- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
25-攻击检测与防范命令
本章节下载: 25-攻击检测与防范命令 (346.10 KB)
目 录
1.1.1 attack-defense login reauthentication-delay
1.1.3 attack-defense tcp fragment enable
1.1.4 display attack-defense policy
attack-defense login reauthentication-delay命令用来配置Login用户登录失败后重新进行认证的等待时长。
undo attack-defense login reauthentication-delay命令用来恢复缺省情况。
attack-defense login reauthentication-delay seconds
undo attack-defense login reauthentication-delay
【缺省情况】
Login用户登录失败后重新进行认证不需要等待。
系统视图
network-admin
【参数】
seconds:设备管理用户登录失败后重新进行认证的等待时长,取值范围为4~60,单位为秒。
【使用指导】
Login用户登录失败后,若设备上配置了重新进行认证的等待时长,则系统将会延迟一定的时长之后再允许用户进行认证,可以避免设备受到字典式攻击。
Login用户延迟认证功能与Login用户攻击防范功能无关,只要配置了延迟认证等待时间,即可生效。
# 配置Login用户登录失败后重新进行认证的等待时长为5秒钟。
[Sysname] attack-defense login reauthentication-delay 5
attack-defense policy命令用来创建一个攻击防范策略,并进入攻击防范策略视图。如果指定的攻击防范策略已经存在,则直接进入攻击防范策略视图。
undo attack-defense policy命令用来删除指定的攻击防范策略。
【命令】
attack-defense policy policy-name
undo attack-defense policy policy-name
仅R1132及以上版本支持本命令。
【缺省情况】
不存在任何攻击防范策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:攻击防范策略名称,为1~31个字符的字符串,不区分大小写。合法取值包括大写字母、小写字母、数字、特殊字符“_”和“-”。
【使用指导】
攻击防范的缺省触发阈值对于现网环境而言可能过小,这会导致用户上网慢或者网页打不开等情况,请根据实际网络环境配置合理的触发阈值。
【举例】
# 创建攻击防范策略atk-policy-1,并进入攻击防范策略视图。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1]
【相关命令】
· display attack-defense policy
attack-defense tcp fragment enable命令用来开启TCP分片攻击防范功能。
undo attack-defense tcp fragment enable命令用来关闭TCP分片攻击防范功能。
【命令】
attack-defense tcp fragment enable
undo attack-defense tcp fragment enable
【缺省情况】
TCP分片攻击防范功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
设备的包过滤功能一般是通过判断TCP首个分片中的五元组(源IP地址、源端口号、目的IP地址、目的端口号、传输层协议号)信息来决定后续TCP分片是否允许通过。RFC 1858对TCP分片报文进行了规定,认为TCP分片报文中,首片报文中TCP报文长度小于20字节,或后续分片报文中分片偏移量等于8字节的报文为TCP分片攻击报文。这类报文可以成功绕过上述包过滤功能,对设备造成攻击。为防止这类攻击,可以在设备上开启TCP分片攻击防范功能,对TCP分片攻击报文进行丢弃。
如果设备上开启了TCP分片攻击防范功能,并应用了单包攻击防范策略,则TCP分片攻击防范功能会先于单包攻击防范策略检测并处理入方向的TCP报文。
【举例】
# 开启TCP分片攻击防范功能。
<Sysname> system-view
[Sysname] attack-defense tcp fragment enable
display attack-defense policy用来显示攻击防范策略的配置信息。
【命令】
display attack-defense policy [ policy-name ]
仅R1132及以上版本支持本命令。
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
policy-name:攻击防范策略名称,为1~31个字符的字符串,包括英文大/小写字母、数字、下划线和连字符,不区分大小写。若未指定本参数,则表示显示所有攻击防范策略的摘要信息。
【使用指导】
本命令显示的内容主要包括各类型攻击防范的使能情况、对攻击报文的处理方式和相关的阈值参数。
【举例】
# 显示指定攻击防范策略abc的配置信息。
<Sysname> display attack-defense policy abc
Attack-defense Policy Information
--------------------------------------------------------------------------
Policy name : abc
Applied list : Local
--------------------------------------------------------------------------
Exempt IPv4 ACL: : Not configured
Exempt IPv6 ACL: : Not configured
--------------------------------------------------------------------------
