所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
攻击防范配置命令

攻击防范配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

anti-attack abnormal enable

命令功能

anti-attack abnormal enable命令用来使能畸形报文攻击防范功能。

undo anti-attack abnormal enable命令用来去使能畸形报文攻击防范功能。

anti-attack abnormal disable命令用来去使能畸形报文攻击防范。

缺省情况下,已经使能畸形报文的攻击防范功能。

命令格式

anti-attack abnormal enable

undo anti-attack abnormal enable

anti-attack abnormal disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

攻击者通过向目标设备发送畸形报文,使得目标设备在处理畸形报文时出错、崩溃,给目标设备带来损失。为了避免设备在畸形报文攻击的情况下瘫痪,保证正常的网络服务,需要配置畸形报文攻击防范功能。

使能畸形报文攻击防范之后,设备就会对本机进行畸形报文防攻击检测。

如果被检测报文是下列5种畸形报文之一,报文将会被直接丢弃:

  • 没有IP载荷的泛洪

  • IGMP空报文

  • LAND攻击

  • Smurf攻击

  • TCP标志位非法攻击

注意事项

在系统视图下,执行命令anti-attack enable可以使能所有的攻击防范功能(包括畸形报文攻击防范功能)。

使用实例

# 使能畸形报文攻击防范功能。

<HUAWEI> system-view
[HUAWEI] anti-attack abnormal enable
相关主题

anti-attack enable

命令功能

anti-attack enable命令用来使能所有攻击防范功能。

undo anti-attack enable命令用来去使能所有攻击防范功能。

anti-attack disable命令用来去使能所有攻击防范功能。

缺省情况下,已经使能所有攻击防范功能。

命令格式

anti-attack enable

undo anti-attack enable

anti-attack disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在网络环境中,经常存在着不同类型的网络攻击,导致设备资源使用率过高,甚至瘫痪,影响网络服务。为了避免设备在攻击的情况下瘫痪,保证正常的网络服务,需要配置攻击防范功能。

注意事项

通过执行本命令可以使能所有的攻击防范功能(包括畸形报文攻击防范、分片报文攻击防范和TCP SYN/UDP/ICMP泛洪攻击防范),等同于执行命令anti-attack abnormal enableanti-attack fragment enableanti-attack tcp-syn enableanti-attack udp-flood enableanti-attack icmp-flood enable

使用实例

# 使能所有攻击防范功能。

<HUAWEI> system-view
[HUAWEI] anti-attack enable

anti-attack fragment enable

命令功能

anti-attack fragment enable命令用来使能分片报文攻击防范功能。

undo anti-attack fragment enable命令用来去使能分片报文攻击防范功能。

anti-attack fragment disable命令用来去使能分片报文攻击防范功能。

缺省情况下,已经使能分片报文的攻击防范功能。

命令格式

anti-attack fragment enable

undo anti-attack fragment enable

anti-attack fragment disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

攻击者通过向目标设备发送分片出错的报文,使得目标设备在处理分片错误的报文时消耗大量的CPU资源,给目标设备带来损失。为了避免设备在分片报文攻击的情况下瘫痪,保证正常的网络服务,需要配置分片报文攻击防范。

使能分片报文攻击防范之后,设备就会针对分片攻击报文进行防攻击检测。如果检测到分片攻击报文,将采用CAR(Committed Access Rate)限速的方式对分片报文进行速率限制,保证CPU的正常工作。

注意事项

在系统视图下,执行命令anti-attack enable可以使能所有的攻击防范功能(包括分片报文攻击防范功能)。

使用实例

# 使能分片报文攻击防范功能。

<HUAWEI> system-view
[HUAWEI] anti-attack fragment enable
相关主题

anti-attack fragment car

命令功能

anti-attack fragment car命令用来配置分片报文的限制速率。

undo anti-attack fragment car命令用来恢复缺省值。

缺省情况下,分片报文的限制速率为155000000bit/s。

命令格式

anti-attack fragment car cir cir

undo anti-attack fragment car

参数说明

参数

参数说明

取值

cir cir

指定分片报文的限制速率,以CIR(Committed Information Rate)来表示。

整数形式,取值范围是8000bit/s~155000000bit/s。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

使能分片报文攻击防范功能后,可以在系统视图下执行本命令配置分片报文的接收速率。如果收到的分片报文数目超过了限速值,设备会丢弃超出限速的分片报文,保证CPU的正常工作。

