- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
23-SAF增强安全命令
本章节下载: 23-SAF增强安全命令 (588.58 KB)
目 录
1.1.5 display saf detection policy
1.1.6 display saf detection record brief
1.1.7 display saf detection record
1.1.8 display saf detection record history brief
1.1.9 display saf detection record history
1.1.10 display saf ipv6 neighbors
1.1.12 display saf mac-address
1.1.14 reset saf detection record
1.1.15 reset saf detection record historty
1.1.19 saf arp-spoofing arp-table
1.1.20 saf arp-spoofing mac-owner-check
1.1.21 saf arp-spoofing trust (system view)
1.1.22 saf arp-spoofing trust (interface view)
1.1.24 saf detection (sysname view)
1.1.25 saf detection (interface view)
1.1.30 saf mac-flooding max-mac-count (sysname view)
1.1.31 saf mac-flooding max-mac-count (interface view)
1.1.33 saf port-scan port-range-identify
仅SE-S5130系列交换机支持配置SAF增强安全。
display saf arp-table命令用来显示SAF ARP表项。
【命令】
display saf arp-table [ dynamic | static ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
dynamic:显示动态SAF ARP表项。
static:显示静态SAF ARP表项。
【使用指导】
不指定任何参数时显示所有SAF ARP表项。
在接口上执行saf detection命令并指定arp-spoofing参数来开启ARP攻击和ARP欺骗的SAF攻击检测功能后,系统将创建一个独立的SAF ARP表项,该表项仅用于SAF攻击检测判定,不会被用于指导报文的转发。通过display saf arp-table命令可以查看该表项的详细信息,其中包括IP地址、MAC地址、VLAN ID、表项类型以及老化时间等信息。
SAF ARP表的结构和内容类似普通ARP表项,其中存在三类ARP表项:
· 动态ARP表项:通过ARP协议动态学习到的表项信息。
· 静态ARP表项:通过saf arp-spoofing arp-table命令手工指定的ARP表项。
· 本机的IP地址对应的ARP表项。
【举例】
# 显示SAF的所有ARP表项。
<Sysname> display saf arp-table
Total number of entries: 1
IP Address MAC Address Interface VLAN Type AgingTime
1.1.1.1 11ff-0001-0001 - - Static -
表1-1 display saf arp-table命令显示信息描述表
|
字段 |
描述 |
|
Total number of entries |
全部ARP条目 |
|
IP Address |
IP地址 |
|
MAC Address |
MAC地址 |
|
Interface |
ARP表项所对应的出接口 |
|
VLAN |
ARP表项所属的VLAN ID |
|
Type |
ARP表项类型,取值包括: · Static:静态ARP表项 · Dynamic:动态ARP表项 · Local:本机的IP地址对应的ARP表项 |
|
AgingTime |
ARP表项的老化时间,对于静态ARP表项,本字段取值为“-”,表示没有老化时间 |
【相关命令】
· reset saf arp-table
· saf arp-spoofing arp-table
· saf detection (interface view)
display saf allowlist命令用来显示SAF攻击检测的白名单列表。
【命令】
display saf allowlist [ cpu | ip | ipv6 | mac ] { global | interface [ interface-type interface-number ] }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
cpu:显示匹配上送本设备CPU报文的SAF攻击检测白名单列表。
ip:显示匹配协议类型为网络层IPv4协议的SAF攻击检测白名单列表。
ipv6:显示匹配协议类型为网络层IPv6协议的SAF攻击检测白名单列表。
mac:显示匹配协议类型为数据链路层协议报文的SAF攻击检测白名单列表。
global:显示系统视图下配置的SAF攻击检测白名单列表。
interface:显示接口下配置的SAF攻击检测白名单列表。
interface-type interface-number:表示指定接口类型和接口编号。若未指定接口类型和接口编号,则表示所有接口配置的SAF攻击检测白名单列表。
【使用指导】
使用本命令可以查看SAF攻击检测的白名单列表以及白名单匹配到的报文统计信息。
【举例】
# 显示系统视图下配置的SAF攻击检测白名单列表。
<Sysname> display saf allowlist global
Total number of entries: 3
saf allowlist 0 ip tcp vlan 100 (2 packets)
saf allowlist 1 ip tcp vlan 101 (10 packets)
saf allowlist 2 ip tcp source 1.1.1.1 255.255.255.0 destination 2.2.2.2 255.255.255.0 source-mac 00aa-00bb-00cc 00aa-00bb-00cc dest-mac 00aa-00bb-00aa 00aa-00bb-00aa source-port eq 100 destination-port eq 200 fin 1 vlan 1024 comment rule1 (0 packets)
表1-2 display saf allowlist命令显示信息描述表
|
字段 |
描述 |
|
saf allowlist x y |
SAF白名单列表及其详细匹配参数,其中x表示SAF白名单列表编号,y为SAF白名单列表的详细匹配参数 |
|
z packets |
表示该SAF白名单列表匹配到的所有报文数量 |
【相关命令】
· saf allowlist
display saf denylist命令用来显示SAF攻击检测的黑名单列表。
【命令】
display saf denylist [ ip | ipv6 | mac ] { global | interface [ interface-type interface-number ] }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
ip:显示匹配协议类型为网络层IPv4协议的SAF攻击检测黑名单列表。
ipv6:显示匹配协议类型为网络层IPv6协议的SAF攻击检测黑名单列表。
mac:显示匹配协议类型为数据链路层协议报文的SAF攻击检测黑名单列表。
global:显示系统视图下配置的SAF攻击检测黑名单列表。
interface:显示接口下配置的SAF攻击检测黑名单列表。
interface-type interface-number:表示指定接口类型和接口编号。若未指定接口类型和接口编号,则表示所有接口配置的SAF攻击检测黑名单列表。
【使用指导】
使用本命令可以查看SAF攻击检测的黑名单列表以及黑名单匹配到的报文统计信息。
【举例】
# 显示系统视图下配置的SAF攻击检测的黑名单列表。
<Sysname> display saf denylist global
Total number of entries: 1
saf denylist 10 ip tcp source 1.1.1.1 255.255.255.0 (2 packets)