Actions: CV-Client verify BS-Block source L-Logging D-Drop N-None
Signature attack defense configuration:
Signature name Defense Level Actions
Fragment Disabled Low L
Impossible Disabled Medium L,D
Teardrop Enabled medium L,D
Tiny fragment Disabled Low L
IP option abnormal Disabled Medium L,D
Smurf Disabled Medium L,D
Traceroute Disabled low L
Ping of death Enabled medium L,D
Large ICMP Disabled info L
Max length 4000 bytes
Large ICMPv6 Disabled info L
Max length 4000 bytes
TCP invalid flags Disabled medium L,D
TCP null flag Disabled medium L,D
TCP all flags Disabled medium L,D
TCP SYN-FIN flags Disabled medium L,D
TCP FIN only flag Disabled medium L,D
TCP Land Enabled medium L,D
Winnuke Disabled medium L,D
UDP Bomb Disabled medium L,D
UDP Snork Disabled medium L,D
UDP Fraggle Enabled medium L,D
IP option record route Disabled Info L
IP option internet timestamp Disabled Info L
IP option security Disabled Info L
IP option loose source routing Disabled info L
IP option stream ID Disabled Info L
IP option strict source routing Disabled Info L
IP option route alert Disabled Info L
ICMP echo request Disabled Info L
ICMP echo reply Disabled Info L
ICMP source quench Disabled Info L
ICMP destination unreachable Disabled info L
ICMP redirect Disabled info L
ICMP time exceeded Disabled info L
ICMP parameter problem Disabled Info L
ICMP timestamp request Disabled Info L
ICMP timestamp reply Disabled Info L
ICMP information request Disabled Info L
ICMP information reply Disabled Medium L,D
ICMP address mask request Disabled Medium L,D
ICMP address mask reply Disabled Medium L,D
ICMPv6 echo request Enabled Medium L,D
ICMPv6 echo reply Disabled Medium L,D
ICMPv6 group membership query Disabled Medium L,D
ICMPv6 group membership report Disabled Medium L,D
ICMPv6 group membership reduction Disabled Medium L,D
ICMPv6 destination unreachable Enabled Medium L,D
ICMPv6 time exceeded Enabled Medium L,D
ICMPv6 parameter problem Disabled Medium L,D
ICMPv6 packet too big Disabled Medium L,D
Scan attack defense configuration:
Defense: Disabled
Level : -
Actions: -
Flood attack defense configuration:
Flood type Global thres(pps) Global actions Service ports Non-specific
SYN flood 1000(default) - - Disabled
ACK flood 1000(default) - - Disabled
SYN-ACK flood 1000(default) - - Disabled
RST flood 1000(default) - - Disabled
FIN flood 1000(default) L,D - Disabled
UDP flood 1000(default) - - Enabled
ICMP flood 1000(default) - - Disabled
ICMPv6 flood 1000(default) - - Disabled
DNS flood 1000(default) - 53 Disabled
HTTP flood 1000(default) - 80 Disabled
Flood attack defense for protected IP addresses:
Address VPN instance Flood type Thres(pps) Actions Ports
1::1 -- UDP-FLOOD 10 L,D -
192.168.1.1 -- UDP-FLOOD 10 - -
