报文统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的ICMP快速应答的报文统计信息。(IRF模式)
cpu cpu-number:显示指定CPU上的ICMP快速应答的报文统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示slot 3上的ICMP快速应答的报文统计信息。(独立运行模式)
<Sysname> display ip icmp fast-reply statistics slot 3
Number of fast replied ICMP messages: 419455
表1-1 display ip icmp fast-reply statistics 命令显示信息描述表
|
字段 |
描述 |
|
Number of fast replied ICMP messages |
ICMP快速应答的报文数统计 |
【相关命令】
· reset ip icmp fast-reply statistics
display ipv6 icmpv6 fast-reply statistics命令用来显示ICMPV6快速应答的报文统计信息。
【命令】
(独立运行模式)
display ipv6 icmpv6 fast-reply statistics [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display ipv6 icmpv6 fast-reply statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的ICMPV6快速应答的报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板上的ICMPV6快速应答的报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的ICMPV6快速应答的报文统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的ICMPV6快速应答的报文统计信息。(IRF模式)
cpu cpu-number:显示指定CPU上的ICMP快速应答的报文统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示slot 3上的ICMPV6快速应答的报文统计信息。(独立运行模式)
<Sysname> display ipv6 icmpv6 fast-reply statistics slot 3
Number of fast replied ICMPv6 messages: 419455
表1-2 display ipv6 icmpv6 fast-reply statistics命令显示信息描述表
|
字段 |
描述 |
|
Number of fast replied ICMPv6 messages |
ICMPv6快速应答的报文数统计 |
【相关命令】
· reset ipv6 icmpv6 fast-reply statistics
ip icmp fast-reply enable命令用来开启ICMP快速应答功能。
undo ip icmp fast-reply enable命令用来关闭ICMP快速应答功能。
【命令】
ip icmp fast-reply enable
undo ip icmp fast-reply enable
【缺省情况】
ICMP快速应答功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
为了防止ICMP请求报文攻击,用户可以开启ICMP快速应答功能,对于收到的ICMP请求报文由硬件快速应答。
【举例】
# 开启ICMP快速应答功能。
<Sysname> system-view
[Sysname] ip icmp fast-reply enable
【相关命令】
· ipv6 icmpv6 fast-reply enable
ipv6 icmpv6 fast-reply enable命令用来开启ICMPv6快速应答功能。
undo ipv6 icmpv6 fast-reply enable命令用来关闭ICMPv6快速应答功能。
【命令】
ipv6 icmpv6 fast-reply enable
undo ipv6 icmpv6 fast-reply enable
【缺省情况】
ICMPv6 快速应答功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
为了防止ICMPv6请求报文攻击,用户可以开启ICMPv6快速应答功能,对于收到的ICMPv6请求报文由硬件快速应答。
【举例】
# 开启ICMPv6快速应答功能。
<Sysname> system-view
[Sysname] ipv6 icmpv6 fast-reply enable
【相关命令】
· ip icmp fast-reply enable
reset ip icmp fast-reply statistics命令用来清除ICMP快速应答的报文统计信息。
【命令】
(独立运行模式)
reset ip icmp fast-reply statistics [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset ip icmp fast-reply statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:清除指定单板的ICMP快速应答的报文统计信息。slot-number表示单板的槽位号。如果不指定该参数,则表示清除所有单板的ICMP快速应答的报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的ICMP快速应答的报文统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。如果没有指定该参数,则表示清除所有成员设备的所有单板上的ICMP快速应答的报文统计信息。(IRF模式)
cpu cpu-number:清除指定CPU上的ICMP快速应答的报文统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 清除slot3上ICMP快速应答的报文统计信息。(独立运行模式)
<Sysname> reset ip icmp fast-reply statistics slot 3
【相关命令】
· display ip icmp fast-reply statistics
reset ipv6 icmpv6 fast-reply statistics命令用来清除ICMPv6快速应答的报文统计信息。
【命令】
(独立运行模式)
reset ipv6 icmpv6 fast-reply statistics [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset ipv6 icmpv6 fast-reply statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:清除指定单板的ICMPv6快速应答的报文统计信息。slot-number表示单板的槽位号。如果不指定该参数,则表示清除所有单板的ICMPv6快速应答的报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的ICMPv6快速应答的报文统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。如果没有指定该参数,则表示清除所有成员设备的所有单板上的ICMPv6快速应答的报文统计信息。(IRF模式)
cpu cpu-number:清除指定CPU上的ICMPv6快速应答的报文统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 清除slot3上ICMPv6快速应答的报文统计信息。(独立运行模式)
<Sysname> reset ipv6 icmpv6 fast-reply statistics slot 3
【相关命令】
· display ipv6 icmpv6 fast-reply statistics
display ipv6 tcp anti-syn-flood flow-based entry命令用来显示基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
【命令】
(独立运行模式)
display ipv6 tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * slot slot-number [ cpu cpu-number ] [ verbose ]
(IRF模式)
display ipv6 tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * chassis chassis-number slot slot-number [ cpu cpu-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息,包括公网和私网VPN。如果未指定本参数,则显示公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
vpn-instance vpn-instance-name显示指定VPN实例的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
destination-port port-number:显示指定攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。port-number表示端口号,取值范围为0~65535。如果未指定本参数,则显示所有目的端口号的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
source ipv6-address:显示指定攻击源IPv6地址的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。ipv6-address 表示IPv6地址。如果未指定本参数,则显示所有源IPv6地址的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
type { ip | mpls }:显示指定报文类型的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则显示所有报文类型的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。
slot slot-number:显示指定单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU上的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示基于流的TCP SYN Flood攻击防范的IPv6攻击表项的详细信息。如果未指定本参数,则显示基于流的TCP SYN Flood攻击防范的IPv6攻击表项的简要信息。
【举例】
# 显示slot 3上公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的简要信息。(独立运行模式)
<Sysname> display ipv6 tcp anti-syn-flood flow-based entry slot 3
SrcAddr DstPort VPN Type Packets dropped
2::1 179 -- IP 987654321
# 显示slot 3上公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的详细信息。(独立运行模式)
<Sysname> display ipv6 tcp anti-syn-flood flow-based entry slot 3 verbose
SrcAddr: 2::1
DstPort: 179
VPN: --
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/05/18 09:30:00
Packets dropped: 987654321
# 显示chassis1 slot 3上公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的简要信息。(IRF模式)
<Sysname> display ipv6 tcp anti-syn-flood flow-based entry chassis 1 slot 3
SrcAddr DstPort VPN Type Packets dropped
2::1 179 -- IP 987654321
# 显示chassis1 slot 3上公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的详细信息。(IRF模式)
<Sysname> display ipv6 tcp anti-syn-flood flow-based entry chassis 1 slot 3 verbose
SrcAddr: 2::1
DstPort: 179
VPN: --
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/05/18 09:30:00
Packets dropped: 987654321
表1-3 display ipv6 tcp anti-syn-flood flow-based entry命令显示信息描述表
|
字段 |
描述 |
|
SrcAddr |
攻击源IPv6地址 |
|
DstPort |
攻击目的端口号 |
|
VPN |
VPN实例名称,如果是公网则显示-- |
|
Type |
报文类型:MPLS表示MPLS报文,IP表示IP报文 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not enough resources:资源不足 |
|
Aging time |
基于流的TCP SYN Flood攻击防范的攻击表项的剩余老化时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
|
Packets dropped |
基于流的TCP SYN Flood攻击防范丢弃的SYN报文数 |
【相关命令】
· reset ipv6 tcp anti-syn-flood flow-based entry
· reset ipv6 tcp anti-syn-flood flow-based statistics
display ipv6 tcp anti-syn-flood flow-based entry count命令用来显示基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数。
【命令】
(独立运行模式)
display ipv6 tcp anti-syn-flood flow-based entry slot slot-number [ cpu cpu-number ] count
(IRF模式)
display ipv6 tcp anti-syn-flood flow-based entry chassis chassis-number slot slot-number [ cpu cpu-number ] count
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项信息。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU上的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示slot 3上的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数。(独立运行模式)
<Sysname> display ipv6 tcp anti-syn-flood flow-based entry slot 3 count
Total flow-based entries: 2
# 显示chassis1 slot 3上的基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数。(IRF模式)
<Sysname> display ipv6 tcp anti-syn-flood flow-based entry chassis 1 slot 3 count
Total flow-based entries: 2
表1-4 display ipv6 tcp anti-syn-flood flow-based entry count命令显示信息描述表
|
字段 |
描述 |
|
Total flow-based entries |
基于流的TCP SYN Flood攻击防范的IPv6攻击表项的个数 |
【相关命令】
· reset ipv6 tcp anti-syn-flood flow-based entry
· reset ipv6 tcp anti-syn-flood flow-based statistics
display tcp anti-syn-flood flow-based configuration命令用来显示基于流的TCP SYN Flood攻击防范功能的配置信息。
【命令】
display tcp anti-syn-flood flow-based configuration
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示基于流的TCP SYN Flood攻击防范功能的配置信息。
<Sysname> display tcp anti-syn-flood flow-based configuration
Flow-based TCP SYN flood attack prevention is enabled.