表1-3 display saf denylist命令显示信息描述表
|
字段 |
描述 |
|
saf denylist x y |
SAF黑名单列表及其详细匹配参数,其中x表示SAF黑名单列表编号,y为SAF黑名单列表的详细匹配参数 |
|
z packets |
表示该SAF黑名单列表匹配到的所有报文数量 |
【相关命令】
· saf denylist
display saf detection命令用来显示不同攻击类型的SAF攻击检测功能状态。
【命令】
display saf detection [ attack-type attack-type | interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
attack-type attack-type:显示指定攻击类型的SAF攻击检测功能状态。其中attack-type表示攻击类型,取值包括arp-spoofing、attack-fragment、attack-smurf、dos、filter dhcp、filter dos-control、icmp-redirect、ip-spoofing、mac-flooding、ndp-spoofing、port-scan、dad-attack。未指定本参数则显示所有攻击类型的SAF攻击检测功能状态。
interface interface-type interface-number:显示指定接口下不同攻击类型的SAF攻击检测功能状态。其中,interface-type interface-number表示指定接口类型和接口编号。未指定本参数则显示所有接口下不同攻击类型的SAF攻击检测功能状态。
【举例】
# 显示所有攻击类型的SAF攻击检测功能状态。
<Sysname> display saf detection
Global SAF detection status:
icmp-redirect : Disabled
attack-smurf : Disabled
dos : Enabled
port-scan : Enabled
attack-fragment : Disabled
ip-spoofing : Disabled
filter dhcp : Disabled
filter dos-control : Enabled
Interface SAF detection status:
Interface(Enabled) : GE1/0/1
Uplink : N
mac-flooding : Disabled
max mac count : -
ndp-spoofing : Disabled
arp-spoofing : Disabled
dad-attack : Disabled
period : -
# 显示指定接口GigabitEthernet 1/0/1所有攻击类型的SAF攻击检测功能状态。
<Sysname> display saf detection interface GigabitEthernet 1/0/1
Interface SAF detection status:
Interface(Enabled) : GE1/0/1
Uplink : N
icmp-redirect : Disabled
dos : Disabled
port-scan : Disabled
attack-fragment : Disabled
ip-spoofing : Enabled
filter dhcp : Enabled
filter dos-control : Enabled
ndp-spoofing : Disabled Action : -
arp-spoofing : Disabled Action : -
arp spoofing trust : N
dad-attack : Disabled Action : -
period : -
mac-flooding : Disabled Action : -
threshold : -
max mac count : -
rate-limit : -
# 显示攻击类型为arp-spoofing的SAF攻击检测功能状态。
<Sysname> display saf detection attack-type arp-spoofing
SAF ARP table:
IP Address MAC Address
255.255.255.255 ffff-ffff-ffff
0.0.0.0 0000-0000-0000
1.1.1.1 00aa-00bb-00cc
MAC owner check:
MAC Address MAC Address Mask
0000-0000-0000 0000-0000-0000
00aa-00bb-00cc 00aa-00bb-00cc
ffff-ffff-ffff ffff-ffff-ffff
Trust IP:
Local Address IP Address Mask
128.11.3.0 255.255.255.0
IP Address IP Address Mask
0.0.0.0 255.255.255.0
192.168.56.1 128.0.0.0
192.168.56.1 192.0.0.0
192.168.56.1 224.0.0.0
192.168.56.1 240.0.0.0
Trust VLAN:
1 3 5 7 9 11 13 to 14 22
22 25 to 26 29 31 4090 4094
Interface : GE1/0/1
arp-spoofing : Disabled Action : -
arp spoofing trust : N
Interface : GE1/0/2
arp-spoofing : Enabled Action : Drop
arp spoofing trust : Y
# 显示攻击类型为attack-smurf的SAF攻击检测功能状态。
<Sysname> display saf detection attack-type attack-smurf
Interface : GE1/0/1 Status : Enabled
Interface : GE1/0/2 Status : Enabled
# 显示攻击类型为dos的SAF攻击检测功能状态。
<Sysname> display saf detection attack-type dos
Interface : GE1/0/1 Status : Enabled
Interface : GE1/0/2 Status : Enabled
# 显示攻击类型为filter dhcp的SAF攻击检测功能状态。
<Sysname> display detection attack-type filter dhcp
Interface : GE1/0/1 Status : Enabled
Interface : GE1/0/2 Status : Enabled
# 显示攻击类型为filter dos-control的SAF攻击检测功能状态。
<Sysname> display saf detection attack-type filter dos-control
Interface : GE1/0/1 Status : Enabled
Interface : GE1/0/2 Status : Enabled
# 显示攻击类型为icmp-redirect的SAF攻击检测功能状态。
<Sysname> display saf detection attack-type icmp-redirect
Interface : GE1/0/1 Status : Enabled
Interface : GE1/0/2 Status : Enabled
# 显示攻击类型为port-scan的SAF攻击检测功能状态。
<Sysname> display saf detection attack-type port-scan
Port range identity : Enabled
Interface : GE1/0/1 Status : Enabled
Interface : GE1/0/2 Status : Enabled
表1-4 display saf detection命令显示信息描述表
|
字段 |
描述 |
|
Global SAF detection status |
系统视图下配置的对不同攻击类型的SAF攻击检测功能状态信息 |
|
icmp-redirect |
ICMP重定向报文攻击的SAF攻击检测功能状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
attack-fragment |
