更新时间:2023-12-08
1IP防攻击配置命令
1.1IP防攻击配置命令
1.1.1ip verify icmp ping-flood
限制ping包接收
参数
| 参数 |
参数说明 |
| <1 - 50000> |
每秒允许接收的相同源地址的数据包个数,超过该阈值认为是攻击行为。 |
缺省
缺省为每个源地址每秒300个ping报文
命令模式
全局配置态
示例
switch_config#ip verify icmp ping-flood 500
switch_config#ip verify icmp ping-flood
相关命令
ip verify icmp ping-sweep
1.1.2ip verify icmp ping-sweep
限制ping扫描
参数
| 参数 |
参数说明 |
| <1 - 60> |
防攻击检测周期,在此周期内发现ping报文的目的地址多于一次扫描单位*则认为是攻击 |
注:一次扫描单位是指地址或者端口变化数量的哈希值超过一个内部额定值。
缺省
缺省检测周期为3秒
命令模式
全局配置态
示例
switch_config#ip verify icmp ping-sweep 2
switch_config#ip verify icmp ping-sweep
相关命令
ip verify icmp ping-flood
1.1.3ip verify tcp syn-flood
限制tcp syn包接收
参数
| 参数 |
参数说明 |
| <1 - 50000> |
每秒允许接收的相同源地址的数据包个数,超过该阈值认为是攻击行为。 |
缺省
缺省为每个源地址每秒300个tcp syn报文
命令模式
全局配置态
示例
switch_config#ip verify tcp syn-flood 100
switch_config#ip verify tcp syn-flood
相关命令
ip verify tcp syn-sweep
ip verify tcp fin-scan
ip verify tcp rst-flood
1.1.4ip verify tcp syn-sweep
限制tcp syn端口扫描
参数
| 参数 |
参数说明 |
| <1 - 60> |
防攻击检测周期,在此周期内发现tcp syn报文的目的端口多于一次扫描单位则认为是攻击。 |
缺省
缺省检测周期为3秒
命令模式
全局配置态
示例
switch_config#ip verify tcp syn-sweep 10
switch_config#ip verify tcp syn-sweep
相关命令
ip verify tcp syn-flood
ip verify tcp fin-scan
ip verify tcp rst-flood
1.1.5ip verify tcp fin-scan
限制tcp stealth fin扫描
参数
| 参数 |
参数说明 |
| <1 - 60> |
防攻击检测周期,在此周期内发现tcp fin报文的目的端口多于一次扫描单位则认为是攻击。 |
缺省
缺省检测周期为3秒
命令模式
全局配置态
示例
switch_config#ip verify tcp fin-scan 10
switch_config#ip verify tcp fin-scan
相关命令
ip verify tcp syn-flood
ip verify tcp syn-sweep
ip verify tcp rst-flood
1.1.6ip verify tcp rst-flood
限制tcp rst包接收
参数
| 参数 |
参数说明 |
| <1 - 50000> |
每秒允许接收的相同源地址的数据包个数,超过该阈值认为是攻击行为。 |
缺省
缺省为每个源地址每秒300个tcp rst报文
命令模式
全局配置态
示例
switch_config#ip verify tcp rst-flood 200
switch_config#ip verify tcp rst-flood
相关命令
ip verify tcp syn-flood
ip verify tcp syn-sweep
ip verify tcp fin-scan
1.1.7ip verify udp udp-flood
限制udp包接收
参数
| 参数 |
参数说明 |
| <1 - 50000> |
每秒允许接收的相同源地址的数据包个数,超过该阈值认为是攻击行为。 |
缺省
缺省为每个源地址每秒300个udp报文
命令模式
全局配置态
示例
switch_config#ip verify udp udp-flood 200
switch_config#ip verify udp udp-flood
相关命令
ip verify udp udp-sweep
1.1.8ip verify udp udp-sweep
限制udp扫描
参数
| 参数 |
参数说明 |
| <1 - 60> |
防攻击检测周期,在此周期内发现tcp fin报文的目的端口多于一次扫描单位则认为是攻击。 |
缺省
缺省检测周期为3秒
命令模式
全局配置态
示例
switch_config#ip verify udp udp-sweep 10
switch_config#ip verify udp udp-sweep
相关命令
ip verify udp udp-flood
1.1.9ip verify attack Xmas-Tree
过滤 Xmas-Tree 扫描攻击
参数
| 参数 |
参数说明 |
| <1 - 60> |
防攻击检测周期,在此周期内发现tcp fin报文带有urg和push标志,且目的端口多于一次扫描单位则认为是攻击。 |
缺省
缺省检测周期为3秒
命令模式
全局配置态
示例
switch_config#ip verify attack Xmas-Tree 10
switch_config#ip verify attack Xmas-Tree
相关命令
ip verify attack Null-scan
ip verify attack Land
ip verify attack Smurf
ip verify attack WinNuke
ip verify attack Ping-of-Death
ip verify attack TearDrop
ip verify attack Fraggle
1.1.10ip verify attack Null-scan