表1-1 display attack-defense policy命令显示信息描述表
|
字段 |
描述 |
|
Policy name |
攻击防范策略名称 |
|
Applied list |
攻击防范策略应用的对象列表 |
|
Exempt IPv4 ACL |
IPv4例外列表 |
|
Exempt IPv6 ACL |
IPv6例外列表 |
|
Actions |
攻击防范的处理行为,包括以下取值: · CV:启用客户端验证 · BS:添加黑名单(老化时间,单位为分钟) · L:输出告警日志 · D:丢弃报文 · N:不采用任何处理行为 |
|
Signature attack defense configuration |
单包攻击防范配置信息 |
|
Signature name |
单包的类型 |
|
Defense |
攻击防范的开启状态,包括以下取值: Enabled:开启 Disabled:关闭 |
|
Level |
单包攻击的级别,包括以下取值: · Info: 提示级别 · low:低级别 · medium:中级别 · high:高级别 |
|
IP option record route |
IP 选项record route攻击 |
|
IP option security |
IP 选项security攻击 |
|
IP option stream ID |
IP 选项stream identifier攻击 |
|
IP option internet timestamp |
IP 选项 internet timestamp攻击 |
|
IP option loose source routing |
IP 选项loose source routing攻击 |
|
IP option strict source routing |
IP 选项strict source routing攻击 |
|
IP option abnormal |
IP 选项异常攻击 |
|
IP option route alert |
IP 选项route alert攻击 |
|
Fragment |
IP分片异常攻击 |
|
IP impossible |
IP impossible攻击 |
|
Tiny fragment |
IP tiny fragment攻击 |
|
Teardrop |
IP teardrop攻击,又称IP overlapping fragments |
|
Large ICMP |
Large ICMP攻击 |
|
Max length |
ICMP报文所允许的最大长度 |
|
Smurf |
Smurf攻击 |
|
Traceroute |
Traceroute攻击 |
|
Ping of death |
Ping of death攻击 |
|
ICMP echo request |
ICMP echo request攻击 |
|
ICMP echo reply |
ICMP echo reply攻击 |
|
ICMP source quench |
ICMP source quench攻击 |
|
ICMP redirect |
ICMP redirect攻击 |
|
ICMP parameter problem |
ICMP parameter problem攻击 |
|
ICMP timestamp request |
ICMP timestamp request攻击 |
|
ICMP timestamp reply |
ICMP timestamp reply攻击 |
|
ICMP information request |
ICMP information request攻击 |
|
ICMP information reply |
ICMP information reply攻击 |
|
ICMP address mask request |
ICMP address mask request攻击 |
|
ICMP address mask reply |
ICMP address mask reply攻击 |
|
ICMP destination unreachable |
ICMP destination unreachable攻击 |
|
ICMP time exceeded |
ICMP time exceeded攻击 |
|
Large ICMPv6 |
Large ICMPv6攻击 |
|
ICMPv6 echo request |
ICMPv6 echo request攻击 |
|
ICMPv6 echo reply |
ICMPv6 echo reply攻击 |
|
ICMPv6 group membership query |
ICMPv6 group membership query攻击 |
|
ICMPv6 group membership report |
ICMPv6 group membership report攻击 |
|
ICMPv6 group membership reduction |
ICMPv6 group membership reduction攻击 |
|
ICMPv6 destination unreachable |
ICMPv6 destination unreachable攻击 |
|
ICMPv6 time exceeded |
ICMPv6 time exceeded攻击 |
|
ICMPv6 parameter problem |
ICMPv6 parameter problem攻击 |
|
ICMPv6 packet too big |
ICMPv6 packet too big攻击 |
|
Scan attack defense configuration |
扫描攻击防范配置信息 |
|
Level |
扫描攻击的级别,包括以下取值: · low:低级别 · medium:中级别 · high:高级别 |
|
Flood attack defense configuration |
flood攻击防范配置信息 |
|
Flood type |
flood攻击类型,包括以下取值: · ACK flood · DNS flood · FIN flood · ICMP flood · ICMPv6 flood · SYN flood · SYN-ACK flood · UDP flood · RST flood · HTTP flood |