前置条件

在执行该命令前需要先使用anti-attack fragment enable命令使能分片报文攻击防范功能。

使用实例

# 配置限制分片报文的接收速率为8000bit/s。

<HUAWEI> system-view
[HUAWEI] anti-attack fragment enable
[HUAWEI] anti-attack fragment car cir 8000

anti-attack icmp-flood enable

命令功能

anti-attack icmp-flood enable命令用来使能ICMP泛洪攻击防范功能。

undo anti-attack icmp-flood enable命令用来去使能ICMP泛洪攻击防范功能。

anti-attack icmp-flood disable命令用来去使能ICMP泛洪攻击防范功能。

缺省情况下,已经使能ICMP泛洪攻击防范功能。

命令格式

anti-attack icmp-flood enable

undo anti-attack icmp-flood enable

anti-attack icmp-flood disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

如果攻击者在短时间内向目标设备发送大量的ICMP响应请求报文,使目标设备忙于回复这些请求,会造成目标设备负担过重而不能处理正常的业务。为了避免ICMP泛洪攻击,可以在设备上配置ICMP泛洪攻击防范功能。

使能ICMP泛洪攻击防范之后,设备就会针对ICMP泛洪攻击报文进行防攻击检测。如果检测到ICMP泛洪攻击报文,将采用CAR(Committed Access Rate)限速的方式对ICMP泛洪攻击报文进行速率限制,保证CPU的正常工作。

注意事项

在系统视图下,执行命令anti-attack enable可以使能所有的攻击防范功能(包括ICMP泛洪攻击防范功能)。

使用实例

# 使能ICMP泛洪攻击防范功能。

<HUAWEI> system-view
[HUAWEI] anti-attack icmp-flood enable

anti-attack icmp-flood car

命令功能

anti-attack icmp-flood car命令用来配置ICMP泛洪攻击报文的限制速率。

undo anti-attack icmp-flood car命令用来恢复缺省值。

缺省情况下,ICMP泛洪攻击报文的限制速率为155000000bit/s。

命令格式

anti-attack icmp-flood car cir cir

undo anti-attack icmp-flood car

参数说明

参数

参数说明

取值

cir cir

指定ICMP泛洪攻击报文的限制速率,以CIR(Committed Information Rate)来表示。

整数形式,取值范围是8000bit/s~155000000bit/s。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

使能ICMP泛洪攻击防范功能后,可以在系统视图下执行本命令配置ICMP泛洪报文的接收速率。如果收到的ICMP泛洪报文数目超过了限速值,设备会丢弃超出限速的泛洪报文,保证CPU的正常工作。

前置条件

在执行该命令前需要先使用anti-attack icmp-flood enable命令使能ICMP泛洪攻击防范功能。

使用实例

# 配置限制ICMP泛洪报文的接收速率为8000bit/s。

<HUAWEI> system-view
[HUAWEI] anti-attack icmp-flood enable
[HUAWEI] anti-attack icmp-flood car cir 8000

anti-attack tcp-syn enable

命令功能

anti-attack tcp-syn enable命令用来使能TCP SYN泛洪攻击防范功能。

undo anti-attack tcp-syn enable命令用来去使能TCP SYN泛洪攻击防范功能。

anti-attack tcp-syn disable命令用来去使能TCP SYN泛洪攻击防范功能。

缺省情况下,已经使能TCP SYN泛洪攻击防范功能。

命令格式

anti-attack tcp-syn enable

undo anti-attack tcp-syn enable

anti-attack tcp-syn disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

攻击者向目标设备发送SYN报文,然后对于目标返回的SYN+ACK报文不作回应。目标设备如果没有收到攻击者的ACK回应,就会一直等待,形成半连接。攻击者利用这种方式,让目标设备上生成大量的半连接,迫使其大量资源浪费在这些半连接上。为了避免TCP SYN泛洪攻击,可以在设备上配置TCP SYN泛洪攻击防范功能。

使能TCP SYN泛洪攻击防范功能之后,设备就会针对TCP SYN泛洪攻击报文进行防攻击检测。如果检测到TCP SYN泛洪攻击报文,将采用CAR(Committed Access Rate)限速的方式对TCP SYN泛洪攻击报文进行速率限制,保证CPU的正常工作。

注意事项

在系统视图下,执行命令anti-attack enable可以使能所有的攻击防范功能(包括TCP SYN泛洪攻击防范功能)。

使用实例

# 使能TCP SYN泛洪攻击防范功能。

<HUAWEI> system-view
[HUAWEI] anti-attack tcp-syn enable

anti-attack tcp-syn car

命令功能

anti-attack tcp-syn car命令用来配置TCP SYN泛洪攻击报文的限制速率。

undo anti-attack tcp-syn car命令用来恢复缺省值。

缺省情况下,TCP SYN泛洪攻击报文的限制速率为155000000bit/s。

命令格式

anti-attack tcp-syn car cir cir

undo anti-attack tcp-syn car

参数说明

参数

参数说明

取值

cir cir

指定TCP SYN泛洪攻击报文的限制速率,以CIR(Committed Information Rate)来表示。

整数形式,取值范围是8000bit/s~155000000bit/s。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

使能TCP Syn泛洪攻击防范功能后,可以在系统视图下执行本命令配置TCP Syn报文的接收速率。如果收到的TCP SYN泛洪报文数目超过了限速值,设备会丢弃超出限速的报文,保证CPU的正常工作。