Check interval: 1 seconds
Duration: 5 minutes
Threshold: 100 packets per check interval
表1-5 display tcp anti-syn-flood flow-based configuration命令显示信息描述表
|
字段 |
描述 |
|
Flow-based TCP SYN flood attack prevention is enabled. |
基于流的TCP SYN Flood攻击防范功能处于开启状态 |
|
Flow-based TCP SYN flood attack prevention is disabled. |
基于流的TCP SYN Flood攻击防范功能处于关闭状态 |
|
Check interval |
基于流的TCP SYN Flood攻击防范功能的检测周期,单位为秒 |
|
Duration |
基于流的TCP SYN Flood攻击防范功能的持续时长,单位为分钟 |
|
Threshold |
基于流的TCP SYN Flood攻击防范功能的触发阈值 |
【相关命令】
· tcp anti-syn-flood flow-based enable
display tcp anti-syn-flood flow-based entry命令用来显示基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
【命令】
(独立运行模式)
display tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * slot slot-number [ cpu cpu-number ] [ verbose ]
(IRF模式)
display tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * chassis chassis-number slot slot-number [ cpu cpu-number ] [ verbose ]
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息,包括公网和私网VPN。如果未指定本参数,则显示公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
vpn-instance vpn-instance-name显示指定VPN实例的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
destination-port port-number:显示指定攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。port-number表示端口号,取值范围为0~65535。如果未指定本参数,则显示所有攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
source ipv4-address:显示指定攻击源IPv4地址的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。ipv4-address 表示IPv4地址。如果未指定本参数,则显示所有攻击源IPv4地址的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
type { ip | mpls }:显示指定报文类型的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则显示所有报文类型的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。
slot slot-number:显示指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU上的基于流的TCP SYN Flood攻击防范的IPv4攻击表项信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示基于流的TCP SYN Flood攻击防范的IPv4攻击表项的详细信息。如果未指定本参数,则显示基于流的TCP SYN Flood攻击防范的IPv4攻击表项的简要信息。
【举例】
# 显示slot3上公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的简要信息。(独立运行模式)
<Sysname> display tcp anti-syn-flood flow-based entry slot 3
SrcAddr DstPort VPN Type Packets dropped
1.1.1.1 179 -- MPLS 12345678
2.1.1.1 179 -- IP 87654321
# 显示slot3上公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的详细信息。(独立运行模式)
<Sysname> display tcp anti-syn-flood flow-based entry slot 3 verbose
SrcAddr: 1.1.1.1
DstPort: 179
VPN: --
Type: MPLS
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/01/07 18:55:03
Packets dropped: 12345678
SrcAddr: 2.1.1.1
DstPort: 179
VPN: 1
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/01/07 18:30:00
Packets dropped: 87654321
# 显示chassis1 slot3上公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的简要信息。(IRF模式)
<Sysname> display tcp anti-syn-flood flow-based entry chassis 1 slot 3
SrcAddr DstPort VPN Type Packets dropped
1.1.1.1 179 -- MPLS 12345678
2.1.1.1 179 -- IP 87654321
# 显示chassis1 slot3上公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的详细信息。(IRF模式)
<Sysname> display tcp anti-syn-flood flow-based entry chassis 1 slot 3 verbose
SrcAddr: 1.1.1.1
DstPort: 179
VPN: --
Type: MPLS
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/01/07 18:55:03
Packets dropped: 12345678
SrcAddr: 2.1.1.1
DstPort: 179
VPN: 1
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/05/18 09:30:00
Packets dropped: 87654321
表1-6 display tcp anti-syn-flood flow-based entry命令显示信息描述表
|
字段 |
描述 |
|
SrcAddr |
攻击报文的源IP地址 |
|
DstPort |
攻击目的端口号 |
|
VPN |
VPN实例名称,如果是公网则显示-- |
|
Type |
报文类型:MPLS表示MPLS报文,IP表示IP报文 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not enough resources:资源不足 |
|
Aging time |
基于流的TCP SYN Flood攻击防范的攻击表项的剩余老化时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
|
Packets dropped |
基于流的TCP SYN Flood攻击防范丢弃的SYN报文数 |
【相关命令】
· reset tcp anti-syn-flood flow-based entry
· reset tcp anti-syn-flood flow-based statistics
display tcp anti-syn-flood flow-based entry count命令用来显示基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数。
【命令】
(独立运行模式)
display tcp anti-syn-flood flow-based entry slot slot-number [ cpu cpu-number ] count
(IRF模式)
display tcp anti-syn-flood flow-based entry chassis chassis-number slot slot-number [ cpu cpu-number ] count
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU上的基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示slot3上基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数。(独立运行模式)
<Sysname> display tcp anti-syn-flood flow-based entry slot 3 count
Total flow-based entries: 2
# 显示chassis1 slot3上基于流的TCP SYN Flood攻击防范的IPv4攻击表项的个数。(IRF模式)
<Sysname> display tcp anti-syn-flood flow-based entry chassis 1 slot 3 count
Total flow-based entries: 2
表1-7 display tcp anti-syn-flood flow-based entry count命令显示信息描述表
|
字段 |
描述 |
|
Total flow-based entries |
基于流的TCP SYN Flood攻击防范的IPv4表项的个数 |
【相关命令】
· reset tcp anti-syn-flood flow-based entry
· reset tcp anti-syn-flood flow-based statistics
display tcp anti-syn-flood interface-based configuration命令用来显示基于接口的TCP SYN Flood攻击防范功能的配置信息。
【命令】
display tcp anti-syn-flood interface-based configuration
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
【举例】
#显示基于接口的TCP SYN Flood攻击防范功能的配置信息。
<Sysname> display tcp anti-syn-flood interface-based configuration
Interface-based TCP SYN flood attack prevention is enabled.
Check interval: 1 seconds
Duration: 5 minutes
Threshold: 100 packets per check interval
表1-8 display tcp anti-syn-flood interface-based configuration命令显示信息描述表
|
字段 |
描述 |
|
Interfaced-based TCP SYN flood attack prevention is enabled. |
基于接口的TCP SYN Flood攻击防范功能处于开启状态 |
|
Interface-based TCP SYN flood attack prevention is disabled. |
基于接口的TCP SYN Flood攻击防范功能处于关闭状态 |
|
Check interval |
基于接口的TCP SYN Flood攻击防范功能的检测周期,单位为秒 |
|
Duration |
基于接口的TCP SYN Flood攻击防范功能的持续时间,单位为分钟 |
|
Threshold |
基于接口的TCP SYN Flood攻击防范功能的触发阈值 |
【相关命令】
· tcp anti-syn-flood interface-based enable
display tcp anti-syn-flood interface-based entry命令用来显示基于接口的TCP SYN Flood攻击防范的攻击表项信息。
【命令】
(独立运行模式)
display tcp anti-syn-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * slot slot-number [ cpu cpu-number ] [ verbose ]
(IRF模式)
display tcp anti-syn-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * chassis chassis-number slot slot-number [ cpu cpu-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的基于接口的TCP SYN Flood攻击防范的攻击表项信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则显示所有接口的基于接口的TCP SYN Flood攻击防范的攻击表项信息。
type { ip | mpls }:显示指定报文类型的基于接口的TCP SYN Flood攻击防范的攻击表项信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则显示所有报文类型的基于接口的TCP SYN Flood攻击防范的攻击表项信息。
slot slot-number:显示指定单板的基于接口的TCP SYN Flood攻击防范的攻击表项信息。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于接口的TCP SYN Flood攻击防范的攻击表项信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU的基于接口的TCP SYN Flood攻击防范的攻击表项。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示基于接口的TCP SYN Flood攻击防范的攻击表项的详细信息。如果未指定本参数,则显示基于接口的TCP SYN Flood攻击防范的攻击表项的简要信息。
【举例】
# 显示slot3上的基于接口的TCP SYN Flood攻击防范的攻击表项的简要信息。(独立运行模式)
<Sysname> display tcp anti-syn-flood interface-based entry slot 3
Interface Type Packets totally received
XGE3/1/1 MPLS 18446
XGE3/1/2 IP 12345
# 显示slot3上的基于接口的TCP SYN Flood攻击防范的攻击表项的详细信息。(独立运行模式)
<Sysname> display tcp anti-syn-flood interface-based entry slot 3 verbose
Interface: XGE3/1/1
Type: MPLS
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/08/07 10:33:35
Packets totally received: 18446
Packets sent to CPU: 184
Interface: XGE3/1/2
Type: IP
Hardware status: Succeeded
Aging time: 3210 seconds
Attack time: 2018/08/07 09:33:12
Packets totally received: 12345
Packets sent to CPU: 100
# 显示chassis1 slot3上的基于接口的TCP SYN Flood攻击防范的攻击表项的简要信息。(IRF模式)
<Sysname> display tcp anti-syn-flood interface-based entry chassis 1 slot 3
Interface Type Packets totally received
XGE3/1/1 MPLS 18446
XGE3/1/2 IP 12345
# 显示chassis1 slot3上的基于接口的TCP SYN Flood攻击防范的攻击表项的详细信息。(IRF模式)
<Sysname> display tcp anti-syn-flood interface-based entry chassis 1 slot 3 verbose
Interface: XGE3/1/1
Type: MPLS
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/08/07 10:33:35
Packets totally received: 18446
Packets sent to CPU: 184
Interface: XGE3/1/2
Type: IP
Hardware status: Succeeded
Aging time: 3210 seconds
Attack time: 2018/08/07 09:33:12
Packets totally received: 12345
Packets sent to CPU: 100
表1-9 display tcp anti-syn-flood interface-based entry命令显示信息描述表
|
字段 |
描述 |
|
Interface |
受到攻击的接口 |
|
Type |
报文类型:MPLS表示MPLS报文,IP表示IP报文 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not enough resources:资源不足 |
|
Aging time |
基于接口的TCP SYN Flood攻击防范的攻击表项的剩余老化时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
|
Packets totally received |
收到的总报文数 |
|
Packets sent to CPU |
上送到CPU的报文数 |
【相关命令】
· reset tcp anti-syn-flood interface-based entry
· reset tcp anti-syn-flood interface-based entry statistics
display tcp anti-syn-flood interface-based entry count命令用来显示基于接口的TCP SYN Flood攻击防范的攻击表项的个数。
【命令】
(独立运行模式)
display tcp anti-syn-flood interface-based entry slot slot-number [ cpu cpu-number ] count
(IRF模式)
display tcp anti-syn-flood interface-based entry chassis chassis-number slot slot-number [ cpu cpu-number ] count
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的基于接口的TCP SYN Flood攻击防范的攻击表项的个数。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于接口的TCP SYN Flood攻击防范的攻击表项的个数。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU的基于接口的TCP SYN Flood攻击防范的攻击表项的个数。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示slot3上的基于接口的TCP SYN Flood攻击防范的攻击表项的个数。(独立运行模式)
<Sysname> display tcp anti-syn-flood interface-based entry slot 3 count
Total interface-based entries: 2
# 显示chassis1 slot3上的基于接口的TCP SYN Flood攻击防范的攻击表项的个数。(IRF模式)
<Sysname> display tcp anti-syn-flood interface-based entry chassis 1 slot 3 count
Total interface-based entries: 2
表1-10 display tcp anti-syn-flood interface-based entry count命令显示信息描述表
|
字段 |
描述 |
|
Total interface-based entries |
基于接口的TCP SYN Flood攻击防范的攻击表项的个数 |
【相关命令】
· reset tcp anti-syn-flood interface-based entry
· reset tcp anti-syn-flood interface-based entry statistics
reset ipv6 tcp anti-syn-flood flow-based entry命令用来删除基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
【命令】
(独立运行模式)
reset ipv6 tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset ipv6 tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:删除所有基于流的TCP SYN Flood攻击防范的IPv6攻击表项,包括公网和私网VPN。如果未指定本参数,则删除公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