分片攻击的SAF攻击检测功能状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
attack-smurf |
ICMP广播攻击的SAF攻击检测功能状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
dos |
DoS攻击的SAF攻击检测功能状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
port-scan |
端口扫描攻击的SAF攻击检测功能状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
ip-spoofing |
IP欺骗攻击的SAF攻击检测功能状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
filter dhcp |
DHCP报文过滤的记录状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
filter dos-control |
SAF报文过滤的记录状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
Interface SAF detection status |
以太网接口视图下配置的对不同攻击类型的SAF攻击检测功能状态信息 |
|
Interface(state) |
开启SAF攻击检测功能的接口,其中state表示该接口的SAF攻击检测功能开启状态,取值取值包括 · Enabled:开启 · Disabled:关闭 |
|
Uplink |
接口是否为上行口,取值包括 · Y:该接口为SAF上行口,不进行任何SAF攻击检测 · N:该接口不是SAF上行口,可以进行SAF攻击检测 |
|
mac-flooding |
MAC泛洪攻击的SAF攻击检测功能状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
threshold |
接口学习的MAC地址阈值 |
|
max mac count |
对于MAC泛洪攻击,接口上可以学习的最大MAC地址数 |
|
ndp-spoofing |
ND攻击和ND欺骗的SAF攻击检测功能状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
arp-spoofing |
ARP攻击和ARP欺骗的SAF攻击检测功能状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
dad-attack |
DAD攻击的SAF攻击检测功能状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
period |
DAD发包检测周期 |
|
Action |
SAF检测到攻击后执行的转发行为,取值包括 · Detect:仅检测攻击,并记录攻击行为 · Drop:检测到攻击后直接丢弃攻击报文 · -:表示未配置对应的攻击检测功能 |
|
rate-limit |
对于MAC泛洪攻击,接口上每秒可以学习的最大MAC地址数 |
|
arp spoofing trust |
对于ARP攻击和ARP欺骗,接口是否属于信任接口,取值包括 · Y:该接口属于信任接口 · N:该接口不属于信任接口 |
|
Status |
指定攻击类型的SAF攻击检测功能开启状态,取值包括 · Enabled:开启 对于不同攻击类型显示Enabled情况略有差异: · 对于攻击类型指定为filter dos-control,需要系统视图下配置saf detection命令并指定filter dos-control参数,同时以太网接口视图下配置saf detection enable命令,该接口才会显示为Enabled状态,否则不显示 · 对于attack-smurf等攻击类型,需要在接口下执行saf detection enable命令开启SAF攻击检测功能,同时系统视图下配置了saf detection命令并指定对应攻击类型参数,该接口才会显示为Enabled状态,否则不显示 · 对于攻击类型指定为filter dhcp,需要在接口下执行saf filter dhcp命令,同时以太网接口视图下配置saf detection enable命令,并且系统视图下配置saf detection命令并指定filter dhcp参数,该接口才会显示为Enabled状态,否则不显示 |
|
SAF ARP table |
静态配置的SAF ARP表项,如果未配置显示为- |
|
IP Address |
ARP表项中的IP地址 |
|
MAC Address |
ARP表项中的MAC地址 |
|
MAC owner check |
ARP欺骗检测的MAC占用检查功能的状态,如果未配置显示为- |
|
MAC Address Mask |
MAC地址掩码 |
|
Trust IP |
ARP欺骗信任的IP地址,如果未配置显示为- |
|
Local Address |
信任的本地接口的IP地址 |
|
IP Address Mask |
信任的IP地址掩码 |
|
Trust VLAN |
ARP欺骗信任的VLAN列表,如果未配置显示为- |
|
Port range identity |
扫描攻击检测的端口范围识别功能的状态 |
【相关命令】
· saf detection (system view)
· saf detection (interface view)
display saf detection policy命令用来显示SAF策略。
【命令】
display saf detection policy
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【举例】
<Sysname> display saf detection policy
Total number of entries: 2
saf policy 0 ip tcp vlan 100 action detect
saf policy 1 ip tcp source 1.1.1.1 255.255.255.0 destination 2.2.2.2 255.255.255.0 source-mac 00aa-00bb-00c0 00aa-00bb-00c0 dest-mac 00aa-00bb-00cc 00aa-00bb-00cc source-port eq 100 destination-port eq 200 vlan 512 action detect comment SafPolocy1
表1-5 display saf detection policy命令显示信息描述表
|
字段 |
描述 |
|
saf policy x |
SAF策略及其详细匹配参数,其中x表示SAF策略编号,编号后为SAF策略的详细匹配参数 |
【相关命令】
· saf detection policy
display saf detection record brief命令用来显示SAF攻击检测实时记录的简要信息。
【命令】
display saf detection record brief
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【使用指导】
执行saf detection enable命令开启SAF攻击检测功能,并且在系统视图或以太网接口视图下执行saf detection命令开启指定类型的攻击检测后,如果SAF攻击检测功能发现了攻击流量,将会实时记录攻击的信息。
如果在该攻击记录的老化时间内持续检测到攻击流量则刷新该攻击记录的老化时间,如果超出该攻击记录的老化时间,仍未检测到新的攻击流量,则将该实时攻击记录删除,写进攻击的历史记录中。
【举例】
# 显示SAF攻击检测实时记录的简要信息。
<Sysname> display saf detection record brief
Total number of entries: 4
Index Source AttackType Count Action Aging Interface
1 0000-0100-0003 arp-spoofing 80 Detect 60s GE1/0/1
2 0000-0100-0003 arp-spoofing 10 Drop 59s GE1/0/1
3 0000-0100-0004 arp-spoofing 11 Remark(2) 60s GE1/0/1
4 0000-0200-0003 arp-spoofing 22 Rate Limit(64) 60s GE1/0/1
