- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-主动诱捕命令
本章节下载: 13-主动诱捕命令 (263.42 KB)
目 录
1.1.9 display deception arp-scan statistics
1.1.10 display deception ip-state
1.1.11 display deception redirect
1.1.13 reset deception ip-state
1.1.14 reset deception redirect
allowlist命令用来配置诱捕白名单。
undo allowlist命令用来删除指定的诱捕白名单。
【命令】
allowlist [ id id-number ] { destination | source } ip-address [ mask | mask-length ] [ vpn-instance vpn-instance-name ]
undo allowlist [ id id-number ]
【缺省情况】
不存在诱捕白名单。
【视图】
诱捕视图
【缺省用户角色】
network-admin
【参数】
id id-number:诱捕白名单的ID,取值范围为1~50。若不指定本参数,设备将自动按序分配ID。
destination:目的地址白名单。
source:源地址白名单。
ip-address:诱捕白名单的IP地址。
mask:诱捕白名单IP地址的掩码。
mask-length:诱捕白名单IP地址的掩码长度,取值范围为1~32。
vpn-instance vpn-instance-name:诱捕白名单所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。
【使用指导】
诱捕白名单分为目的地址白名单和源地址白名单:
· 对于目的地址白名单中的IP地址,设备不会对访问该IP地址的流量进行诱捕。
· 对于源地址白名单中的IP地址,设备不会对该IP地址发起的流量进行诱捕。
对于不会响应ARP请求的设备(例如老式打印机),可以将其IP地址加入目的地址白名单中,以免正常访问设备的流量被诱捕。
对于会周期性探测网络的设备(例如网管设备),可以将其IP地址加入源地址白名单中,以免其被判定为攻击者而进行诱捕。
诱捕白名单不能包含0.0.0.0或255.255.255.255。
执行undo allowlist命令时如果不指定ID,设备将删除所有诱捕白名单。
【举例】
# 配置ID为1的诱捕目的地址白名单为1.1.1.1。
<Sysname> system-view
[Sysname] deception
[Sysname-deception] allowlist id 1 destination 1.1.1.1
【相关命令】
· deception enable
arp-scan threshold命令用来配置ARP扫描行为的诱捕触发阈值。
undo arp-scan threshold命令用来恢复缺省情况。
【命令】
arp-scan threshold threshold-value
undo arp-scan threshold
【缺省情况】
ARP扫描行为的诱捕触发阈值为10次/10秒。
【视图】
诱捕视图
【缺省用户角色】
network-admin
【参数】
threshold-value:ARP扫描行为的诱捕触发阈值,取值范围为1~20000,单位为次/10秒。
【使用指导】
开启主动诱捕功能(执行deception enable命令)后,若设备使用非严格诱捕模式,当同时满足如下两个条件时,设备进入诱捕状态:
· 设备检测到某攻击者向检测网段(通过detect-network命令配置)发送ARP请求报文的速率达到本命令指定的阈值。
· 检测网段内存在被扫描IP地址处于离线状态。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置ARP扫描行为的诱捕触发阈值为500次/10秒。
<Sysname> system-view
[Sysname] deception
[Sysname-deception] arp-scan threshold 500
【相关命令】
· deception enable
· decoy
· detect-network
deception命令用来进入诱捕视图。
undo deception命令用来删除所有主动诱捕功能的配置。
【命令】
deception
undo deception
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
可在诱捕视图下进行主动诱捕功能相关配置。
执行undo deception命令将删除主动诱捕功能的所有配置,请谨慎使用。
【举例】
# 进入诱捕视图。
<Sysname> system-view
[Sysname] deception
[Sysname-deception]
deception enable命令用来开启主动诱捕功能。
undo deception enable命令用来关闭主动诱捕功能。
【命令】
deception enable
undo deception enable
【缺省情况】
主动诱捕功能处于关闭状态。
【视图】
诱捕视图
【缺省用户角色】
network-admin
【使用指导】
攻击者入侵内部网络后,通常会进行多重扫描,了解内网IP地址的在线情况。主动诱捕技术通过感知内网中的扫描行为,可以及时发现入侵威胁,并通过响应攻击者的扫描请求,诱骗攻击者与诱捕服务器进行深度交互,借以吸引攻击者的注意力,分析和溯源攻击行为,保护内网免遭更严重的攻击。