vpn-instance vpn-instance-name:删除指定VPN实例的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则删除公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
destination-port port-number:删除指定攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。port-number表示端口号,取值范围为0~65535。如果未指定攻击目的端口号,则删除所有攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
source ipv6-address:删除指定攻击源IPv6地址的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。ipv6-address表示IPv6地址。如果未指定攻击源IPv6地址,则删除所有攻击源IPv6地址的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
type { ip | mpls }:删除指定报文类型的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则删除所有报文类型的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
slot slot-number:删除指定单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。(独立运行模式)
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。(IRF模式)
cpu cpu-number:删除指定CPU的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有公网的基于流的TCP SYN Flood攻击防范的IPv6攻击表项。
【举例】
# 删除公网的攻击源IPv6地址为2000::1,攻击目的端口号为179的基于流的TCP SYN Flood攻击防范的IPv6表项。
<Sysname> reset ipv6 tcp anti-syn-flood flow-based entry destination-port 179 source 2000::1
【相关命令】
· display ipv6 tcp anti-syn-flood flow-based entry
reset ipv6 tcp anti-syn-flood flow-based statistics命令用来清除基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
【命令】
(独立运行模式)
reset ipv6 tcp anti-syn-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset ipv6 tcp anti-syn-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:清除所有基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息,包括公网和私网。如果未指定本参数,则清除公网的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
vpn-instance vpn-instance-name:清除指定VPN实例的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则清除公网的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
destination-port port-number:清除指定攻击目的端口号的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。port-number表示端口号,取值范围为0~65535。如果未指定攻击目的端口号,则清除所有攻击目的端口号的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
source ipv6-address:清除指定攻击源IPv6地址的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。ipv6-address表示IPv6地址。如果未指定源IPv6地址,则清除所有攻击源IPv6地址的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
type { ip | mpls }:清除指定报文类型的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则清除所有报文类型的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
slot slot-number:清除指定单板的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。(IRF模式)
cpu cpu-number:清除指定CPU的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则清除设备上所有公网的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
【举例】
# 清除公网的攻击源IPv6地址为2000::1,攻击目的端口号为179的基于流的TCP SYN Flood攻击防范丢弃的IPv6 SYN报文统计信息。
<Sysname> reset ipv6 tcp anti-syn-flood flow-based statistics destination-port 179 source 2000::1
【相关命令】
· display ipv6 tcp anti-syn-flood flow-based entry
reset tcp anti-syn-flood flow-based entry命令用来删除基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
【命令】
(独立运行模式)
reset tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset tcp anti-syn-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:删除所有基于流的TCP SYN Flood攻击防范的IPv4攻击表项,包括公网和私网VPN。如果未指定本参数,则删除公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
vpn-instance vpn-instance-name:删除指定VPN实例的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则删除公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
destination-port port-number:删除指定攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。port-number表示端口号,取值范围为0~65535。如果未指定攻击目的端口号,则删除所有攻击目的端口号的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
source ipv4-address:删除指定攻击源IPv4地址的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。ipv4-address表示IPv4地址。如果未指定攻击源IPv4地址,则删除所有攻击源IPv4地址的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
type { ip | mpls }:删除指定报文类型的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则删除所有报文类型的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
slot slot-number:删除指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。(独立运行模式)
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。(IRF模式)
cpu cpu-number:删除指定CPU的基于流的TCP SYN Flood攻击防范功能的IPv4攻击表项。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有公网的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
【举例】
# 删除公网的攻击源IPv4地址为2.2.2.2,攻击目的端口号为179的基于流的TCP SYN Flood攻击防范的IPv4攻击表项。
<Sysname> reset tcp anti-syn-flood flow-based entry destination-port 179 source 2.2.2.2
【相关命令】
· display tcp anti-syn-flood flow-based entry
reset tcp anti-syn-flood flow-based statistics命令用来清除基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
【命令】
(独立运行模式)
reset tcp anti-syn-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset tcp anti-syn-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:清除所有基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息,包括公网和私网。如果未指定本参数,则清除公网的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
vpn-instance vpn-instance-name:清除指定VPN实例的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则清除公网的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
destination-port port-number:清除指定攻击目的端口号的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。port-number表示端口号,取值范围为0~65535。如果未指定攻击目的端口号,则清除所有攻击目的端口号的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
source ipv4-address:清除指定攻击源IPv4地址的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。ipv4-address表示IPv4地址。如果未指定攻击源IPv4地址,则清除所有攻击源IPv4地址的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
type { ip | mpls }:清除指定报文类型的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则清除所有报文类型的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
slot slot-number:清除指定单板的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。(IRF模式)
cpu cpu-number:清除指定CPU的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则清除设备上所有公网的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
【举例】
# 清除公网的攻击源IPv4地址为2.2.2.2,攻击目的端口号为179的基于流的TCP SYN Flood攻击防范丢弃的IPv4 SYN报文统计信息。
<Sysname> reset tcp anti-syn-flood flow-based statistics destination-port 179 source 2.2.2.2
【相关命令】
· display tcp anti-syn-flood flow-based entry
reset tcp anti-syn-flood interface-based entry命令用来删除基于接口的TCP SYN Flood攻击防范的攻击表项。
【命令】
(独立运行模式)
reset tcp anti-syn-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset tcp anti-syn-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:删除指定接口的基于接口的TCP SYN Flood攻击防范的攻击表项,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则删除所有接口的基于接口的TCP SYN Flood攻击防范的攻击表项。
type { ip | mpls }:删除指定报文类型的基于接口的TCP SYN Flood攻击防范的攻击表项。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则删除所有报文类型的基于接口的TCP SYN Flood攻击防范的攻击表项。
slot slot-number:删除指定单板的基于接口的TCP SYN Flood攻击防范的攻击表项。slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于接口的TCP SYN Flood攻击防范的攻击表项。(独立运行模式)
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于接口的TCP SYN Flood攻击防范的攻击表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于接口的TCP SYN Flood攻击防范的攻击表项。(IRF模式)
cpu cpu-number:删除指定CPU的基于接口的TCP SYN Flood攻击防范的攻击表项。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有基于接口的TCP SYN Flood攻击防范的攻击表项。
【举例】
# 删除所有基于接口的TCP SYN Flood攻击防范的攻击表项。
<Sysname> reset tcp anti-syn-flood interface-based entry
【相关命令】
· display tcp anti-syn-flood interface-based entry
reset tcp anti-syn-flood interface-based statistics命令用来清除基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。
【命令】
(独立运行模式)
reset tcp anti-syn-flood interface-based statistics [ interface interface-type interface-number | type { ip | mpls } ] * [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset tcp anti-syn-flood interface-based statistics [ interface interface-type interface-number | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:清除指定接口的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则清除所有接口的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。
type { ip | mpls }:清除指定报文类型的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则清除所有报文类型的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。
slot slot-number:清除指定单板的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。(IRF模式)
cpu cpu-number:清除指定CPU的基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则清除设备上所有基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。
【举例】
# 清除所有基于接口的TCP SYN Flood攻击防范收到的SYN报文统计信息。
<Sysname> reset tcp anti-syn-flood interface-based statistics
【相关命令】
· display tcp anti-syn-flood interface-based entry
tcp anti-syn-flood flow-based duration命令用来配置基于流的TCP SYN Flood攻击防范功能的持续时间。
undo tcp anti-syn-flood flow-based duration命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood flow-based duration minutes
undo tcp anti-syn-flood flow-based duration
【缺省情况】
基于流的TCP SYN Flood攻击防范功能的持续时间为5分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
minutes:基于流的TCP SYN Flood攻击防范功能的持续时间,取值范围为1~3600,单位为分钟。
【使用指导】
开启基于流的TCP SYN Flood攻击防范功能后,设备处于攻击检测状态。当监测到存在SYN Flood攻击时,则进入攻击防范状态,丢弃后续收到的SYN报文。在攻击防范的持续时间到达后,设备由攻击防范状态恢复为攻击检测状态。
【举例】
# 配置基于流的TCP SYN Flood攻击防范功能的持续时间为10分钟。
<Sysname> system-view
[Sysname] tcp anti-syn-flood flow-based duration 10
【相关命令】
· display tcp anti-syn-flood flow-based configuration
· tcp anti-syn-flood flow-based enable
· tcp anti-syn-flood flow-based check-interval
· tcp anti-syn-flood flow-based threshold
tcp anti-syn-flood flow-based enable命令用来开启基于流的TCP SYN Flood攻击防范功能。
undo tcp anti-syn-flood flow-based enable命令用来关闭基于流的TCP SYN Flood攻击防范功能。
【命令】
tcp anti-syn-flood flow-based enable
undo tcp anti-syn-flood flow-based enable
【缺省情况】
基于流的TCP SYN Flood攻击防范功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
根据TCP协议,TCP连接的建立需要经过三次握手。利用TCP连接的建立过程,一些恶意的攻击者可以进行SYN Flood攻击。攻击者向设备发送大量请求建立TCP连接的SYN报文,而不回应设备的SYN ACK报文,导致设备上建立了大量的TCP半连接。从而达到耗费设备资源,使设备无法处理正常业务的目的。
开启基于流的TCP SYN Flood攻击防范功能后,设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文后,如果在一个检测周期内收到SYN报文的个数达到或超过触发阈值,即认为存在攻击,设备丢弃后续收到的SYN报文。
【举例】
# 开启基于流的TCP SYN Flood攻击防范功能。
<Sysname> system-view
[Sysname] tcp anti-syn-flood flow-based enable
【相关命令】
· display tcp anti-syn-flood flow-based configuration
· tcp anti-syn-flood flow-based check-interval
· tcp anti-syn-flood flow-based threshold
· tcp anti-syn-flood flow-based duration
tcp anti-syn-flood flow-based threshold命令用来配置基于流的TCP SYN Flood攻击防范功能的触发阈值。
undo tcp anti-syn-flood flow-based threshold命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood flow-based threshold threshold-value
undo tcp anti-syn-flood flow-based threshold
【缺省情况】
基于流的TCP SYN Flood攻击防范功能的触发阈值为100。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:基于流的TCP SYN Flood 攻击防范功能的触发阈值,即一个检测周期内一条流可收到SYN报文的最大个数,取值范围为1~1000000。