表1-6 display saf detection record brief命令显示信息描述表
|
字段 |
描述 |
|
Index |
实时攻击记录索引 |
|
Source |
攻击源的IP地址或MAC地址,如果攻击报文属于二层协议,则显示为MAC地址,如果攻击报文属于三层协议,则显示为IP地址 |
|
AttackType |
攻击类型,取值包括: · icmp-redirect · attack-fragment · attack-smurf · dos · port-scan · ip-spoofing · mac-flooding · filter dhcp · filter dos-control · mac-flooding · ndp-spoofing · arp-spoofing · host-defense · scan_attack · scan_flooding · random_attack · random_flooding |
|
Count |
接收到的攻击报文统计数量,单位为报文个数 |
|
Action |
SAF检测到攻击后执行的转发行为,取值包括 · Detect:仅检测攻击,并记录攻击行为 · Drop:检测到攻击后直接丢弃攻击报文 · Remark:检测到攻击后重新标记攻击报文的802.1p优先级,括号中数字表示重标记的802.1p优先级 · Rate Limit:检测到攻击后对攻击报文进行限速,括号中数字表示限速的速率,单位为pps |
|
Aging |
该攻击记录的剩余老化时间 |
|
Interface |
接收到攻击报文的接口 |
【相关命令】
· saf detection enable
· saf detection (interface view)
· saf detection (system view)
display saf detection record命令用来显示SAF攻击检测的实时记录。
【命令】
display saf detection record [ verbose index ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
verbose index:显示指定SAF攻击检测实时记录的详细信息,其中index表示攻击记录索引。如果未指定本参数则表示显示所有SAF攻击检测的实时记录的信息。
【使用指导】
执行saf detection enable命令开启SAF攻击检测功能,并且在系统视图或以太网接口视图下执行saf detection命令开启指定类型的攻击检测后,如果SAF攻击检测功能发现了攻击流量时,将会实时记录攻击的信息,其中包括攻击记录的索引、接收到攻击报文的接口、攻击报文的源IP/MAC、攻击报文的目的IP/MAC、攻击报文的协议类型、攻击报文的源端口号、攻击报文的目的端口号、攻击类型、攻击报文的统计、攻击报文将执行的动作以及该攻击记录的剩余老化时间。
如果在该攻击记录的老化时间内持续检测到攻击流量则刷新该攻击记录的老化时间,如果超出该攻击记录的老化时间,仍未检测到新的攻击流量,则将该实时攻击记录删除,写进攻击的历史记录中。
【举例】
# 显示所有SAF攻击检测的实时记录的信息。
<Sysname> display saf detection record
Total number of entries: 2
Index : 24
Interface : GE1/0/1 Action : Detect
AttackType : arp-spoofing Proto : ARP
SIP : - DIP : 192.168.10.1
SMAC : 0000-0100-0003 DMAC : -
SPort : - DPort : -
Count : 9981 packets Rate : 20 pps
Aging : 60s
Owner IP : 1.2.3.4
Index : 25
Interface : GE1/0/2 Action : Detect
AttackType : arp-spoofing Proto : ARP
SIP : - DIP : 192.168.10.1
SMAC : 0000-0100-0003 DMAC : -
SPort : - DPort : -
Count : 9981 packets Rate : 20 pps
Aging : 60s
Owner IP : 1.2.3.4
表1-7 display saf detection record命令显示信息描述表
|
字段 |
描述 |
|
Index |
实时攻击记录索引 |
|
Interface |
接收到攻击报文的接口 |
|
Action |
SAF检测到攻击后执行的转发行为,取值包括 · Detect:仅检测攻击,并记录攻击行为 · Drop:检测到攻击后直接丢弃攻击报文 · Remark:检测到攻击后重新标记攻击报文的802.1p优先级,括号中数字表示重标记的802.1p优先级 · Rate Limit:检测到攻击后对攻击报文进行限速,括号中数字表示限速的速率,单位为pps |
|
AttackType |
攻击类型,取值包括: · icmp-redirect · attack-fragment · attack-smurf · dos · port-scan · ip-spoofing · mac-flooding · filter dhcp · filter dos-control · mac-flooding · ndp-spoofing · arp-spoofing · host-defense · scan_attack · scan_flooding · random_attack · random_flooding |
|
Proto |
攻击协议类型 |
|
SIP |
攻击报文的源IP地址 |
|
DIP |
攻击报文的目的IP地址 |
|
SMAC |
攻击报文的源MAC地址 |
|
DMAC |
攻击报文的目的MAC地址 |
|
SPort |
攻击报文的源端口 |
|
DPort |
攻击报文的目的端口 |
|
Count |
接收到的攻击报文统计数量,单位为报文个数 |
|
Rate |
攻击报文的速率,单位为pps |
|
Aging |
该攻击记录的剩余老化时间 |
|
Owner IP |
在ARP表项中,ARP攻击报文数据载荷中伪造的MAC地址对应的IP地址 |
# 显示指定索引值的SAF攻击检测实时记录的详细信息(ARP欺骗和ARP攻击)。
<Sysname> display saf detection record verbose 23
Index : 23
Interface : GE1/0/1 Action : Detect
AttackType : arp-spoofing Proto : ARP
SIP : - DIP : -
SMAC : 0000-0100-0003 DMAC : -
SPort : - DPort : -
Count : 9981 packets Rate : 2001 pps
Aging : 60s
Owner IP : 1.2.3.4
Start : 2023/1/7 03:38:13
End : 2023/1/7 05:01:59 (5026 Sec)
No. Opcode Attack MAC Sender IP IP Owner MAC VID Packets/pps
1 reply 0000-0200-0003 192.85.1.2 0101-0200-0003 1023 123/210
2 reply 0000-0110-0013 192.85.1.2 0101-0200-0003 1023 123/210
3 reply 0000-0110-0103 192.85.1.2 0101-0200-0003 1023 123/210
4 reply 0000-0200-0003 192.85.1.2 0101-0200-0003 1023 123/210
# 显示指定索引值的SAF攻击检测实时记录的详细信息(端口扫描攻击)。
<Sysname> display saf detection record verbose 23
Index : 23
Interface : GE1/0/1 Action : Detect
AttackType : port-scan Proto : TCP
SIP : 192.85.1.2 DIP : 192.85.1.3
SMAC : 0000-0100-0003 DMAC : 0000-0100-0203
SPort : 1024 DPort : -
Count : 9981 packets Rate : 20 pps
Aging : 60s
Start : 2023/1/7 03:38:13
End : 2023/1/7 05:01:59 (5026 Sec)