开启主动诱捕功能后,设备将可疑流量引导至诱捕服务器进行深度分析,如果配置不正确,可能导致正常网络流量被引导至诱捕服务器。因此,请先在诱捕视图下执行display this命令,确认主动诱捕相关配置正确后,再开启主动诱捕功能。
【举例】
# 开启主动诱捕功能。
<Sysname> system-view
[Sysname] deception
[Sysname-deception] deception enable
【相关命令】
· arp-scan threshold
· deception mode strict
· decoy
· decoy-network
· ip-state detect rate
· allowlist
deception mode strict命令用来开启严格诱捕模式。
undo deception mode命令用来恢复缺省情况。
【命令】
deception mode strict
undo deception mode
【缺省情况】
未开启严格诱捕模式,设备使用非严格诱捕模式。
【视图】
诱捕视图
【缺省用户角色】
network-admin
【使用指导】
在使用静态ARP表项等不可老化ARP表项的固定组网环境中,设备之间转发报文只需参考已有的ARP表项,无需发送ARP请求。这种情况下建议使用严格诱捕模式,当设备监测到某攻击者针对检测网段(通过detect-network命令配置)内离线IP地址的ARP扫描行为,设备就会将攻击者后续发往该IP地址的流量引导至诱捕服务器进行深度分析。
在ARP表项可以老化的动态组网环境中,建议使用非严格诱捕模式,设备会周期性地统计某攻击者针对检测网段的ARP请求报文的发送速率。当该速率达到ARP扫描行为的诱捕触发阈值(通过arp-scan threshold命令配置)后,诱捕探针将攻击者后续发往检测网段内离线IP地址的流量引导至诱捕服务器进行深度分析。
【举例】
# 开启严格诱捕模式。
<Sysname> system-view
[Sysname] deception
[Sysname-deception] deception mode strict
decoy命令用来配置诱捕服务器的IP地址。
undo decoy命令用来恢复缺省情况。
【命令】
decoy destination destination-ip [ dest-port destination-port ] [ source [ source-ip | interface-type interface-number ] ] [ src-port range source-port-start source-port-end ] [ vpn-instance vpn-instance-name ]
undo decoy
【缺省情况】
未配置诱捕服务器的IP地址。
【视图】
诱捕视图
【缺省用户角色】
network-admin
【参数】
destination destination-ip:诱捕服务器的IP地址。
dest-port destination-port:诱捕服务器的服务端口,取值范围为1~65535,缺省为5555。source:设备连接诱捕服务器时使用的源IP地址,支持配置IP地址或者选择使用指定接口的IP地址。
source-ip:设备连接诱捕服务器时使用的IP地址。若不指定该参数,设备随机使用一个UP状态接口的IP地址,作为连接诱捕服务器时使用的源IP地址。RBM组网下,不允许配置本参数。
interface-type interface-number:表示接口类型和接口编号,设备连接诱捕服务器时将使用指定接口的IP地址。
src-port range source-port-start source-port-end:设备将诱捕流量引流到诱捕服务器时使用的源端口,取值范围为10000~65535,缺省值为10000~10015。其中,源端口范围最少指定16个端口号,最多指定48个端口号。本参数仅在诱捕流量引流方式为UDP隧道时生效。
vpn-instance vpn-instance-name:诱捕服务器所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。
【使用指导】
诱捕服务器是一种威胁感知和溯源系统,通过精心构造的仿真环境诱骗攻击者与之深度交互,分析和溯源攻击行为的同时,保护真实网络免遭攻击。
开启主动诱捕功能(执行deception enable命令)后,设备作为诱捕服务器的代理与攻击者交互,将攻击流量诱骗至诱捕服务器进行分析并将来自诱捕服务器的响应流量转发至攻击者。
destination-ip或source-ip不能为0.0.0.0或255.255.255.255。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置诱捕服务器的IP地址为1.1.1.2,设备连接诱捕服务器时使用的源IP地址为1.1.1.1,诱捕服务器的服务端口为1000、设备将诱捕流量引流到诱捕服务器时使用的源端口为10050~10066。
<Sysname> system-view
[Sysname] deception
[Sysname-deception] decoy destination 1.1.1.2 source 1.1.1.1 dest-port 1000 src-port range 10050 10066
【相关命令】
· deception enable
decoy-network命令用来配置诱饵网段。
undo decoy-network命令用来删除指定的诱饵网段。