【使用指导】
开启基于流的TCP SYN Flood攻击防范功能后,设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文后,如果在一个检测周期内一条流收到SYN报文的个数达到或超过触发阈值,即认为存在攻击,设备丢弃后续收到的SYN报文。
【举例】
# 配置基于流的TCP SYN Flood攻击防范功能的触发阈值为200。
<Sysname> system-view
[Sysname] tcp anti-syn-flood flow-based threshold 200
【相关命令】
· display tcp anti-syn-flood flow-based configuration
· tcp anti-syn-flood flow-based check-interval
· tcp anti-syn-flood flow-based enable
· tcp anti-syn-flood flow-based duration
tcp anti-syn-flood interface-based check-interval命令用来配置基于接口的TCP SYN Flood攻击防范功能的检测周期。
undo tcp anti-syn-flood interface-based check-interval命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood interface-based check-interval interval
undo tcp anti-syn-flood interface-based check-interval
【缺省情况】
基于接口的TCP SYN Flood攻击防范功能的检测周期为1秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:基于接口的TCP SYN Flood攻击防范功能的检测周期,取值范围为1~60,单位为秒。
【使用指导】
基于接口的TCP SYN Flood攻击防范功能以从某接口收到的SYN Flood攻击报文进行统计。在本命令指定的检测周期内,如果某接口收到请求端(要与其建立TCP连接的客户端)发送的SYN报文超过阈值,则认为受到了攻击,系统会进入攻击防范状态,限速后续收到的SYN报文。
当网络环境攻击较多时,建议配置较小的检测周期,便于及时发现TCP SYN Flood攻击。否则,可以配置较大的检测周期。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置基于接口的TCP SYN Flood攻击防范功能的检测周期为30秒。
<Sysname> system-view
[Sysname] tcp anti-syn-flood interface-based check-interval 30
【相关命令】
· display tcp anti-syn-flood interface-based configuration
· tcp anti-syn-flood interface-based duration
· tcp anti-syn-flood interface-based enable
· tcp anti-syn-flood interface-based threshold
tcp anti-syn-flood interface-based duration命令用来配置基于接口的TCP SYN Flood攻击防范功能的持续时间。
undo tcp anti-syn-flood interface-based duration命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood interface-based duration minutes
undo tcp anti-syn-flood interface-based duration
【缺省情况】
基于接口的TCP SYN Flood攻击防范功能的持续时间为5分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
minutes:基于接口的TCP SYN Flood攻击防范功能的持续时间,取值范围为1~3600,单位为分钟。
【使用指导】
开启基于接口的TCP SYN Flood攻击防范功能后,设备处于攻击检测状态。当监测到存在SYN Flood攻击时,则进入攻击防范状态,限速后续收到的SYN报文。在攻击防范的持续时间到达后,设备由攻击防范状态恢复为攻击检测状态。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置基于接口的TCP SYN Flood攻击防范功能的持续时间为1分钟。
<Sysname> system-view
[Sysname] tcp anti-syn-flood interface-based duration 1
【相关命令】
· display tcp anti-syn-flood interface-based configuration
· tcp anti-syn-flood interface-based check-interval
· tcp anti-syn-flood interface-based enable
· tcp anti-syn-flood interface-based threshold
tcp anti-syn-flood interface-based enable命令用来开启基于接口的TCP SYN Flood攻击防范功能。
undo tcp anti-syn-flood interface-based enable命令用来关闭基于接口的TCP SYN Flood攻击防范功能。
【命令】
tcp anti-syn-flood interface-based enable
undo tcp anti-syn-flood interface-based enable
【缺省情况】
基于接口的TCP SYN Flood攻击防范功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
根据TCP协议,TCP连接的建立需要经过三次握手。利用TCP连接的建立过程,一些恶意的攻击者可以进行SYN Flood攻击。攻击者向设备发送大量请求建立TCP连接的SYN报文,收到设备应答的SYN报文后而不进行应答,导致设备上建立了大量的TCP半连接。从而达到耗费设备资源,使设备无法处理正常业务的目的。
开启基于接口的TCP SYN Flood攻击防范功能后,设备从某接口收到请求端(要与其建立TCP连接的客户端)发送的SYN报文后开始计时,如果在一个检测周期内收到SYN报文的个数大于或等于阈值,则认为存在攻击,设备会将该接口接收SYN报文的速率限制在一个固定值内。
【举例】
# 开启基于接口的TCP SYN Flood攻击防范功能。
<Sysname> system-view
[Sysname] tcp anti-syn-flood interface-based enable
【相关命令】
· display tcp anti-syn-flood interface-based configuration
· tcp anti-syn-flood interface-based duration
· tcp anti-syn-flood interface-based check-interval
· tcp anti-syn-flood interface-based threshold
tcp anti-syn-flood interface-based threshold命令用来配置基于接口的TCP SYN Flood攻击防范功能的触发阈值。
undo tcp anti-syn-flood interface-based threshold命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood interface-based threshold threshold-value
undo tcp anti-syn-flood interface-based threshold
【缺省情况】
基于接口的TCP SYN Flood攻击防范功能的触发阈值为100
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:基于接口的TCP SYN Flood攻击防范功能的触发阈值,即一个检测周期内一个接口可收到SYN报文的最大个数,取值范围为1~1000000。
【使用指导】
开启基于接口的TCP SYN Flood攻击防范功能后,设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文后,如果在一个检测周期内一个接口收到的SYN报文个数大于或等于阈值,即认为存在攻击。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置基于接口的TCP SYN Flood攻击防范的触发阈值为10000。
<Sysname> system-view
[Sysname] tcp anti-syn-flood interface-based threshold 10000
【相关命令】
· display tcp anti-syn-flood interface-based configuration
· tcp anti-syn-flood interface-based check-interval
· tcp anti-syn-flood interface-based duration
· tcp anti-syn-flood interface-based enable
tcp anti-syn-flood log enable命令用来开启TCP SYN Flood攻击防范的日志信息功能。
undo tcp anti-syn-flood log enable命令用来关闭TCP SYN Flood攻击防范的日志信息功能。
【命令】
tcp anti-syn-flood log enable
undo tcp anti-syn-flood log enable
【缺省情况】
TCP SYN Flood攻击防范的日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
TCP SYN Flood攻击防范日志可以方便管理员定位和解决问题。设备生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的日志信息而影响设备性能,除了审计或定位问题外,一般情况下建议不要开启此功能。
【举例】
# 开启TCP SYN Flood攻击防范的日志信息功能。
<Sysname> system-view
[Sysname] tcp anti-syn-flood log enable
【相关命令】
· tcp anti-syn-flood flow-based enable
· tcp anti-syn-flood interface-based enable
tcp anti-syn-flood flow-based check-interval命令用来配置基于流的TCP SYN Flood攻击防范功能的检测周期。
undo tcp anti-syn-flood flow-based check-interval命令用来恢复缺省情况。
【命令】
tcp anti-syn-flood flow-based check-interval interval
undo tcp anti-syn-flood flow-based check-interval
【缺省情况】
基于流的TCP SYN Flood攻击防范功能的检测周期为1秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:基于流的TCP SYN Flood攻击防范功能的检测周期,取值范围为1~60,单位为秒。
【使用指导】
基于流的TCP SYN Flood攻击防范功能使用源IP地址、目的端口号、VPN和报文类型标识一条数据流。在本命令指定的检测周期内,如果设备收到请求端(要与其建立TCP连接的客户端)发送的SYN报文大于或等于一定的阈值,则认为设备受到了攻击,系统会进入攻击防范状态,丢弃后续收到的SYN报文。
当网络环境攻击较多时,建议配置较小的检测周期,便于TCP SYN Flood攻击防范。否则,可以配置较大的检测周期。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 设置基于流的TCP SYN Flood攻击防范功能的检测周期为30秒。
<Sysname> system-view
[Sysname] tcp anti-syn-flood flow-based check-interval 30
【相关命令】
· display tcp anti-syn-flood flow-based configuration
· tcp anti-syn-flood flow-based enable
· tcp anti-syn-flood flow-based duration
· tcp anti-syn-flood flow-based threshold
display ipv6 udp anti-flood flow-based entry命令用来显示基于流的UDP Flood攻击防范的IPv6攻击表项信息。
【命令】
(独立运行模式)
display ipv6 udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * slot slot-number [ cpu cpu-number ] [ verbose ]
(IRF模式)
display ipv6 udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * chassis chassis-number slot slot-number [ cpu cpu-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有基于流的UDP Flood攻击防范的IPv6攻击表项信息,包括公网和私网VPN。如果未指定本参数,则显示公网的基于流的UDP Flood攻击防范的IPv6攻击表项信息。
vpn-instance vpn-instance-name:显示指定VPN实例的基于流的UDP Flood攻击防范的IPv6攻击表项信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的基于流的UDP Flood攻击防范的IPv6攻击表项信息。
destination-port port-number:显示指定攻击目的端口号的基于流的UDP Flood攻击防范的IPv6攻击表项信息。port-number表示端口号,取值范围为0~65535。如果未指定本参数,则显示所有目的端口号的基于流的UDP Flood攻击防范的IPv6攻击表项信息。
source ipv6-address:显示指定攻击源IPv6地址的基于流的UDP Flood攻击防范的IPv6攻击表项信息。ipv6-address 表示IPv6地址。如果未指定本参数,则显示所有源IPv6地址的基于流的UDP Flood攻击防范的IPv6攻击表项信息。
type { ip | mpls }:显示指定报文类型的基于流的UDP Flood攻击防范的IPv6攻击表项信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则显示所有报文类型的基于流的UDP Flood攻击防范的IPv6攻击表项信息。
slot slot-number:显示指定单板的基于流的UDP Flood攻击防范的IPv6攻击表项信息。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的UDP Flood攻击防范的IPv6攻击表项信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU上的基于流的UDP Flood攻击防范的IPv6攻击表项信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示基于流的UDP Flood攻击防范的IPv6攻击表项的详细信息。如果未指定本参数,则显示基于流的UDP Flood攻击防范的IPv6攻击表项的简要信息。
【举例】
# 显示slot3上公网的基于流的UDP Flood攻击防范的IPv6攻击表项的简要信息。(独立运行模式)
<Sysname> display ipv6 udp anti-flood flow-based entry slot 3
SrcAddr DstPort VPN Type Packets dropped
2::1 69 -- IP 987654321
# 显示slot3上公网的基于流的UDP Flood攻击防范的IPv6攻击表项的详细信息。(独立运行模式)
<Sysname> display ipv6 udp anti-flood flow-based entry slot 3 verbose
SrcAddr: 2::1
DstPort: 69
VPN: --
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/05/18 09:30:00
Packets dropped: 987654321
# 显示chassis1 slot3上公网的基于流的UDP Flood攻击防范的IPv6攻击表项的简要信息。(IRF模式)
<Sysname> display ipv6 udp anti-flood flow-based entry chassis 1 slot 3
SrcAddr DstPort VPN Type Packets dropped
2::1 69 -- IP 987654321
# 显示chassis1 slot3上公网的基于流的UDP Flood攻击防范的IPv6攻击表项的详细信息。(IRF模式)
<Sysname> display ipv6 udp anti-flood flow-based entry chassis 1 slot 3 verbose
SrcAddr: 2::1
DstPort: 69
VPN: --
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/05/18 09:30:00
Packets dropped: 987654321
表1-11 display ipv6 udp anti-flood flow-based entry命令显示信息描述表
|
字段 |
描述 |
|
SrcAddr |
攻击源IPv6地址 |
|
DstPort |
攻击目的端口号 |
|
VPN |
VPN实例名称,如果是公网则显示-- |
|
Type |
报文类型:MPLS表示MPLS报文,IP表示IP报文 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not enough resources:资源不足 |
|
Aging time |
基于流的UDP Flood攻击防范的攻击表项的剩余老化时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
|
Packets dropped |
基于流的UDP Flood攻击防范丢弃的SYN报文数 |
【相关命令】
· reset ipv6 udp anti-flood flow-based entry
· reset ipv6 udp anti-flood flow-based statistics
display ipv6 udp anti-flood flow-based entry count命令用来显示基于流的UDP Flood攻击防范的IPv6攻击表项的个数。
【命令】
(独立运行模式)
display ipv6 udp anti-flood flow-based entry slot slot-number [ cpu cpu-number ] count
(IRF模式)
display ipv6 udp anti-flood flow-based entry chassis chassis-number slot slot-number [ cpu cpu-number ] count
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的基于流的UDP Flood攻击防范的IPv6攻击表项信息。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的UDP Flood攻击防范的IPv6攻击表项的个数。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU上的基于流的UDP Flood攻击防范的IPv6攻击表项的个数。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示slot3上的基于流的UDP Flood攻击防范的IPv6攻击表项的个数。(独立运行模式)
<Sysname> display ipv6 udp anti-flood flow-based entry slot 3 count
Total flow-based entries: 2
# 显示chassis1 slot3上的基于流的UDP Flood攻击防范的IPv6攻击表项的个数。(IRF模式)
<Sysname> display ipv6 udp anti-flood flow-based entry chassis 1 slot 3 count
Total flow-based entries: 2
表1-12 display ipv6 udp anti-flood flow-based entry count命令显示信息描述表
|
字段 |
描述 |
|
Total flow-based entries |
基于流的UDP Flood攻击防范的IPv6攻击表项的个数 |
【相关命令】
· reset ipv6 udp anti-flood flow-based entry
· reset ipv6 udp anti-flood flow-based statistics
display udp anti-flood flow-based configuration命令用来显示基于流的UDP Flood攻击防范功能的配置信息。
【命令】
display udp anti-flood flow-based configuration
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示基于流的UDP Flood攻击防范功能的配置信息。
<Sysname> display udp anti-flood flow-based configuration
Flow-based UDP flood attack prevention is enabled.