No Source Destination Proto SPort DPort Packets/pps
1 192.85.1.2 192.85.1.1 TCP 1024 2 to 100 123/210
2 192.85.1.2 192.85.1.1 UDP 1024 120 to 901 123/210
3 192.85.1.2 192.85.1.1 UDP 1024 1001 to 2012 123/210
4 192.85.1.2 192.85.1.1 TCP 1024 2022 to 65500 123/210
# 显示指定索引值的SAF攻击检测实时记录的详细信息(DoS攻击)。
<Sysname> display saf detection record verbose 23
Index : 23
Interface : GE1/0/1 Action : Detect
AttackType : dos Proto : UDP
SIP : 192.85.1.2 DIP : 192.85.1.3
SMAC : 0000-0100-0003 DMAC : 0000-0100-0203
SPort : 1024 DPort : 8090
Count : 9981 packets Rate : 2001kbps
Aging : 60s
Start : 2023/1/7 03:38:13
End : 2023/1/7 05:01:59 (5026 Sec)
# 显示指定索引值的SAF攻击检测实时记录的详细信息(DoS-control攻击)。
[H3C]dis saf detection record verbose 4380
Index : 4380
Interface : GE1/0/1 Action : Drop
AttackType : dos-control Proto : UDP
SIP : 128.11.102.13 DIP : 128.11.255.255
SMAC : - DMAC : ffff-ffff-ffff
SPort : 138 DPort : 138
Count : 2177 packets Rate : 0 pps
Aging : 57
Type : tcp-flags-sf, tcp-flags-fup, icmp-fragments, ip-equal
tcp-ports-equal, udp-ports-equal
Start : 2013/3/24 05:27:10
End : 2013/3/24 06:39:19
# 显示指定索引值的SAF攻击检测实时记录的详细信息(host-defense类型攻击)。
<Sysname> display saf detection record verbose 23
Index : 23
Interface : - Action : -
AttackType : host-defense Proto : -
SIP : 192.85.1.2 DIP : -
SMAC : 0000-0100-0003 DMAC : -
SPort : - DPort : -
Count : 181 packets Rate : 2001 pps
Aging : 60s
Start : 2023/1/7 03:38:13
End : 2023/1/7 05:01:59 (5026 Sec)
No Source Addr Dest Addr Proto AttackType Action interface Packets/pps
1 192.168.1.2 0000-0100-0003 ARP arp-spoofing Drop GE1/0/1 123/210
2 192.168.1.2 192.85.1.2 1023 port-scan Remark(2) GE1/0/2 123/210
3 192.168.1.2 192.85.1.2 1223 dos Drop GE1/0/3 123/210
4 192.168.1.2 0000-0200-0003 ARP arp-spoofing Drop GE1/0/4 123/210
# 显示指定索引值的SAF攻击检测实时记录的详细信息(IP地址扫描攻击)。
<Sysname> display saf detection record verbose 49
Index : 49
Interface : GE1/0/1 Action : Detect
AttackType : scan-attack Proto : TCP
SIP : 1.1.1.2 DIP : Any
SMAC : 0000-0100-0003 DMAC : 0000-0100-0203
SPort : - DPort : 22
Count : 9021 packets Rate : 213 pps
Aging : 180s
Start : 2023/1/7 03:38:13
End : 2023/1/7 05:01:59 (5026 Sec)
No Source Destination Proto SPort DPort Packets/pps
1 1.1.1.2 192.85.1.0 TCP 7198 22 20/3
2 1.1.1.2 192.85.1.1 TCP 733 22 20/3
3 1.1.1.2 192.85.1.2 TCP 8939 22 20/3
4 1.1.1.2 192.85.1.3 TCP 32048 22 20/3
表1-8 display saf detection record verbose命令显示信息描述表
|
字段 |
描述 |
|
Index |
攻击记录索引 |
|
Interface |
接收到攻击报文的接口 |
|
Action |
SAF检测到攻击后执行的转发行为,对于host-defense类型攻击属于多类型的多条流攻击,每条流具体执行的转发行为在具体索引信息中显示,取值包括 · Detect:仅检测攻击,并记录攻击行为 · Drop:检测到攻击后直接丢弃攻击报文 · Remark:检测到攻击后重新标记攻击报文的802.1p优先级,括号中数字表示重标记的802.1p优先级 · Rate Limit:检测到攻击后对攻击报文进行限速,括号中数字表示限速的速率,单位为pps |
|
AttackType |
攻击类型,取值包括: · icmp-redirect · attack-fragment · attack-smurf · dos · port-scan · ip-spoofing · mac-flooding · filter dhcp · filter dos-control · mac-flooding · ndp-spoofing · arp-spoofing · host-defense · scan_attack · scan_flooding · random_attack · random_flooding |
|
Proto |
攻击协议类型 |
|
SIP |
攻击报文的源IP地址 |
|
DIP |
攻击报文的目的IP地址 |
|
SMAC |
攻击报文的源MAC地址 |
|
DMAC |
攻击报文的目的MAC地址 |
|
SPort |
攻击报文的源端口 |
|
DPort |
攻击报文的目的端口 |
|
Count |
接收到的攻击报文统计数量,单位为报文个数 |
|
Rate |
攻击报文的速率,单位为pps |
|
Aging |
该攻击记录的剩余老化时间 |
|
Owner IP |
在ARP表项中,ARP攻击报文数据载荷中伪造的MAC地址对应的IP地址 |
|
Start |
攻击起始时间 |
|
End |
最近一次攻击的时间及攻击的持续时间 |
|
No. |
具体的攻击条目编号 |
|
Opcode |
ARP攻击报文的类型 |
|
Attack MAC |
ARP攻击报文数据载荷中的伪造的MAC地址,一般是攻击者可以将伪造MAC地址设为本机MAC,也可以设置为非本机MAC |
|
IP Owner MAC |
ARP欺骗报文中的源MAC地址,即攻击者的MAC地址 |
|
Sender IP |
ARP攻击报文数据载荷中的源IP,即攻击者通过伪造MAC地址劫持发往该IP的数据包 |
|
VID |
ARP攻击报文的VLAN ID |
|
Destination |
攻击的目的IP或MAC地址 |
|
Packets/pps |
每条攻击流的统计信息,包括报文个数(packets)和报文速率(pps) |
【相关命令】
· saf detection enable
· saf detection (interface view)
· saf detection (system view)
display saf detection record history brief命令用来显示SAF攻击检测的历史记录的简要信息。