过滤Null扫描攻击
参数
| 参数 |
参数说明 |
| <1 - 60> |
防攻击检测周期,在此周期内发现tcp报文带有空的标志,且目的端口多于一次扫描单位则认为是攻击。 |
缺省
缺省检测周期为3秒
命令模式
全局配置态
示例
switch_config#ip verify attack Null-scan 10
switch_config#ip verify attack Null-scan
相关命令
ip verify attack Xmas-Tree
ip verify attack Land
ip verify attack Smurf
ip verify attack WinNuke
ip verify attack Ping-of-Death
ip verify attack TearDrop
ip verify attack Fraggle
1.1.11ip verify attack Land
过滤Land攻击
参数
无
缺省
关闭
命令模式
全局配置态
示例
switch_config#ip verify attack Land
相关命令
ip verify attack Xmas-Tree
ip verify attack Null-scan
ip verify attack Smurf
ip verify attack WinNuke
ip verify attack Ping-of-Death
ip verify attack TearDrop
ip verify attack Fraggle
1.1.12ip verify attack Smurf
过滤Smurf攻击
参数
无
缺省
关闭
命令模式
全局配置态
示例
switch_config#ip verify attack Smurf
相关命令
ip verify attack Xmas-Tree
ip verify attack Null-scan
ip verify attack Land
ip verify attack WinNuke
ip verify attack Ping-of-Death
ip verify attack TearDrop
ip verify attack Fraggle
1.1.13ip verify attack WinNuke
过滤WinNuke攻击
参数
无
缺省
关闭
命令模式
全局配置态
示例
switch_config#ip verify attack WinNuke
相关命令
ip verify attack Xmas-Tree
ip verify attack Null-scan
ip verify attack Land
ip verify attack Smurf
ip verify attack Ping-of-Death
ip verify attack TearDrop
ip verify attack Fraggle
1.1.14ip verify attack TearDrop
过滤TearDrop攻击
参数
无
缺省
关闭
命令模式
全局配置态
示例
switch_config#ip verify attack TearDrop
相关命令
ip verify attack Xmas-Tree
ip verify attack Null-scan
ip verify attack Land
ip verify attack Smurf
ip verify attack WinNuke
ip verify attack Ping-of-Death
ip verify attack Fraggle
1.1.15ip verify attack Fraggle
过滤Fraggle攻击
参数
无
缺省
关闭
命令模式
全局配置态
示例
switch_config#ip verify attack Fraggle
相关命令
ip verify attack Xmas-Tree
ip verify attack Null-scan
ip verify attack Land
ip verify attack Smurf
ip verify attack WinNuke
ip verify attack Ping-of-Death
ip verify attack TearDrop
1.1.16ip verify all
过滤全部攻击
参数
无
缺省
关闭
命令模式
全局配置态
示例
switch_config#ip verify all
switch_config#no ip verify all
相关命令
ip verify icmp ping-flood
ip verify icmp ping-sweep
ip verify tcp syn-flood
ip verify tcp syn-sweep
ip verify tcp fin-scan
ip verify tcp rst-flood
ip verify udp udp-flood
ip verify udp udp-sweep
ip verify attack Xmas-Tree
ip verify attack Null-scan
ip verify attack Land
ip verify attack Smurf
ip verify attack WinNuke
ip verify attack TearDrop
ip verify attack Fraggle
1.1.17ip verify filter
报文过滤。在判断发生攻击行为后,丢弃引发攻击的报文,持续时间是3分钟。
参数
| 参数 |
参数说明 |
| <30 - 43200> |
检测到攻击后,阻塞攻击源的时间,单位为秒。最长为12小时。 |
缺省
缺省阻塞时间为180秒
命令模式
全局配置态
示例
switch_config#ip verify filter 600
switch_config#no ip verify filter
相关命令
无
1.1.18ip verify enable
开启/关闭攻击防护。
参数
无
缺省
关闭
命令模式
全局配置态
示例
switch_config#ip verify enable
switch_config#no ip verify enable
相关命令
无
1.1.19ip verify log-enable
开启攻击防护日志。在判断发生攻击行为后,输出相关的系统日志。
参数
无
缺省
关闭
命令模式
全局配置态
示例