Check interval: 1 seconds
Duration: 5 minutes
Threshold: 100 packets per check interval
UDP anti-flood flow-based exclude ipv4 destination-port dns
UDP anti-flood flow-based exclude ipv6 destination-port 100
UDP anti-flood flow-based ipv4 destination-port SNMP check-interval 1 threshold 100
表1-13 display udp anti-flood flow-based configuration命令显示信息描述表
|
字段 |
描述 |
|
Flow-based UDP flood attack prevention is enabled. |
基于流的UDP Flood攻击防范功能处于开启状态 |
|
Flow-based UDP flood attack prevention is disabled. |
基于流的UDP Flood攻击防范功能处于关闭状态 |
|
Check interval |
基于流的UDP Flood攻击防范功能的检测周期,单位为秒 |
|
Duration |
基于流的UDP Flood攻击防范功能的持续时长,单位为分钟 |
|
Threshold |
基于流的UDP Flood攻击防范功能的触发阈值 |
|
UDP anti-flood flow-based exclude ipv4/ipv6 destination-port xxx |
开启基于流的UDP Flood攻击防范功能后放行的IPv4或IPv6的目的端口 |
|
UDP anti-flood flow-based ipv4/ipv6 destination-port port check-interval xxx threshold yyy |
目的端口号为port的IPv4或IPv6协议报文,基于流的UDP Flood攻击防范功能的检测周期为xxx秒,触发阈值为yyy |
【相关命令】
· udp anti-flood flow-based destination-port
· udp anti-flood flow-based enable
· udp anti-flood flow-based exclude destination-port
display udp anti-flood flow-based entry命令用来显示基于流的UDP Flood攻击防范的IPv4攻击表项信息。
【命令】
(独立运行模式)
display udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * slot slot-number [ cpu cpu-number ] [ verbose ]
(IRF模式)
display udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * chassis chassis-number slot slot-number [ cpu cpu-number ] [ verbose ]
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有基于流的UDP Flood攻击防范的IPv4攻击表项信息,包括公网和私网VPN。如果未指定本参数,则显示公网的基于流的UDP Flood攻击防范的IPv4攻击表项信息。
vpn-instance vpn-instance-name显示指定VPN实例的基于流的UDP Flood攻击防范的IPv4攻击表项信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示公网的基于流的UDP Flood攻击防范的IPv4攻击表项信息。
destination-port port-number:显示指定攻击目的端口号的基于流的UDP Flood攻击防范的IPv4攻击表项信息。port-number表示端口号,取值范围为0~65535。如果未指定本参数,则显示所有攻击目的端口号的基于流的UDP Flood攻击防范的IPv4攻击表项信息。
source ipv4-address:显示指定攻击源IPv4地址的基于流的UDP Flood攻击防范的IPv4攻击表项信息。ipv4-address 表示IPv4地址。如果未指定本参数,则显示所有攻击源IPv4地址的基于流的UDP Flood攻击防范的IPv4攻击表项信息。
type { ip | mpls }:显示指定报文类型的基于流的UDP Flood攻击防范的IPv4攻击表项信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则显示所有报文类型的基于流的UDP Flood攻击防范的IPv4攻击表项信息。
slot slot-number:显示指定单板的基于流的UDP Flood攻击防范的IPv4攻击表项信息。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的UDP Flood攻击防范的IPv4攻击表项信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU上的基于流的UDP Flood攻击防范的IPv4攻击表项信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示基于流的UDP Flood攻击防范的IPv4攻击表项的详细信息。如果未指定本参数,则显示基于流的UDP Flood攻击防范的IPv4攻击表项的简要信息。
【举例】
# 显示slot3上公网的基于流的UDP Flood攻击防范的IPv4攻击表项的简要信息。(独立运行模式)
<Sysname> display udp anti-flood flow-based entry slot 3
SrcAddr DstPort VPN Type Packets dropped
1.1.1.1 69 -- MPLS 12345678
2.1.1.1 69 -- IP 87654321
# 显示slot3上公网的基于流的UDP Flood攻击防范的IPv4攻击表项的详细信息。(独立运行模式)
<Sysname> display udp anti-flood flow-based entry slot 3 verbose
SrcAddr: 1.1.1.1
DstPort: 69
VPN: --
Type: MPLS
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/01/07 18:55:03
Packets dropped: 12345678
SrcAddr: 2.1.1.1
DstPort: 69
VPN: 1
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/01/07 19:30:00
Packets dropped: 87654321
# 显示chassis1 slot3上公网的基于流的UDP Flood攻击防范的IPv4攻击表项的简要信息。(IRF模式)
<Sysname> display udp anti-flood flow-based entry chassis 1 slot 3
SrcAddr DstPort VPN Type Packets dropped
1.1.1.1 69 -- MPLS 12345678
2.1.1.1 69 -- IP 87654321
# 显示chassis1 slot3上公网的基于流的UDP Flood攻击防范的IPv4攻击表项的详细信息。(IRF模式)
<Sysname> display udp anti-flood flow-based entry chassis 1 slot 3 verbose
SrcAddr: 1.1.1.1
DstPort: 69
VPN: --
Type: MPLS
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/01/07 18:55:03
Packets dropped: 12345678
SrcAddr: 2.1.1.1
DstPort: 69
VPN: 1
Type: IP
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/01/07 19:30:00
Packets dropped: 87654321
表1-14 display udp anti-flood flow-based entry命令显示信息描述表
|
字段 |
描述 |
|
SrcAddr |
攻击报文的源IP地址 |
|
DstPort |
攻击目的端口号 |
|
VPN |
VPN实例名称,如果是公网则显示-- |
|
Type |
报文类型:MPLS表示MPLS报文,IP表示IP报文 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not enough resources:资源不足 |
|
Aging time |
基于流的UDP Flood攻击防范的攻击表项的剩余老化时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
|
Packets dropped |
基于流的UDP Flood攻击防范丢弃的报文数 |
【相关命令】
· reset udp anti-flood flow-based entry
· reset udp anti-flood flow-based statistics
display udp anti-flood flow-based entry count命令用来显示基于流的UDP Flood攻击防范的IPv4攻击表项的个数。
【命令】
(独立运行模式)
display udp anti-flood flow-based entry slot slot-number [ cpu cpu-number ] count
(IRF模式)
display udp anti-flood flow-based entry chassis chassis-number slot slot-number [ cpu cpu-number ] count
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的基于流的UDP Flood攻击防范的IPv4攻击表项的个数。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于流的UDP Flood攻击防范的IPv4攻击表项的个数。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU上的基于流的UDP Flood攻击防范的IPv4攻击表项的个数。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示slot3上基于流的UDP Flood攻击防范的IPv4攻击表项的个数。(独立运行模式)
<Sysname> display udp anti-flood flow-based entry slot 3 count
Total flow-based entries: 2
# 显示chassis1 slot3上基于流的UDP Flood攻击防范的IPv4攻击表项的个数。(IRF模式)
<Sysname> display udp anti-flood flow-based entry chassis 1 slot 3 count
Total flow-based entries: 2
表1-15 display udp anti-flood flow-based entry count命令显示信息描述表
|
字段 |
描述 |
|
Total flow-based entries |
基于流的UDP Flood攻击防范的IPv4表项的个数 |
【相关命令】
· reset udp anti-flood flow-based entry
· reset udp anti-flood flow-based statistics
display udp anti-flood interface-based configuration命令用来显示基于接口的UDP Flood攻击防范功能的配置信息。
【命令】
display udp anti-flood interface-based configuration
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
【举例】
#显示基于接口的UDP Flood攻击防范功能的配置信息。
<Sysname> display udp anti-flood interface-based configuration
Interface-based UDP flood attack prevention is enabled.