|
Global thres(pps) |
flood攻击防范的全局触发阈值,单位为每秒报文数,默认值为1000pps |
|
Global actions |
flood攻击防范的全局处理行为,包括以下取值: · D:丢弃报文 · L:输出告警日志, · CV:启用客户端验证 · -:未配置 |
|
Service ports |
flood攻击防范的全局检测端口号。该字段只对DNS flood攻击防范和HTTP flood攻击防范生效,对于其它flood攻击防范,显示为“-” |
|
Non-specific |
对非受保护IP地址开启SYN flood攻击防范检测的状态 |
|
Flood attack defense for protected IP addresses |
对受保护IP地址的flood攻击防范配置 |
|
Address |
指定的IP地址 |
|
VPN instance |
所属的VPN实例名称,未配置时显示为“--” |
|
Thres(pps) |
攻击防范检测的触发阈值,单位为报文每秒,未配置时显示为“-” |
|
Ports |
Flood攻击防范的检测端口号。该字段只对DNS flood攻击防范和HTTP flood攻击防范生效,对于其他攻击防范,显示为“-” |
# 显示所有攻击防范策略的概要配置信息。
<Sysname> display attack-defense policy
Attack-defense Policy Brief Information
------------------------------------------------------------
Policy Name Applied list
P1 None
p2 Local
表1-2 display attack-defense policy命令显示信息描述表
|
字段 |
描述 |
|
Policy Name |
攻击防范策略名称 |
|
Applied list |
攻击防范策略应用的对象列表 |
【相关命令】
· attack-defense policy
udp-flood action命令用来配置对UDP flood攻击防范的全局处理行为。
undo udp-flood action命令用来恢复缺省情况。
【命令】
udp-flood action { drop | logging } *
undo udp-flood action
仅R1132及以上版本支持本命令。
【缺省情况】
不对检测到的UDP flood攻击进行任何处理。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有UDP报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
【举例】
# 在攻击防范策略atk-policy-1中配置对UDP flood攻击防范的全局处理行为是丢弃后续报文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood action drop
【相关命令】
· udp-flood detect
· udp-flood detect non-specific
· udp-flood threshold
udp-flood detect命令用来开启对指定IP地址的UDP flood攻击防范检测,并配置UDP flood攻击防范检测的触发阈值和对UDP flood攻击的处理行为。
undo udp-flood detect命令用来关闭对指定IP地址的UDP flood攻击防范检测。
【命令】
udp-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ threshold threshold-value ] [ action { { drop | logging } * | none } ]
undo udp-flood detect { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
仅R1132及以上版本支持本命令。
【缺省情况】
未对任何指定IP地址配置UDP flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定要保护的IPv4地址。该IPv4地址不能为全1地址或全0地址。
ipv6 ipv6-address:指定要保护的IPv6地址。
vpn-instance vpn-instance-name:受保护IP地址所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示该保护IP地址属于公网。
threshold threshold-value:指定UDP flood攻击防范的触发阈值。其中,threshold-value为向指定IP地址每秒发送的UDP报文数目,取值范围为1~1000000。
action:设置对UDP flood攻击的处理行为。若未指定本参数,则表示采用UDP flood攻击防范的全局处理行为。
drop:表示丢弃攻击报文,即设备检测到攻击发生后,向被攻击者发送的后续所有UDP报文都会被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成告警信息。
none:表示不采取任何动作。
【使用指导】
使能UDP flood攻击防范后,设备处于攻击检测状态,当它监测到向指定IP地址发送UDP报文的速率持续达到或超过了触发阈值时,即认为该IP地址受到了UDP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
每个攻击防范策略下可以同时对多个IP地址配置UDP flood攻击防范参数。
【举例】
# 在攻击防范策略atk-policy-1中开启对IP地址192.168.1.2的UDP flood攻击防范检测,并指定触发阈值为2000。当设备监测到向该IP地址每秒发送的UDP报文数持续达到或超过2000时,启动UDP flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood detect ip 192.168.1.2 threshold 2000
【相关命令】