【命令】
decoy-network [ id id-number ] destination ip-address [ mask | mask-length ] [ vpn-instance vpn-instance-name ]
undo decoy-network [ id id-number ]
【缺省情况】
不存在诱饵网段。
【视图】
诱捕视图
【缺省用户角色】
network-admin
【参数】
id id-number:诱饵网段的ID,取值范围为1~50。若不指定本参数,设备将自动按序分配ID。
destination ip-address:诱饵网段的IP地址。
mask:诱饵网段的掩码。
mask-length:诱饵网段的掩码长度,取值范围为1~32。
vpn-instance vpn-instance-name:诱饵网段所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。
【使用指导】
诱饵网段用于静态诱捕。如果设备上配置了诱饵网段,开启主动诱捕功能(执行deception enable命令)后,当设备检测到攻击者向该网段内的IP地址发起访问,无论该IP地址是否在线,设备随即进入诱捕状态,将攻击者的后续流量诱骗至诱捕服务器进行深度分析。
如果诱饵网段与诱捕白名单(通过allowlist命令配置)存在重合,设备将重合部分视为诱捕白名单而非诱饵网段内的IP地址进行处理。
诱饵网段不能包含0.0.0.0或255.255.255.255。
执行undo decoy-network命令时如果不指定ID,设备将删除所有诱饵网段配置。
【举例】
# 配置ID为1的诱饵网段为1.1.1.0/24。
<Sysname> system-view
[Sysname] deception
[Sysname-deception] decoy-network id 1 destination 1.1.1.0 24
【相关命令】
· deception enable
· allowlist
detect-network命令用来配置检测网段。
undo detect-network命令用来删除指定检测网段。
【命令】
detect-network [ id id-number ] ip-address [ mask | mask-length ] [ vpn-instance vpn-instance-name ]
undo detect-network [ id id-number ]
【缺省情况】
不存在检测网段。
【视图】
诱捕视图
【缺省用户角色】
network-admin
【参数】
id id-number:检测网段的ID,取值范围为1~50。若不指定本参数,设备将自动按序分配ID。
ip-address:检测网段的IP地址。
mask:检测网段的掩码。
mask-length:检测网段的掩码长度,取值范围为1~32。
vpn-instance vpn-instance-name:检测网段所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。
【使用指导】
检测网段用于离线IP诱捕,需确保设备与检测网段链路可达。
如果设备上配置了检测网段,开启主动诱捕功能(执行deception enable命令)后,设备持续监测向该网段发送的ARP请求。根据所处诱捕模式的不同,设备有如下两种处理流程:
· 严格诱捕模式下,当设备监测到攻击者发往离线IP地址的请求,设备会将攻击者发往该IP地址的流量诱骗至诱捕服务器进行深度分析。
· 非严格诱捕模式下,设备会周期性地统计某攻击者发往检测网段的ARP报文速率。当该速率达到ARP扫描行为的诱捕触发阈值(通过arp-scan threshold命令配置),且存在被扫描IP处于离线状态时,设备会将该攻击者发往该离线IP地址的流量诱骗至诱捕服务器进行深度分析。
如果检测网段与诱饵网段(通过decoy-network命令配置)存在重合,设备将重合部分视为诱饵网段而非检测网段内的IP地址进行处理;如果检测网段与诱捕白名单(通过allowlist命令配置)存在重合,设备将重合部分视为诱捕白名单而非检测网段内的IP地址进行处理。
所有检测网段内包含的IP地址个数之和不能超过10240。
检测网段不能包含0.0.0.0或255.255.255.255。
执行undo detect-network命令时如果不指定ID,设备将删除所有检测网段配置。
【举例】
# 配置ID为1的检测网段为1.1.1.0/24。
<Sysname> system-view
[Sysname] deception
[Sysname-deception] detect-network id 1 1.1.1.0 24
【相关命令】
· arp-scan threshold
· deception enable
· deception mode strict
· decoy-network
· allowlist
display deception arp-scan statistics命令用来显示ARP扫描行为的统计信息。
【命令】
display deception arp-scan [ source ip-address ] statistics [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
source ip-address:发起ARP扫描的IP地址。
slot slot-number:显示指定成员设备上的ARP扫描行为的统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的ARP扫描行为的统计信息。