【命令】
display saf detection record history brief
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【使用指导】
如果实时攻击记录超出老化时间,仍未检测到新的攻击流量,则将该实时攻击记录删除,将该攻击记录转化为历史记录。
【举例】
# 显示SAF攻击检测的历史记录的简要信息。
<Sysname> display saf detection record history brief
Total number of entries: 2
Index Source AttackType Count Action Interface
1 0000-0100-0003 arp-spoofing 80 Detect GE1/0/1
2 0000-0100-0003 arp-spoofing 10 Drop GE1/0/1
3 0000-0100-0004 arp-spoofing 11 Remark GE1/0/1
4 0000-0200-0003 arp-spoofing 22 Rate Limit GE1/0/1
表1-9 display saf detection record history brief命令显示信息描述表
|
字段 |
描述 |
|
Index |
历史攻击记录的索引 |
|
Source |
攻击源的IP地址或MAC地址,如果攻击报文属于二层协议,则显示为MAC地址,如果攻击报文属于三层协议,则显示为IP地址 |
|
AttackType |
攻击类型,取值包括: · icmp-redirect · attack-fragment · attack-smurf · dos · port-scan · ip-spoofing · mac-flooding · filter dhcp · filter dos-control · mac-flooding · ndp-spoofing · arp-spoofing · host-defense · scan_attack · scan_flooding · random_attack · random_flooding |
|
Count |
接收到的攻击报文统计数量,单位为报文个数 |
|
Action |
SAF检测到攻击后执行的转发行为,取值包括 · Detect:仅检测攻击,并记录攻击行为 · Drop:检测到攻击后直接丢弃攻击报文 · Remark:检测到攻击后重新标记攻击报文的802.1p优先级,括号中数字表示重标记的802.1p优先级 · Rate Limit:检测到攻击后对攻击报文进行限速,括号中数字表示限速的速率,单位为pps |
|
Interface |
接收到攻击报文的接口 |
display saf detection record history命令用来显示SAF攻击检测的历史记录。
【命令】
display saf detection record history [ verbose index ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
verbose index:显示指定SAF攻击检测历史记录的详细信息,其中index表示攻击记录索引。如果未指定本参数则表示显示所有SAF攻击检测历史记录的信息。
【使用指导】
如果实时攻击记录超出老化时间,仍未检测到新的攻击流量,则将该实时攻击记录删除,将该攻击记录转化为历史记录。
【举例】
# 显示所有SAF攻击检测历史记录的信息。
<Sysname> display saf detection record history
Total number of entries: 2
Index : 24
Interface : GE1/0/1 Action : Detect
AttackType : arp-spoofing Proto : ARP
SIP : - DIP : 192.168.10.1
SMAC : 0000-0100-0003 DMAC : -
SPort : - DPort : -
Count : 9981 packets
Owner IP : 1.2.3.4
Index : 25
Interface : GE1/0/2 Action : Detect
AttackType : arp-spoofing Proto : ARP
SIP : - DIP : 192.168.10.1
SMAC : 0000-0100-0003 DMAC : -
SPort : - DPort : -
Count : 9981 packets
Owner IP : 1.2.3.4
表1-10 display saf detection record history命令显示信息描述表
|
字段 |
描述 |
|
Index |
历史攻击记录的索引 |
|
Interface |
接收到攻击报文的接口 |
|
Action |
SAF检测到攻击后执行的转发行为,取值包括 · Detect:仅检测攻击,并记录攻击行为 · Drop:检测到攻击后直接丢弃攻击报文 · Remark:检测到攻击后重新标记攻击报文的802.1p优先级,括号中数字表示重标记的802.1p优先级 · Rate Limit:检测到攻击后对攻击报文进行限速,括号中数字表示限速的速率,单位为pps |
|
AttackType |
攻击类型,取值包括: · icmp-redirect · attack-fragment · attack-smurf · dos · port-scan · ip-spoofing · mac-flooding · filter dhcp · filter dos-control · mac-flooding · ndp-spoofing · arp-spoofing · host-defense · scan_attack · scan_flooding · random_attack · random_flooding |
|
Proto |
攻击协议类型 |
|
SIP |
攻击报文的源IP地址 |
|
DIP |
攻击报文的目的IP地址 |
|
SMAC |
攻击报文的源MAC地址 |
|
DMAC |
攻击报文的目的MAC地址 |
|
SPort |
攻击报文的源端口 |
|
DPort |
攻击报文的目的端口 |
|
Count |
接收到的攻击报文统计数量,单位为报文个数 |
|
Trust IP |
在ARP表项中,ARP攻击报文数据载荷中伪造的MAC地址对应的IP地址 |
# 显示指定索引值的SAF攻击检测历史记录的详细信息(ARP欺骗和ARP攻击)。
<Sysname> display saf detection record history verbose 23
Index : 23
Interface : GE1/0/1 Action : Detect
AttackType : arp-spoofing Proto : ARP
SIP : - DIP : -
SMAC : 0000-0100-0003 DMAC : -
SPort : - DPort : -
Count : 9981 packets
Owner IP : 1.2.3.4
Start : 2023/1/7 03:38:13
End : 2023/1/7 05:01:59 (5026 Sec)
No. Opcode Attack MAC Sender IP IP Owner MAC VID
1 reply 0000-0200-0003 192.85.1.2 0101-0200-0003 1023
2 reply 0000-0110-0013 192.85.1.2 0101-0200-0003 1023
3 reply 0000-0110-0103 192.85.1.2 0101-0200-0003 1023
4 reply 0000-0200-0003 192.85.1.2 0101-0200-0003 1023
# 显示指定索引值的SAF攻击检测历史记录的详细信息(端口扫描攻击)。
<Sysname> display saf detection record history verbose 23
Index : 23
Interface : GE1/0/1
AttackType : port-scan Proto : TCP
SIP : 192.85.1.2 DIP : 192.85.1.3
SMAC : 0000-0100-0003 DMAC : 0000-0100-0203
SPort : 1024 DPort : -
Count : 9981 packets
Start : 2023/1/7 03:38:13
End : 2023/1/7 05:01:59 (5026 Sec)
