更新时间:2023-12-07
1DoS防攻击配置命令
1.1DoS防攻击配置命令
DoS防攻击配置命令有:
• dos enable
• show dos
1.1.1dos enable
命令描述
dos enable {all | icmp [icmp-value] | ip | ipv4firstfrag | l4port | pingflood |synflood | tcpflags | tcpfrag [tcpfrag-value] | tcpsmurf | icmpsmurf | ipsmurf}
no dos enable {all | icmp | ip | ipv4firstfrag | l4port | pingflood | synflood | tcpflags | tcpfrag | tcpsmurf | icmpsmurf | ipsmurf}
参数
| 参数 |
参数说明 |
| all |
开启抵御所有类型的dos攻击报文 |
| icmp icmp-value |
开启抵御icmp类型的dos攻击报文,icmp-value为最大的icmp报文长度,缺省值为512 |
| ip |
抵御源IP地址与目的IP地址相等的dos攻击报文 |
| ipv4firstfrag |
开启检测ip报文的第一个分包 |
| l4port |
开启检测源端口等于目的端口的四层报文 |
| pingflood |
开启防御ping flood攻击 |
| synflood |
开启防御syn flood攻击 |
| tcpflags |
开启检测带非法的flag的tcp报文 |
| tcpfrag tcpfrag-value |
开启检测tcp分包的dos攻击报文,tcpfrag-value为最小的tcp头部,缺省值为20 |
| tcpsmurf |
开启防御tcp smurf攻击 |
| icmpsmurf |
开启防御icmp smurf攻击 |
| ipsmurf |
开启防御ip smurf攻击 |
缺省
缺省为DoS防攻击功能关闭
说明
DoS防攻击功能配置模式是全局配置。
dos的ip子功能能丢弃源IP地址等于目的IP地址的IP报文。
dos的icmp子功能能丢弃报文:1.大小大于icmp-value的ICMPv4、ICMPv6 ping包 2.分包的ICMP报文。
dos的l4port子功能能丢弃源端口号等于目的端口号的TCP/UDP报文。
dos 的tcpflags子功能能丢弃以下四类TCP报文:1.TCP SYN flag = 1 & source port<1024;2.TCP control flags = 0 & sequence = 0;3.TCP FIN URG PSH =1 & sequence = 0;4.TCP FIN SYN =1。
dos 的tcpfrag子功能丢弃以下两类TCP报文:1.TCP头部小于tcpfrag-value的第一个TCP分包;2.offset值为1的TCP分包。
示例
设置全局的dos防攻击子功能,抵御源、目的IP地址相等的IP报文
Switch_config#dos enable ip
配置全局状态下的dos防攻击子功能,抵御最大icmp长度大于255的攻击报文。
Switch_config#dos enable icmp 255
1.1.2show dos
命令描述
show dos
显示用户配置的所有dos防攻击子功能。
参数
无
缺省
无
说明
管理模式
示例
显示所有的dos防攻击子功能。
Switch_config#dos enable all
Switch_config#
Switch_config#show dos
dos enable icmp
dos enable ip
dos enable ipv4firstfrag
dos enable l4port
dos enable tcpflags
dos enable tcpfrag
Switch_config#
用户配置dos enable icmp,显示用户配置的子功能
Switch_config#dos enable icmp
Switch_config#show dos
dos enable icmp
用户配置dos enable icmp 255,显示用户配置的子功能
Switch_config#dos enable icmp 255
Switch_config#show dos
dos enable icmp 255