【举例】
# 查看ARP扫描行为的统计数据。
<Sysname> display deception arp-scan statistics
Slot 1:
Source IP Rate(packets/10s) Count VPN instance
1.1.1.1 300 2310 --
1.1.1.2 100 2800 --
Total IPs: 2
Slot 2:
Source IP Rate(packets/10s) Count VPN instance
1.1.1.1 300 2310 --
1.1.1.2 100 2800 --
Total IPs: 2
表1-1 display deception arp-scan命令显示信息描述表
|
字段 |
描述 |
|
Source IP |
发起ARP扫描的IP地址 |
|
Rate(num/10s) |
ARP扫描的频率,单位为次/10秒 |
|
Count |
ARP扫描的总次数 |
|
VPN instance |
发起ARP扫描的IP地址所属的VPN实例,属于公网时显示为“--” |
|
Total IPs |
发起ARP扫描的IP地址个数 |
【相关命令】
· arp-scan threshold
display deception ip-state命令用来显示检测网段内IP地址的在线情况。
【命令】
display deception ip-state [ ip-address ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip-address:显示指定IP地址的在线情况。若不指定本参数,将显示检测网段内所有IP地址的在线情况。
slot slot-number:显示指定成员设备上的检测网段内IP地址的在线情况,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的检测网段内IP地址的在线情况。
【使用指导】
开启主动诱捕功能(执行deception enable命令)后,设备初始以30分钟为周期主动对检测网段(通过detect-network命令配置)内的IP地址发起扫描,获取地址的在线情况,通过本命令可以实时查看检测网段内IP地址的在线情况。
处于诱捕状态下的IP地址(发往该IP地址的流量被诱骗至诱捕服务器),设备对它的扫描周期将会根据诱捕地址规模的大小相应缩短到10秒,以提高扫描效率。
【举例】
# 查看检测网段内IP地址的在线情况。
<Sysname> display deception ip-state
Slot 1:
IP address State VPN instance
1.1.1.1 Online --
1.1.1.2 Offline --
1.1.1.3 Offline --
1.1.1.255 Online --
Total IPs: 4
Slot 2:
IP address State VPN instance
1.1.1.1 Online --
1.1.1.2 Offline --
1.1.1.3 Offline --
1.1.1.255 Online --
Total IPs: 4
表1-2 display deception ip-state命令显示信息描述表
|
字段 |
描述 |
|
IP address |
IP地址 |
|
State |
IP地址在线情况,包含如下取值: · Online:IP地址在线 · Offline:IP地址不在线 |
|
VPN instance |
IP地址所属的VPN实例,属于公网时显示为“--” |
|
Total IPs |
检测网段内的IP地址个数 |
【相关命令】
· deception enable
· detect-network
· reset deception ip-state
display deception redirect命令用来显示诱捕引流表项。
【命令】
display deception redirect [ source-ip ip-address ] [ destination-ip ip-address ] [ destination-port port ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
source-ip ip-address:诱捕流量的源IP地址。
destination-ip ip-address:诱捕流量的目的IP地址。
destination-port port:诱捕流量的目的端口,取值范围为1~65535。
slot slot-number:显示指定成员设备上的诱捕引流表项,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上的诱捕引流表项。
【使用指导】
被诱捕至诱捕服务器的流量起初会在设备的引流表中创建一个表项,在表项的老化时间内,后续命中该表项的流量会被引流至诱捕服务器进行分析。
【举例】
# 查看诱捕引流表。
<Sysname> display deception redirect
Slot 1:
Proto SrcIP SrcPort DstIP DstPort VPN instance Type Aging Count
tcp 1.1.1.1 1123 1.1.1.2 80 -- Decoy 12 100
udp 1.1.1.3 1223 1.1.1.4 80 -- Off-IP 12 100
Total entries: 2
Slot 2:
Proto SrcIP SrcPort DstIP DstPort VPN instance Type Aging Count