No Source Destination Proto SPort DPort
1 192.85.1.2 192.85.1.1 TCP 1024 2 to 100
2 192.85.1.2 192.85.1.1 UDP 1024 120 to 901
3 192.85.1.2 192.85.1.1 UDP 1024 1001 to 2012
4 192.85.1.2 192.85.1.1 TCP 1024 2022 to 65500
# 显示指定索引值的SAF攻击检测历史记录的详细信息(DoS攻击)。
<Sysname> display saf detection record history verbose 23
Index : 23
Interface : GE1/0/1 Action : Detect
AttackType : port-scan Proto : UDP
SIP : 192.85.1.2 DIP : 192.85.1.3
SMAC : 0000-0100-0003 DMAC : 0000-0100-0203
SPort : 1024 DPort : 8090
Count : 9981 packets
Start : 2023/1/7 03:38:13
End : 2023/1/7 05:01:59 (5026 Sec)
# 显示指定索引值的SAF攻击检测历史记录的详细信息(host-defense类型攻击)。
<Sysname> display saf detection record history verbose 23
Index : 23
Interface : GE1/0/1 Action : Detect
AttackType : - Proto : -
SIP : 192.85.1.2 DIP : -
SMAC : 0000-0100-0003 DMAC : -
SPort : - DPort : -
Count : 181 packets
Start : 2023/1/7 03:38:13
End : 2023/1/7 05:01:59 (5026 Sec)
No. Destination DPort AttackType Action Interface
1 0000-0100-0003 - arp-spoofing Drop GE1/0/1
2 192.85.1.2 1023 port-scan Drop GE1/0/2
3 192.85.1.2 1223 dos Drop GE1/0/3
4 0000-0200-0003 - arp-spoofing Drop GE1/0/1
表1-11 display saf detection record verbose命令显示信息描述表
|
字段 |
描述 |
|
Index |
历史攻击记录索引 |
|
Interface |
接收到攻击报文的接口 |
|
Action |
SAF检测到攻击后执行的转发行为,取值包括 · Detect:仅检测攻击,并记录攻击行为 · Drop:检测到攻击后直接丢弃攻击报文 · Remark:检测到攻击后重新标记攻击报文的802.1p优先级 · Rate Limit:检测到攻击后对攻击报文进行限速 |
|
AttackType |
攻击类型,取值包括: · icmp-redirect · attack-fragment · attack-smurf · dos · port-scan · ip-spoofing · mac-flooding · filter dhcp · filter dos-control · mac-flooding · ndp-spoofing · arp-spoofing · host-defense · scan_attack · scan_flooding · random_attack · random_flooding |
|
Proto |
攻击协议类型 |
|
SIP |
攻击报文的源IP地址 |
|
DIP |
攻击报文的目的IP地址 |
|
SMAC |
攻击报文的源MAC地址 |
|
DMAC |
攻击报文的目的MAC地址 |
|
SPort |
攻击报文的源端口 |
|
DPort |
攻击报文的目的端口 |
|
Count |
接收到的攻击报文统计数量,单位为报文个数 |
|
Rate |
攻击报文的速率,单位为pps |
|
Trust IP |
在ARP表项中,ARP攻击报文数据载荷中伪造的MAC地址对应的IP地址 |
|
Start |
攻击起始时间 |
|
End |
攻击结束时间 |
|
No. |
具体的攻击条目编号 |
|
Opcode |
ARP攻击报文的类型 |
|
Attack MAC |
ARP攻击报文数据载荷中的伪造的MAC地址,一般是攻击者可以将伪造MAC地址设为本机MAC,也可以设置为非本机MAC |
|
IP Owner MAC |
ARP欺骗报文中的源MAC地址,即攻击者的MAC地址 |
|
Sender IP |
ARP攻击报文数据载荷中的源IP,即攻击者通过伪造MAC地址劫持发往该IP的数据包 |
|
VID |
ARP攻击报文的VLAN ID |
|
Destination |
攻击的目的IP或MAC地址 |
【相关命令】
· saf detection enable
· saf detection (interface view)
· saf detection (system view)
display saf ipv6 neighbors命令用来显示SAF的IPv6 ND列表。
【命令】
display saf ipv6 neighbors
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【使用指导】
在接口上执行saf detection命令并指定ndp-spoofing参数来开启ND欺骗的SAF攻击检测功能后,系统将创建一个独立的SAF 的IPv6 ND列表,该表项仅用于SAF攻击检测判定,不会被用于指导报文的转发。通过display saf ipv6 neighbors命令可以查看该表项的详细信息,其中包括IPv6地址、MAC地址、VLAN ID、接口、表项类型以及老化时间等信息。
【举例】
# 显示SAF的IPv6 ND列表。
<Sysname> display saf ipv6 neighbors
Total number of entries: 2
IPv6 address MAC address VLAN Interface Aging
1::2 6864-6839-0202 1 GE1/0/1 136
FE80::6A64:68FF:FE39:2 6864-6839-0202 1 GE1/0/2 20
表1-12 display saf ipv6 neighbors命令显示信息描述表
|
字段 |
描述 |
|
Total number of entries |
IPv6邻居列表条目数量 |
|
IPv6 Address |
邻居的IPv6地址 |
|
MAC address |
IPv6邻居的MAC地址 |
|
VLAN |
IPv6邻居所属的VLAN |
|
Interface |
学习到IPv6邻居MAC地址的接口名称 |
|
AgingTime |
IPv6邻居表项的老化时间 |
display saf filter命令用来显示DHCP报文过滤功能和SAF报文过滤功能状态。
【命令】
display saf filter [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
interface interface-type interface-number:显示指定接口的DHCP报文过滤功能和SAF报文过滤功能状态。未指定本参数时显示所有开启了SAF攻击检测功能的接口的SAF报文过滤功能和DHCP报文过滤功能状态。
【举例】
# 显示SAF报文过滤功能和所有接口的DHCP报文过滤功能状态。
<Sysname> display saf filter
SAF filter dos-control status:
icmp-fragments : Disabled
ip-equal : Disabled
mac-equal : Disabled
tcp-flags-fup : Enabled
tcp-flags-ssfp : Disabled
tcp-ports-equal : Enabled
udp-ports-equal : Disabled
SAF filter dhcp status:
Interface :GE1/0/1 Enabled
Interface :GE1/0/2 Disabled
Interface :GE1/0/3 Enabled
Interface :GE1/0/4 Disabled