Check interval: 1 seconds
Duration: 5 minutes
Threshold: 100 packets per check interval
表1-16 display udp anti-flood interface-based configuration命令显示信息描述表
|
字段 |
描述 |
|
Interfaced-based UDP flood attack prevention is enabled. |
基于接口的UDP Flood攻击防范功能处于开启状态 |
|
Interface-based UDP flood attack prevention is disabled. |
基于接口的UDP Flood攻击防范功能处于关闭状态 |
|
Check interval |
基于接口的UDP Flood攻击防范功能的检测周期,单位为秒 |
|
Duration |
基于接口的UDP Flood攻击防范功能的抑制时间,单位为分钟 |
|
Threshold |
基于接口的UDP Flood攻击防范功能的触发阈值 |
【相关命令】
· udp anti-flood interface-based enable
display udp anti-flood interface-based entry命令用来显示基于接口的UDP Flood攻击防范的攻击表项信息。
【命令】
(独立运行模式)
display udp anti-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * slot slot-number [ cpu cpu-number ] [ verbose ]
(IRF模式)
display udp anti-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * chassis chassis-number slot slot-number [ cpu cpu-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的基于接口的UDP Flood攻击防范的攻击表项信息,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则显示所有接口的基于接口的UDP Flood攻击防范的攻击表项信息。
type { ip | mpls }:显示指定报文类型的基于接口的UDP Flood攻击防范的攻击表项信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则显示所有报文类型的基于接口的UDP Flood攻击防范的攻击表项信息。
slot slot-number:显示指定单板的基于接口的UDP Flood攻击防范的攻击表项信息。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于接口的UDP Flood攻击防范的攻击表项信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU的基于接口的UDP Flood攻击防范的攻击表项。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示基于接口的UDP Flood攻击防范的攻击表项的详细信息。如果未指定本参数,则显示基于接口的UDP Flood攻击防范的攻击表项的简要信息。
【举例】
# 显示slot3上的基于接口的UDP Flood攻击防范的攻击表项的简要信息。(独立运行模式)
<Sysname> display udp anti-flood interface-based entry slot 3
Interface Type Packets totally received
XGE3/1/1 MPLS 18446
XGE3/1/2 IP 12345
# 显示slot3上的基于接口的UDP Flood攻击防范的攻击表项的详细信息。(独立运行模式)
<Sysname> display udp anti-flood interface-based entry slot 3 verbose
Interface: XGE3/1/1
Type: MPLS
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/08/07 10:33:35
Packets totally received: 18446
Packets sent to CPU: 184
Interface: XGE3/1/2
Type: IP
Hardware status: Succeeded
Aging time: 3210 seconds
Attack time: 2018/08/07 09:33:12
Packets totally received: 12345
Packets sent to CPU: 100
# 显示chassis1 slot3上的基于接口的UDP Flood攻击防范的攻击表项的简要信息。(IRF模式)
<Sysname> display udp anti-flood interface-based entry chassis 1 slot 3
Interface Type Packets totally received
XGE3/1/1 MPLS 18446
XGE3/1/2 IP 12345
# 显示chassis1 slot3上的基于接口的UDP Flood攻击防范的攻击表项的详细信息。(IRF模式)
<Sysname> display udp anti-flood interface-based entry chassis 1 slot 3 verbose
Interface: XGE3/1/1
Type: MPLS
Hardware status: Succeeded
Aging time: 5432 seconds
Attack time: 2018/08/07 10:33:35
Packets totally received: 18446
Packets sent to CPU: 184
Interface: XGE3/1/2
Type: IP
Hardware status: Succeeded
Aging time: 3210 seconds
Attack time: 2018/08/07 09:33:12
Packets totally received: 12345
Packets sent to CPU: 100
表1-17 display udp anti-flood interface-based entry命令显示信息描述表
|
字段 |
描述 |
|
Interface |
受到攻击的接口 |
|
Type |
报文类型:MPLS表示MPLS报文,IP表示IP报文 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not enough resources:资源不足 |
|
Aging time |
基于接口的UDP Flood攻击防范的攻击表项的剩余老化时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
|
Packets totally received |
收到的总报文数 |
|
Packets sent to CPU |
上送到CPU的报文数 |
【相关命令】
· reset udp anti-flood interface-based entry
· reset udp anti-flood interface-based entry statistics
display udp anti-flood interface-based entry count命令用来显示基于接口的UDP Flood攻击防范的攻击表项的个数。
【命令】
(独立运行模式)
display udp anti-flood interface-based entry slot slot-number [ cpu cpu-number ] count
(IRF模式)
display udp anti-flood interface-based entry chassis chassis-number slot slot-number [ cpu cpu-number ] count
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板的基于接口的UDP Flood攻击防范的攻击表项的个数。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的基于接口的UDP Flood攻击防范的攻击表项的个数。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU的基于接口的UDP Flood攻击防范的攻击表项的个数。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示slot3上的基于接口的UDP Flood攻击防范的攻击表项的个数。(独立运行模式)
<Sysname> display udp anti-flood interface-based entry slot 3 count
Total interface-based entries: 2
# 显示chassis1 slot3上的基于接口的UDP Flood攻击防范的攻击表项的个数。(IRF模式)
<Sysname> display udp anti-flood interface-based entry chassis 1 slot 3 count
Total interface-based entries: 2
表1-18 display udp anti-flood interface-based entry count命令显示信息描述表
|
字段 |
描述 |
|
Total interface-based entries |
基于接口的UDP Flood攻击防范的攻击表项的个数 |
【相关命令】
· reset udp anti-flood interface-based entry
· reset udp anti-flood interface-based entry statistics
reset ipv6 udp anti-flood flow-based entry命令用来删除基于流的UDP Flood攻击防范的IPv6攻击表项。
【命令】
(独立运行模式)
reset ipv6 udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset ipv6 udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:删除所有基于流的UDP Flood攻击防范的IPv6攻击表项,包括公网和私网VPN。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范的IPv6攻击表项。
vpn-instance vpn-instance-name:删除指定VPN实例的基于流的UDP Flood攻击防范的IPv6攻击表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范的IPv6攻击表项。
destination-port port-number:删除指定攻击目的端口号的基于流的UDP Flood攻击防范的IPv6攻击表项。port-number表示端口号,取值范围为0~65535。如果未指定攻击目的端口号,则删除所有攻击目的端口号的基于流的UDP Flood攻击防范的IPv6攻击表项。
source ipv6-address:删除指定攻击源IPv6地址的基于流的UDP Flood攻击防范的IPv6攻击表项。ipv6-address表示IPv6地址。如果未指定攻击源IPv6地址,则删除所有攻击源IPv6地址的基于流的UDP Flood攻击防范的IPv6攻击表项。
type { ip | mpls }:删除指定报文类型的基于流的UDP Flood攻击防范的IPv6攻击表项。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则删除所有报文类型的基于流的UDP Flood攻击防范的IPv6攻击表项。
slot slot-number:删除指定单板的基于流的UDP Flood攻击防范的IPv6攻击表项。slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的UDP Flood攻击防范的IPv6攻击表项。(独立运行模式)
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于流的UDP Flood攻击防范的IPv6攻击表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的UDP Flood攻击防范的IPv6攻击表项。(IRF模式)
cpu cpu-number:删除指定CPU的基于流的UDP Flood攻击防范的IPv6攻击表项。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有公网的基于流的UDP Flood攻击防范的IPv6攻击表项。
【举例】
# 删除公网的攻击源IPv6地址为2000::1,攻击目的端口号为69的基于流的UDP Flood攻击防范的IPv6表项。
<Sysname> reset ipv6 udp anti-flood flow-based entry destination-port 69 source 2000::1
【相关命令】
· display ipv6 udp anti-flood flow-based entry
reset ipv6 udp anti-flood flow-based statistics命令用来删除基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
【命令】
(独立运行模式)
reset ipv6 udp anti-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset ipv6 udp anti-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv6-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:删除所有基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息,包括公网和私网。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
vpn-instance vpn-instance-name:删除指定VPN实例的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
destination-port port-number:删除指定攻击目的端口号的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。port-number表示端口号,取值范围为0~65535。如果未指定攻击目的端口号,则删除所有攻击目的端口号的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
source ipv6-address:删除指定攻击源IPv6地址的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。ipv6-address表示IPv6地址。如果未指定源IPv6地址,则删除所有攻击源IPv6地址的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
type { ip | mpls }:删除指定报文类型的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则删除所有报文类型的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
slot slot-number:删除指定单板的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。(IRF模式)
cpu cpu-number:删除指定CPU的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有公网的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
【举例】
# 删除公网的攻击源IPv6地址为2000::1,攻击目的端口号为69的基于流的UDP Flood攻击防范丢弃的IPv6报文统计信息。
<Sysname> reset ipv6 udp anti-flood flow-based statistics destination-port 69 source 2000::1
【相关命令】
· display ipv6 udp anti-flood flow-based entry
reset udp anti-flood flow-based entry命令用来删除基于流的UDP Flood攻击防范的IPv4攻击表项。
【命令】
(独立运行模式)
reset udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset udp anti-flood flow-based entry [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:删除所有基于流的UDP Flood攻击防范的IPv4攻击表项,包括公网和私网VPN。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范的IPv4攻击表项。
vpn-instance vpn-instance-name:删除指定VPN实例的基于流的UDP Flood攻击防范的IPv4攻击表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范的IPv4攻击表项。
destination-port port-number:删除指定攻击目的端口号的基于流的UDP Flood攻击防范的IPv4攻击表项。port-number表示端口号,取值范围为0~65535。如果未指定攻击目的端口号,则删除所有攻击目的端口号的基于流的UDP Flood攻击防范的IPv4攻击表项。
source ipv4-address:删除指定攻击源IPv4地址的基于流的UDP Flood攻击防范的IPv4攻击表项。ipv4-address表示IPv4地址。如果未指定攻击源IPv4地址,则删除所有攻击源IPv4地址的基于流的UDP Flood攻击防范的IPv4攻击表项。
type { ip | mpls }:删除指定报文类型的基于流的UDP Flood攻击防范的IPv4攻击表项。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则删除所有报文类型的基于流的UDP Flood攻击防范的IPv4攻击表项。