tcp 1.1.1.1 1123 1.1.1.2 80 -- Decoy 12 100
udp 1.1.1.3 1223 1.1.1.4 80 -- Off-IP 12 100
Total entries: 2
表1-3 display deception redirect命令显示信息描述表
|
字段 |
描述 |
|
Proto |
诱捕报文的协议类型 |
|
SrcIP |
诱捕流量的源IP地址 |
|
SrcPort |
诱捕流量的源端口 |
|
DstIP |
诱捕流量的目的IP地址 |
|
Dstport |
诱捕流量的目的端口 |
|
VPN instance |
诱捕流量所属的VPN实例,属于公网时显示为“--” |
|
Type |
诱捕流量的诱捕类型,包含如下取值: · Decoy:静态诱捕 · Off-IP:离线IP诱捕 |
|
Aging(s) |
表项的剩余老化时间,单位为秒,初始为120秒。在表项的老化过程中,如果有流量命中该表项,则刷新剩余老化时间至初始状态 |
|
Count |
诱捕流量的报文总数 |
|
Total entries |
诱捕引流表项个数 |
【相关命令】
· reset deception redirect
ip-state detect rate命令用来配置诱捕探针的IP地址扫描速率。
undo ip-state detect rate命令用来恢复缺省情况。
【命令】
ip-state detect rate rate-number
undo ip-state detect rate
【缺省情况】
诱捕探针的IP地址扫描速率为30个ARP请求/秒。
【视图】
诱捕视图
【缺省用户角色】
network-admin
【参数】
rate-number:诱捕探针的IP地址扫描速率,取值范围为10~200,单位为个ARP请求/秒。
【使用指导】
离线IP诱捕功能要求设备维护一张关于检测网段(通过detect-network命令配置)内所有IP地址在线状态的信息表。
开启主动诱捕功能(执行deception enable命令)后,设备以30分钟为周期主动对检测网段发起IP地址扫描,并根据响应情况更新IP地址的在线状态。
在一个检测周期内,设备以rate-number速率依次向检测网段内的IP地址发送ARP请求。如果rate-number过大,可能对内部网络造成冲击;如果rate-number过小,可能需要很长时间才能完整更新信息表。请根据实际网络环境合理配置rate-number。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置诱捕探针的IP地址扫描速率为100个ARP请求/秒。
<Sysname> system-view
[Sysname] deception
[Sysname-deception] ip-state detect rate 100
【相关命令】
· deception enable
· detect-network
reset deception ip-state命令用来清除检测网段内IP地址的在线情况记录。
【命令】
reset deception ip-state
【视图】
用户视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
执行本命令后,设备将清除检测网段内未处于诱捕状态的IP地址(发往该IP地址的流量未被诱骗至诱捕服务器)的在线情况记录,并重新对这些IP地址的在线情况进行检测。
【举例】
# 刷新检测网段内IP地址的在线情况记录。
<Sysname> reset deception ip-state
【相关命令】
· display deception ip-state
reset deception redirect命令用来清除指定诱捕引流表项。
【命令】
reset deception redirect [ source-ip ip-address ] [ destination-ip ip-address ] [ destination-port port ]
【视图】
用户视图
【缺省用户角色】
network-admin
network-operator
【参数】
source-ip ip-address:诱捕流量的源IP地址。
destination-ip ip-address:诱捕流量的目的IP地址。
destination-port port:诱捕流量的目的端口,取值范围为1~65535。
【使用指导】
执行本命令后,后续匹配被清除表项的流量将不再直接进行引流,设备重新对流量进行监测和诱捕。
如果未指定任何参数,设备将清除所有引流表项。
【举例】
# 清除指定诱捕引流表项并终止该诱捕。
<Sysname> reset deception redirect source-ip 1.1.1.1 destination-ip 1.1.1.2 destination-port 80
【相关命令】
· display deception redirect
_Toc192087791_Toc192087791_Toc192087791_Toc192087791_Toc192087791_Toc192087791_Toc192087791_Toc192087791_Toc192087791_Toc192087791_Toc192087791_Toc192087791_Toc192087791_Toc192087791_Toc192087791
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