· udp-flood action
· udp-flood detect non-specific
· udp-flood threshold
udp-flood detect non-specific命令用来对所有非受保护IP地址开启UDP flood攻击防范检测。
undo udp-flood detect non-specific命令用来关闭对所有非受保护IP地址的UDP flood攻击防范检测。
【命令】
udp-flood detect non-specific
undo udp-flood detect non-specific
仅R1132及以上版本支持本命令。
【缺省情况】
未对任何非受保护IP地址开启UDP flood攻击防范检测。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【使用指导】
对所有非受保护IP地址开启UDP flood攻击防范检测后,设备将采用全局的阈值设置(由udp-flood threshold命令设置)和处理行为(由udp-flood action命令配置)对这些IP地址进行保护。
【举例】
# 在攻击防范策略atk-policy-1中,对所有非受保护IP地址开启UDP flood攻击防范检测。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood detect non-specific
【相关命令】
· udp-flood action
· udp-flood detect
· udp-flood threshold
udp-flood threshold命令用来配置UDP flood攻击防范的全局触发阈值。
undo udp-flood threshold命令用来恢复缺省情况。
【命令】
udp-flood threshold threshold-value
undo udp-flood threshold
仅R1132及以上版本支持本命令。
【缺省情况】
UDP flood攻击防范的全局触发阈值为1000。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
threshold-value:指定向某IP地址每秒发送的UDP报文数目,取值范围为1~1000000。
【使用指导】
使能UDP flood攻击防范后,设备处于攻击检测状态,当它监测到向某IP地址发送UDP报文的速率持续达到或超过了该触发阈值时,即认为该IP地址受到了UDP flood攻击,则进入攻击防范状态,并根据配置启动相应的防范措施。此后,当设备检测到向该服务器发送报文的速率低于恢复阈值(触发阈值的3/4)时,即认为攻击结束,则由攻击防范状态恢复为攻击检测状态,并停止执行防范措施。
对于未专门配置UDP flood攻击防范检测的IP地址,设备采用全局的阈值设置来进行保护。阈值的取值需要根据实际网络应用场景进行调整,对于正常情况下到被保护对象(HTTP服务器或者FTP服务器)的UDP报文流量较大的应用场景,建议调大触发阈值,以免阈值太小对正常的业务流量造成影响;对于网络状况较差,且对攻击流量比较敏感的场景,可以适当调小触发阈值。
【举例】
# 在攻击防范策略atk-policy-1中配置UDP flood攻击防范的全局触发阈值为100,即当设备监测到向某IP地址每秒发送的UDP报文数持续达到或超过100时,启动UDP flood攻击防范。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] udp-flood threshold 100
【相关命令】
· udp-flood action
· udp-flood detect
· udp-flood detect non-specific
signature detect命令用来开启指定类型单包攻击报文的特征检测,并设置攻击防范的处理行为。
undo signature detect命令用来关闭对指定类型的单包攻击报文的特征检测。
【命令】
signature detect { land | smurf } [ action { { drop | logging } * | none } ]
undo signature detect { land | smurf }
signature detect { ping-of-death | teardrop } action { drop | logging } *
undo signature detect { ping-of-death | teardrop }
仅R1132及以上版本支持本命令。
【缺省情况】
所有类型的单包攻击报文的特征检测均处于关闭状态。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
【参数】
land:表示Land类型的报文攻击。
ping-of-death:表示Ping-of-death类型的报文攻击。
smurf:表示Smurf类型的报文攻击。
teardrop:表示teardrop类型的报文攻击。
action:对指定报文攻击所采取的攻击防范处理行为。若未指定本参数,则采用该攻击报文所属的攻击防范级别所对应的默认处理行为。
· drop:设置单包攻击的处理行为为丢弃报文。
· logging:设置单包攻击的处理行为为发送日志。
· none:不采取任何动作。
【使用指导】
可以通过多次执行本命令开启多种类型的单包攻击报文的特征检测。
若通过数值指定了报文类型,则当指定的数值为标准的报文类型值时,在显示信息中将会显示该数值对应的报文类型字符串,否则显示为数值。
【举例】
# 在攻击防范策略atk-policy-1中开启对IP分片攻击报文的特征检测,并指定攻击防范处理行为为为丢弃报文。
<Sysname> system-view
[Sysname] attack-defense policy atk-policy-1
[Sysname-attack-defense-policy-atk-policy-1] signature detect fragment action drop
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