switch_config#ip verify log-enable
switch_config#no ip verify log-enable
相关命令
ip verify enable
1.1.20show ip table
显示当前IP数据流表
参数
无
命令模式
非用户态
示例
#show ip table
No. Src-address Dst-address Timer
0 90.0.0.3 90.0.0.33 80
1 90.0.0.33 224.0.0.1 71
2 90.0.0.33 224.0.0.13 57
1.1.21show ip table src
显示当前IP源地址索引表
参数
无
命令模式
非用户态
示例
#show ip table src
No. Src-address Flows Flags
0 90.0.0.3 1 0x200
1 90.0.0.33 2 0
Flows: 表示该ip源地址所属额数据流的索引
Flags: 记录了该ip源地址的攻击类型
2IP防直连网段扫描攻击配置命令
2.1IP防直连网段扫描攻击配置命令
2.1.1ip verify ip-sweep detect unknown-host
开启/关闭对于直连网络上未明主机的IP扫描的防攻击功能,在某个vlan下不完整arp打到一定数目时认定为收到了IP直连网段扫描攻击,根据action进行防御措施,其中rate-limit和rate-limit-attacker的措施不能同时开启。
参数
无
缺省
默认不开启
命令模式
全局配置态
示例
switch_config#ip verify ip-sweep detect unknown-host
相关命令
ip verify ip-sweep action
2.1.2ip verify ip-sweep action rate-limit
对所有ip报文进行限速,可选输入参数:限制窗口的时间长度和报文数量
参数
| 参数 |
参数说明 |
| <1 - 5> |
限制ip报文的时间窗口大小(秒) |
| <1 - 5000> |
时间窗口内允许接收的IP报文数量 |
注意事项
1.每次到窗口时间就会重新允许指定数量的ip报文通过,且限流仅限于对送向cpu的报文,对硬件已经学到cache的ip报文无法限制。
2.在配置了ip verify action rate-limit-attacker的时候无法配置ip verify ip-sweep action rate-limit
缺省
缺省该功能不开启。
配置该功能而不输入可选参数时,缺省窗口时间为1秒,缺省窗口内允许接受的IP报文为200个
命令模式
全局配置态
示例
switch_config# ip verify ip-sweep action rate-limit 2 500
相关命令
ip verify ip-sweep action rate-limit-attacker
2.1.3ip verify ip-sweep action rate-limit-attacker
对所有来源为检测为攻击者的ip报文进行限速,可选输入参数:限制窗口的时间长度和报文数量
该命令会覆盖ip verify ip-sweep action rate-limit 命令的效果
参数
| 参数 |
参数说明 |
| <1 - 5> |
限制ip报文的时间窗口大小(秒) |
| <1 - 5000> |
时间窗口内允许接收的IP报文数量 |
缺省
缺省该功能不开启。
配置命令而不输入可选参数时,如果配置过ip verify action rate-limit下的时间窗口和限制报文数量,缺省的窗口时间长度和报文数量会继承该数值;如果没有配置过,缺省窗口时间为1秒,缺省窗口内允许接受的IP报文为200个
命令模式
全局配置态
示例
switch_config# ip verify ip-sweep action rate-limit-attacker 2 1000
相关命令
ip verify ip-sweep action rate-limit
2.1.4ip verify ip-sweep action no-cache
禁止为直连网络上的未明主机创建cache,并删除持续流指向未明主机的软件cache
参数
无
缺省
缺省该功能不开启
命令模式
全局配置态
示例
switch_config# ip verify ip-sweep action no-cache
注意事项
当前仅禁止:
1.已确定目的出口为不完整arp的流
2.在不完整arp数量达到上限时禁止为还没有对应arp的流创建cache。
不完整arp数量还未满且没有对应arp生成的流,我们允许创建cache。
2.1.5show ip verify config
显示当前IP防直连网段扫描攻击检测配置
参数
无
命令模式
非用户态
示例
switch_config# show ip verify config
IP-sweep unknown-host : Enabled
IP-sweep action logging : Enabled
IP-sweep action no-cache : Disabled
IP-sweep action rate-limit : Enabled
IP-sweep action rate-limit-attacker: Disabled
Rate-limit time-window in unit of second : 1
Number of packets allowed every time-window: 200
IP-sweep filter time : 180
注:交换机界面已对齐,word显示不工整
2.1.6show ip verify status
显示IP直连网段扫描防攻击检测是否开启、是否检测到了收到攻击以及攻击者的详细信息
参数
无
命令模式
非用户态
示例
switch_config# show ip verify status
Detection for Unknown-host(connected network sweep) attack configured
Unknown-host(connected network sweep) attack detected
Number of Unknown-host(connected network sweep) attackers: 1
Attacker 100.1.1.10, count 32, VLAN 100, port g2/1