slot slot-number:删除指定单板的基于流的UDP Flood攻击防范的IPv4攻击表项。slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的UDP Flood攻击防范的IPv4攻击表项。(独立运行模式)
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于流的UDP Flood攻击防范的IPv4攻击表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的UDP Flood攻击防范的IPv4攻击表项。(IRF模式)
cpu cpu-number:删除指定CPU的基于流的UDP Flood攻击防范功能的IPv4攻击表项。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有公网的基于流的UDP Flood攻击防范的IPv4攻击表项。
【举例】
# 删除公网的攻击源IPv4地址为2.2.2.2,攻击目的端口号为69的基于流的UDP Flood攻击防范的IPv4攻击表项。
<Sysname> reset udp anti-flood flow-based entry destination-port 69 source 2.2.2.2
【相关命令】
· display udp anti-flood flow-based entry
reset udp anti-flood flow-based statistics命令用来删除基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
【命令】
(独立运行模式)
reset udp anti-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset udp anti-flood flow-based statistics [ { all | vpn-instance vpn-instance-name } | destination-port port-number | source ipv4-address | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:删除所有基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息,包括公网和私网。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
vpn-instance vpn-instance-name:删除指定VPN实例的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则删除公网的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
destination-port port-number:删除指定攻击目的端口号的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。port-number表示端口号,取值范围为0~65535。如果未指定攻击目的端口号,则删除所有攻击目的端口号的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
source ipv4-address:删除指定攻击源IPv4地址的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。ipv4-address表示IPv4地址。如果未指定攻击源IPv4地址,则删除所有攻击源IPv4地址的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
type { ip | mpls }:删除指定报文类型的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。ip表示IP报文,mpls表示MPLS报文。如果未指定报文类型,则删除所有报文类型的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
slot slot-number:删除指定单板的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。(IRF模式)
cpu cpu-number:删除指定CPU的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有公网的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
【举例】
# 删除公网的攻击源IPv4地址为2.2.2.2,攻击目的端口号为69的基于流的UDP Flood攻击防范丢弃的IPv4报文统计信息。
<Sysname> reset udp anti-flood flow-based statistics destination-port 69 source 2.2.2.2
【相关命令】
· display udp anti-flood flow-based entry
reset udp anti-flood interface-based entry命令用来删除基于接口的UDP Flood攻击防范的攻击表项。
【命令】
(独立运行模式)
reset udp anti-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset udp anti-flood interface-based entry [ interface interface-type interface-number | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:删除指定接口的基于接口的UDP Flood攻击防范的攻击表项,interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则删除所有接口的基于接口的UDP Flood攻击防范的攻击表项。
type { ip | mpls }:删除指定报文类型的基于接口的UDP Flood攻击防范的攻击表项。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则删除所有报文类型的基于接口的UDP Flood攻击防范的攻击表项。
slot slot-number:删除指定单板的基于接口的UDP Flood攻击防范的攻击表项。slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于接口的UDP Flood攻击防范的攻击表项。(独立运行模式)
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于接口的UDP Flood攻击防范的攻击表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于接口的UDP Flood攻击防范的攻击表项。(IRF模式)
cpu cpu-number:删除指定CPU的基于接口的UDP Flood攻击防范的攻击表项。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有基于接口的UDP Flood攻击防范的攻击表项。
【举例】
# 删除所有基于接口的UDP Flood攻击防范的攻击表项。
<Sysname> reset udp anti-flood interface-based entry
【相关命令】
· display udp anti-flood interface-based entry
reset udp anti-flood interface-based statistics命令用来删除基于接口的UDP Flood攻击防范收到的SYN报文统计信息。
【命令】
(独立运行模式)
reset udp anti-flood interface-based statistics [ interface interface-type interface-number | type { ip | mpls } ] * [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset udp anti-flood interface-based statistics [ interface interface-type interface-number | type { ip | mpls } ] * [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:删除指定接口的基于接口的UDP Flood攻击防范收到的SYN报文统计信息。interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则删除所有接口的基于接口的UDP Flood攻击防范收到的SYN报文统计信息。
type { ip | mpls }:删除指定报文类型的基于接口的UDP Flood攻击防范收到的SYN报文统计信息。ip表示IP报文,mpls表示MPLS报文。如果未指定本参数,则删除所有报文类型的基于接口的UDP Flood攻击防范收到的SYN报文统计信息。
slot slot-number:删除指定单板的基于接口的UDP Flood攻击防范收到的SYN报文统计信息。slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于接口的UDP Flood攻击防范收到的SYN报文统计信息。(独立运行模式)
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的基于接口的UDP Flood攻击防范收到的SYN报文统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则删除所有单板的基于接口的UDP Flood攻击防范收到的SYN报文统计信息。(IRF模式)
cpu cpu-number:删除指定CPU的基于接口的UDP Flood攻击防范收到的SYN报文统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则删除设备上所有基于接口的UDP Flood攻击防范收到的SYN报文统计信息。
【举例】
# 删除所有基于接口的UDP Flood攻击防范收到的SYN报文统计信息。
<Sysname> reset udp anti-flood interface-based statistics
【相关命令】
· display udp anti-flood interface-based entry
udp anti-flood flow-based check-interval命令用来配置基于流的UDP Flood攻击防范功能的检测周期。
undo udp anti-flood flow-based check-interval命令用来恢复缺省情况。
【命令】
udp anti-flood flow-based check-interval interval
undo udp anti-flood flow-based check-interval
【缺省情况】
基于流的UDP Flood攻击防范功能的检测周期为1秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:基于流的UDP Flood攻击防范功能的检测周期,取值范围为1~60,单位为秒。
【使用指导】
基于流的UDP Flood攻击防范功能使用源IP地址、目的端口号、VPN和报文类型标识一条数据流。在本命令指定的检测周期内,如果设备收到请求端发送的报文大于或等于一定的阈值,则认为设备受到了攻击,系统会进入攻击防范状态,丢弃后续收到的报文。
当网络环境攻击较多时,建议配置较小的检测周期,便于UDP Flood攻击防范。否则,可以配置较大的检测周期。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 设置基于流的UDP Flood攻击防范功能的检测周期为30秒。
<Sysname> system-view
[Sysname] udp anti-flood flow-based check-interval 30
【相关命令】
· display udp anti-flood flow-based configuration
· udp anti-flood flow-based enable
· udp anti-flood flow-based duration
· udp anti-flood flow-based threshold
udp anti-flood flow-based destination-port命令用来设置指定目的端口基于流的UDP Flood攻击防范功能检测周期和触发阈值。
undo udp anti-flood flow-based destination-port命令用来恢复缺省情况。
【命令】
udp anti-flood flow-based { ipv4 | ipv6 } destination-port port-number [ check-interval interval ] [ threshold threshold-value ]
undo udp anti-flood flow-based { ipv4 | ipv6 } destination-port port-number
【缺省情况】
基于流的UDP Flood攻击防范功能的检测周期为1秒,触发阈值为100。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示基于流的UDP Flood攻击防范中的IPv4协议报文攻击。
ipv6:表示基于流的UDP Flood攻击防范中的IPv6协议报文攻击。
port-number:目的UDP端口号,可以使用数字表示,也可以使用协议名称表示。
· 用数字表示端口号,取值范围为0~65535;
· 用协议表示端口号,取值包括:biff(512)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177)。
interval:指定目的端口基于流的UDP Flood攻击防范功能检测周期,取值范围为1~60,单位为秒。
threshold-value:指定目的端口基于流的UDP Flood攻击防范功能的触发阈值,即一个检测周期内该目的端口收到的同一条数据流的UDP报文最大个数,取值范围为1~1000000。
【使用指导】
在本命令指定的检测周期内,如果设备收到请求端发送到指定目的端口的同一条数据流报文大于或等于指定的阈值,则认为设备受到了攻击,系统会进入攻击防范状态,丢弃后续发送给此目的端口的报文。
当网络环境攻击较多时,建议配置较小的检测周期,便于UDP Flood攻击防范。否则,可以配置较大的检测周期。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置设备基于53号端口的UDP Flood攻击防范功能的检测周期为10秒,触发阈值为10。
<Sysname> system-view
[Sysname] udp anti-flood flow-based ipv4 destination-port 53 check-interval 10 threshold 10
udp anti-flood flow-based duration命令用来配置基于流的UDP Flood攻击防范功能的抑制时间。
undo udp anti-flood flow-based duration命令用来恢复缺省情况。
【命令】
udp anti-flood flow-based duration minutes
undo udp anti-flood flow-based duration
【缺省情况】
基于流的UDP Flood攻击防范功能的抑制时间为5分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
minutes:基于流的UDP Flood攻击防范功能的抑制时间,取值范围为1~3600,单位为分钟。
【使用指导】
开启基于流的UDP Flood攻击防范功能后,设备处于攻击检测状态。当监测到存在Flood攻击时,则进入攻击防范状态,丢弃后续收到的报文。在攻击防范的抑制时间到达后,设备由攻击防范状态恢复为攻击检测状态。
【举例】
# 配置基于流的UDP Flood攻击防范功能的抑制时间为10分钟。
<Sysname> system-view
[Sysname] udp anti-flood flow-based duration 10
【相关命令】
· display udp anti-flood flow-based configuration
· udp anti-flood flow-based check-interval
· udp anti-flood flow-based enable
· udp anti-flood flow-based threshold
udp anti-flood flow-based enable命令用来开启基于流的UDP Flood攻击防范功能。
undo udp anti-flood flow-based enable命令用来关闭基于流的UDP Flood攻击防范功能。
【命令】
udp anti-flood flow-based enable
undo udp anti-flood flow-based enable
【缺省情况】
基于流的UDP Flood攻击防范功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,如果设备收到同一条数据流的报文(使用源IP地址、目的端口号、VPN和报文类型标识一条数据流)个数在一个检测周期内达到或超过触发阈值,即认为存在UDP Flood攻击,设备丢弃后续收到的报文。
【举例】
# 开启基于流的UDP Flood攻击防范功能。
<Sysname> system-view
[Sysname] udp anti-flood flow-based enable
【相关命令】
· display udp anti-flood flow-based configuration
· udp anti-flood flow-based check-interval
· udp anti-flood flow-based duration
· udp anti-flood flow-based threshold
udp anti-flood flow-based exclude destination-port命令用来配置基于流的UDP Flood攻击防范时受保护的目的端口。
undo udp anti-flood flow-based exclude destination-port命令用来取消对指定目的端口的保护。
【命令】