前置条件

在执行该命令前需要先使用anti-attack tcp-syn enable命令使能TCP Syn泛洪攻击防范功能。

使用实例

# 配置限制TCP Syn报文的接收速率为8000bit/s。

<HUAWEI> system-view
[HUAWEI] anti-attack tcp-syn enable
[HUAWEI] anti-attack tcp-syn car cir 8000

anti-attack udp-flood enable

命令功能

anti-attack udp-flood enable命令用来使能UDP泛洪攻击防范功能。

undo anti-attack udp-flood enable命令用来去使能UDP泛洪攻击防范功能。

anti-attack udp-flood disable命令用来去使能UDP泛洪攻击防范功能。

缺省情况下,已经使能UDP泛洪攻击防范功能。

命令格式

anti-attack udp-flood enable

undo anti-attack udp-flood enable

anti-attack udp-flood disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在网络环境中,如果攻击者在短时间内向特定目标发送大量的UDP报文,会造成目标设备负担过重而不能处理正常的业务。为了避免UDP泛洪攻击,可以在设备上配置UDP泛洪攻击防范功能。

使能UDP泛洪攻击防范之后,设备就会针对UDP泛洪攻击报文进行防攻击检测。如果检测到UDP泛洪攻击报文,将报文直接丢弃。

注意事项

在系统视图下,执行命令anti-attack enable可以使能所有的攻击防范功能(包括UDP泛洪攻击防范功能)。

使用实例

# 使能UDP泛洪攻击防范功能。

<HUAWEI> system-view
[HUAWEI] anti-attack udp-flood enable
相关主题

display anti-attack statistics

命令功能

display anti-attack statistics命令用来查看指定类型攻击报文的统计数据。

如果不指定参数,该命令将显示所有攻击类型的报文统计。

命令格式

display anti-attack statistics [ abnormal | fragment | tcp-syn | udp-flood | icmp-flood ]

参数说明

参数

参数说明

取值

abnormal

显示畸形报文攻击防范的统计数据。

-

fragment

显示分片报文攻击防范的统计数据。

-

tcp-syn

显示TCP Syn报文攻击防范的统计数据。

-

udp-flood

显示UDP泛洪报文攻击防范的统计数据。

-

icmp-flood

显示ICMP泛洪报文攻击防范的统计数据。

-

视图

所有视图

缺省级别

1:监控级

使用指南

使用命令display anti-attack statistics显示的攻击类型包括:畸形报文攻击、分片报文攻击、TCP Syn泛洪攻击、UDP泛洪攻击和ICMP泛洪攻击。

使用实例

# 查看设备上攻击防范的统计数据。

<HUAWEI> display anti-attack statistics
Packets Statistic Information:                                                  
------------------------------------------------------------------------------- 
AntiAtkType  TotalPacketNum        DropPacketNum         PassPacketNum          
             (H)        (L)        (H)        (L)        (H)        (L)         
------------------------------------------------------------------------------- 
URPF          0          0          0          0          0          0         
Abnormal      0          0          0          0          0          0          
Fragment      0          0          0          0          0          0          
Tcp-syn       0          58         0          0          0          58         
Udp-flood     0          0          0          0          0          0          
Icmp-flood    0          0          0          0          0          0          
------------------------------------------------------------------------------- 
表14-44   display anti-attack statistics命令的输出信息描述

项目

描述

Packets Statistic Information

设备上攻击防范的统计数据。

AntiAtkType

攻击防范类型,包括以下几类:

  • URPF:URPF防攻击。(目前设备不支持此参数。)

  • Abnormal:畸形报文攻击防范。

  • Fragment:分片报文攻击防范。

  • Tcp-syn:TCP Syn泛洪攻击防范。

  • Udp-flood:UDP泛洪攻击防范。

  • Icmp-flood:ICMP泛洪攻击防范。

TotalPacketNum

总的报文统计。

DropPacketNum

丢弃的报文数。

PassPacketNum

通过的报文数。

(H)

高位显示。

(L)

低位显示。

reset anti-attack statistics

命令功能

reset anti-attack statistics命令用来清除攻击防范的统计数据。

命令格式

reset anti-attack statistics [ abnormal | fragment | tcp-syn | udp-flood | icmp-flood ]

参数说明

参数

参数说明

取值

abnormal

清除畸形报文攻击防范的统计数据。

-

fragment

清除分片报文攻击防范的统计数据。

-

tcp-syn

清除TCP Syn泛洪报文攻击防范的统计数据。

-

udp-flood

清除UDP泛洪报文攻击防范的统计数据。

-

icmp-flood

清除ICMP泛洪报文攻击防范的统计数据。

-

视图

所有视图

缺省级别

2:配置级

使用指南

不指定清除的攻击报文类型时,缺省清除所有攻击防范的统计数据。

清除统计信息后,以前的统计信息将无法恢复,请于清除之前仔细确认。

使用实例

# 清除设备上畸形报文的统计数据。

<HUAWEI> reset anti-attack statistics abnormal
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:11036

下载量:202

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页