udp anti-flood flow-based exclude { ipv4 | ipv6 } destination-port port-number
undo udp anti-flood flow-based exclude { ipv4 | ipv6 } destination-port port-number
【缺省情况】
未配置基于流的UDP Flood攻击防范时受保护的目的端口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示基于流的UDP Flood攻击防范中的IPv4协议报文攻击。
ipv6:表示基于流的UDP Flood攻击防范中的IPv6协议报文攻击。
port-number:目的UDP端口号,可以使用数字表示,也可以使用协议名称表示。
· 用数字表示端口号,取值范围为0~65535;
· 用协议名称表示端口号,取值包括:biff(512)、discard(9)、dns(53)、dnsix(90)、echo(7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177)、ldp(646)、bfdctl(3784)、bfdecho(3785)、bfdmultihop(4784)、bfdlagg(6784)、sbfd(7784)、L2TP(1702)、vxlan(4789)。需要注意的是,bootps(67)、bootpc(68)、dhcpv6-client(546)、dhcpv6-server(547)、L2TP(1701)、vxlan扩展(4790)端口默认为保护端口,无法配置。
【使用指导】
开启基于流的UDP Flood攻击防范功能后,若想信任某种协议,可以配置该协议对应的UDP目的端口号为受保护的端口,目的端口号为受保护端口的UDP报文不会被识别为攻击报文。
【举例】
# 基于流的UDP Flood攻击防范时受保护的目的端口为53。
<Sysname> system-view
[Sysname] udp anti-flood flow-based exclude ipv4 destination-port 53
【相关命令】
· display udp anti-flood flow-based configuration
· udp anti-flood flow-based enable
udp anti-flood flow-based threshold命令用来配置基于流的UDP Flood攻击防范功能的触发阈值。
undo udp anti-flood flow-based threshold命令用来恢复缺省情况。
【命令】
udp anti-flood flow-based threshold threshold-value
undo udp anti-flood flow-based threshold
【缺省情况】
基于流的UDP Flood攻击防范功能的触发阈值为100。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:基于流的UDP Flood 攻击防范功能的触发阈值,即一个检测周期内,设备可收到一条流中报文个数的最大值,取值范围为1~1000000。
【使用指导】
开启本功能后,如果设备收到同一条数据流的报文个数在一个检测周期内达到或超过触发阈值,即认为存在UDP Flood攻击,设备丢弃后续收到的报文。
【举例】
# 配置基于流的UDP Flood攻击防范功能的触发阈值为200。
<Sysname> system-view
[Sysname] udp anti-flood flow-based threshold 200
【相关命令】
· display udp anti-flood flow-based configuration
· udp anti-flood flow-based check-interval
· udp anti-flood flow-based duration
· udp anti-flood flow-based enable
udp anti-flood interface-based check-interval命令用来配置基于接口的UDP Flood攻击防范功能的检测周期。
undo udp anti-flood interface-based check-interval命令用来恢复缺省情况。
【命令】
udp anti-flood interface-based check-interval interval
undo udp anti-flood interface-based check-interval
【缺省情况】
基于接口的UDP Flood攻击防范功能的检测周期为1秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:基于接口的UDP Flood攻击防范功能的检测周期,取值范围为1~60,单位为秒。
【使用指导】
基于接口的UDP Flood攻击防范功能以从某接口收到的UDP Flood攻击报文进行统计。在本命令指定的检测周期内,如果某接口收到同一条数据流的报文超过阈值,则认为受到了攻击,系统会进入攻击防范状态,限速后续收到的报文。
当网络环境攻击较多时,建议配置较小的检测周期,便于及时发现UDP Flood攻击。否则,可以配置较大的检测周期。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置基于接口的UDP Flood攻击防范功能的检测周期为30秒。
<Sysname> system-view
[Sysname] udp anti-flood interface-based check-interval 30
【相关命令】
· display udp anti-flood interface-based configuration
· udp anti-flood interface-based duration
· udp anti-flood interface-based enable
· udp anti-flood interface-based threshold
udp anti-flood interface-based duration命令用来配置基于接口的UDP Flood攻击防范功能的持续时间。
undo udp anti-flood interface-based duration命令用来恢复缺省情况。
【命令】
udp anti-flood interface-based duration minutes
undo udp anti-flood interface-based duration
【缺省情况】
基于接口的UDP Flood攻击防范功能的抑制时间为5分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
minutes:基于接口的UDP Flood攻击防范功能的抑制时间,取值范围为1~3600,单位为分钟。
【使用指导】
开启基于接口的UDP Flood攻击防范功能后,设备处于攻击检测状态。当监测到存在UDP Flood攻击时,则进入攻击防范状态,限速后续收到的SYN报文。在攻击防范的抑制时间到达后,设备由攻击防范状态恢复为攻击检测状态。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置基于接口的UDP Flood攻击防范功能的抑制时间为1分钟。
<Sysname> system-view
[Sysname] udp anti-flood interface-based duration 1
【相关命令】
· display udp anti-flood interface-based configuration
· udp anti-flood interface-based check-interval
· udp anti-flood interface-based enable
· udp anti-flood interface-based threshold
udp anti-flood interface-based enable命令用来开启基于接口的UDP Flood攻击防范功能。
undo udp anti-flood interface-based enable命令用来关闭基于接口的UDP Flood攻击防范功能。
【命令】
udp anti-flood interface-based enable
undo udp anti-flood interface-based enable
【缺省情况】
基于接口的UDP Flood攻击防范功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启基于接口的UDP Flood攻击防范功能后,设备从某接口收到请求端发送的报文后开始计时,如果在一个检测周期内收到的报文的个数大于或等于阈值,则认为存在UDP Flood攻击,设备会将该接口接收报文的速率限制在一个固定值内,超速部分的报文将被丢弃。
【举例】
# 开启基于接口的UDP Flood攻击防范功能。
<Sysname> system-view
[Sysname] udp anti-flood interface-based enable
【相关命令】
· display udp anti-flood interface-based configuration
· udp anti-flood interface-based check-interval
· udp anti-flood interface-based duration
· udp anti-flood interface-based threshold
udp anti-flood interface-based threshold命令用来配置基于接口的UDP Flood攻击防范功能的触发阈值。
undo udp anti-flood interface-based threshold命令用来恢复缺省情况。
【命令】
udp anti-flood interface-based threshold threshold-value
undo udp anti-flood interface-based threshold
【缺省情况】
基于接口的UDP Flood攻击防范功能的触发阈值为100。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:基于接口的UDP Flood攻击防范功能的触发阈值,即一个检测周期内一个接口可收到报文的最大个数,取值范围为1~1000000。
【使用指导】
开启基于接口的UDP Flood攻击防范功能后,设备收到请求端发送的报文后,如果在一个检测周期内一个接口收到的报文个数大于或等于阈值,即认为存在攻击。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置基于接口的UDP Flood攻击防范的触发阈值为10000。
<Sysname> system-view
[Sysname] udp anti-flood interface-based threshold 10000
【相关命令】
· display udp anti-flood interface-based configuration
· udp anti-flood interface-based check-interval
· udp anti-flood interface-based duration
· udp anti-flood interface-based enable
udp anti-flood log enable命令用来开启UDP Flood攻击防范的日志信息功能。
undo udp anti-flood log enable命令用来关闭UDP Flood攻击防范的日志信息功能。
【命令】
udp anti-flood log enable
undo udp anti-flood log enable
【缺省情况】
UDP Flood攻击防范的日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
UDP Flood攻击防范日志可以方便管理员定位和解决问题。设备生成的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的日志信息而影响设备性能,除了审计或定位问题外,一般情况下建议不要开启此功能。
【举例】
# 开启UDP Flood攻击防范的日志信息功能。
<Sysname> system-view
[Sysname] udp anti-flood log enable
【相关命令】
· udp anti-flood flow-based enable
· udp anti-flood interface-based enable
display ip abnormal-packet-defend statistics命令用来显示设备丢弃畸形IP攻击报文计数的信息。
【命令】
(独立运行模式)
display ip abnormal-packet-defend statistics [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display ip abnormal-packet-defend statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板上丢弃畸形IP攻击报文计数的信息。slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板上总共丢弃畸形IP攻击报文计数的信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板丢弃畸形IP攻击报文计数的信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板上总共丢弃畸形IP攻击报文计数的信息。(IRF模式)
cpu cpu-number:显示指定CPU上丢弃畸形IP攻击报文计数的信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示slot3上丢弃畸形IP攻击报文计数的信息。(独立运行模式)
<Sysname> display ip abnormal-packet-defend statistics slot 3
Attack type Packets dropped
LAND 0
Empty IP 0
Smurf 100
表1-19 display ip abnormal-packet-defend statistics命令显示信息描述表
|
字段 |
描述 |
|
Attack type |
攻击报文类型 |
|
Packets dropped |
丢弃报文个数 |
|
LAND |
LAND攻击报文 |
|
Empty IP |
空载荷IP攻击报文 |
|
Smurf |
Smurf攻击报文 |
【相关命令】
· ip abnormal-packet-defend enable
ip abnormal-packet-defend enable命令用来开启畸形IP报文防攻击功能。
undo ip abnormal-packet-defend enable命令用来关闭畸形IP报文防攻击功能。
【命令】
ip abnormal-packet-defend enable
undo ip abnormal-packet-defend enable
【缺省情况】
畸形IP报文防攻击功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
网络环境中,网络设备可能会受到以下畸形IP报文的攻击:
· LAND攻击:攻击者利用TCP建立连接时的三次握手过程的缺陷,伪造一个特别的SYN报文,报文中的源地址和目的地址被设置成同一台终端的地址,源端口与目的端口也被设置成同一个端口。该终端接收到SYN包之后,将导致该终端向自己的地址发送SYN+ACK消息。之后,这个地址又发回SYN+ACK消息并创建一个TCP空连接,每个这样的TCP空连接都将保留直到超时。造成目的终端存在过多的TCP空连接而正常连接无法建立的问题。
· 空载荷IP报文泛洪:攻击者构造大量只有IP报文头,但未携带任何载荷数据的IP报文进行泛洪攻击。终端用户收到并处理大量空载荷IP报文,影响正常业务的处理。
· Smurf攻击:攻击者发送目的地址是广播地址,源地址是被攻击者地址的ICMP echo request报文。网络中所有主机收到该ICMP echo request报文后,都会向被攻击者发送reply报文。被攻击者收到reply报文后,都需要上送CPU处理。导致被攻击者的CPU利用率过高,影响正常业务的处理。
开启畸形IP报文防攻击功能后,对收到报文都需要进行畸形IP报文检查,如果发现报文是畸形IP报文,则会直接丢弃该报文,但这会影响设备的报文处理速度。
本功能对空载荷TCP报文和空载荷UDP报文不生效。
【举例】
# 开启畸形IP报文防攻击功能。
<Sysname> system-view
[Sysname] ip abnormal-packet-defend enable
【相关命令】
· display ip abnormal-packet-defend statistics
· reset ip abnormal-packet-defend statistics
reset ip abnormal-packet-defend statistics命令用来清除设备丢弃畸形IP攻击报文计数的信息。
【命令】
(独立运行模式)
reset ip abnormal-packet-defend statistics [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset ip abnormal-packet-defend statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:清除指定单板上丢弃畸形IP攻击报文计数的信息。slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板上总共丢弃畸形IP攻击报文计数的信息。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上丢弃畸形IP攻击报文计数的信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则清除所有单板上总共丢弃畸形IP攻击报文计数的信息。(IRF模式)
cpu cpu-number:清除指定CPU上丢弃畸形IP攻击报文计数的信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 清除丢弃畸形IP攻击报文计数的信息。
<Sysname> reset ip abnormal-packet-defend statistics
【相关命令】
· display ip abnormal-packet-defend statistics
· ip abnormal-packet-defend enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