Interface :GE1/0/5 Enabled
Interface :GE1/0/6 Disabled
…
# 显示指定接口GigabitEthernet 1/0/1的SAF报文过滤功能和DHCP报文过滤功能状态。
<Sysname> display saf filter interface GigabitEthernet 1/0/1
Interface: GE1/0/1
SAF filter dhcp status : Enabled
SAF filter dos-control status:
icmp-fragments : Disabled
ip-equal : Disabled
mac-equal : Disabled
tcp-flags-fup : Enabled
tcp-flags-ssfp : Disabled
tcp-ports-equal : Enabled
udp-ports-equal : Disabled
表1-13 display saf filter 命令显示信息描述表
|
字段 |
描述 |
|
SAF filter dos-control status |
SAF报文过滤功能的状态信息 |
|
icmp-fragments |
对分片的ICMP报文进行过滤状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
ip-equal |
对源IP与目的IP相等的报文进行过滤状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
mac-equal |
对源MAC与目的MAC相等的报文进行过滤状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
tcp-flags-fup |
对FIN、URG、PSH标记均为1且序列号为0的TCP报文进行过滤状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
tcp-flags-sf |
对SYN、FIN标记均为1的TCP报文进行过滤状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
tcp-ports-equal |
对源端口号与目的端口号相等的TCP报文进行过滤状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
udp-ports-equal |
对源端口号与目的端口号相等的UDP报文进行过滤状态,取值包括 · Enabled:开启 · Disabled:关闭 |
|
SAF filter dhcp status |
DHCP报文过滤功能状态,仅显示执行了saf detection enable命令的接口 |
|
Interface |
指定的接口 |
【相关命令】
· saf filter dos-control
· saf filter dhcp
display saf mac-address命令用来显示SAF的MAC地址表。
【命令】
display saf mac-address [ trust ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
trust:显示信任的MAC地址表项。未指定本参数时显示所有MAC地址表项。
【使用指导】
在接口上执行saf detection命令并指定mac-flooding参数来开启MAC泛洪攻击的SAF攻击检测功能后,系统将创建一个独立的SAF MAC地址表项,该表项仅用于SAF攻击检测判定,不会被用于指导报文的转发。通过display saf mac-address命令可以查看该表项的详细信息,其中包括MAC地址、VLAN ID、接口、表项类型以及老化时间等信息。
【举例】
# 显示所有SAF的MAC地址表。
<Sysname> display saf mac-address
Total number of entries: 2
MAC Address VLAN Flag Interface Aging
6864-6839-0202 1 T GE1/0/1 Y
6864-6839-1232 1 - GE1/0/1 Y
表1-14 display saf mac-address命令显示信息描述表
|
字段 |
描述 |
|
MAC Address |
MAC地址 |
|
VLAN |
MAC地址对应接口所属的VLAN |
|
Flag |
MAC地址的标记,取值为“T”时表示该MAC地址为信任的MAC,否则显示为“-” |
|
Interface |
学习到MAC地址的接口名称 |
|
Aging |
MAC地址表项是否支持老化,取值包括: · Y:表项支持老化 · N:表示该表项不会被老化,执行mac-address timer no-aging命令后可以使表项不被老化 |
【相关命令】
· saf detection (interface view)
· saf mac-flooding trust
· reset saf mac-address
reset saf arp-table命令用来清除SAF ARP表项。
【命令】
reset saf arp-table [ { dynamic | static } [ ip-address ] ]
【视图】
用户视图
【缺省用户角色】
network-operator
mdc-operator
【参数】
dynamic:清除动态SAF ARP表项。
static:清除静态SAF ARP表项。
ip-address:清除指定IP地址的SAF ARP表项。
【使用指导】
未指定任何参数则清除所有SAF ARP表项。
使用本命令清除静态SAF ARP表项会同步删除saf arp-spoofing arp-table命令配置的表项。
【举例】
# 来清除所有SAF ARP表项。
<Sysname> reset saf arp-table
【相关命令】
· display saf arp-table
· saf arp-spoofing arp-table
reset saf detection record命令用来清除SAF攻击检测的实时记录。
【命令】
reset saf detection record [ index ]
【视图】
用户视图
【缺省用户角色】
network-operator
mdc-operator
【参数】
index:清除指定索引的SAF攻击检测实时记录。如果未指定本参数则表示清除所有SAF攻击检测的实时记录。
【使用指导】
实时SAF攻击检测记录被清除后,若流量仍持续攻击或后续再次发起攻击,仍会被识别成攻击。
【举例】
# 清除所有SAF攻击检测的实时记录。
<Sysname> reset saf detection record
【相关命令】
· display saf detection record
reset saf detection record history命令用来清除SAF攻击检测的历史记录。
【命令】
reset saf detection record history
【视图】
用户视图
【缺省用户角色】
network-operator
mdc-operator
【举例】
# 清除所有SAF攻击检测的历史记录。
<Sysname> reset saf detection record history
【相关命令】
· display saf detection record history
reset saf mac-address命令用来清除SAF的MAC地址表项。
【命令】
reset saf mac-address [ trust | mac-address vlan vlan-id ]
【视图】
用户视图
【缺省用户角色】
network-operator
mdc-operator
【参数】
trust:清除所有信任的MAC地址表项。
mac-address:清除指定MAC地址表项,mac-address表示MAC地址,形式为H-H-H。
vlan vlan-id:表示MAC地址所在的VLAN,其中vlan-id为VLAN的编号,取值范围为1~4094。
【使用指导】
未指定任何参数时,表示清除所有SAF的MAC地址表项。
【举例】
# 清除所有SAF的MAC地址表项。
<Sysname> reset saf mac-address
【相关命令】
· display saf mac-address
· saf mac-flooding trust
reset saf statistics命令用来清除SAF攻击检测的黑名单列表及白名单列表的统计信息。
【命令】
reset saf statistics [ denylist | allowlist ]
【视图】
用户视图
【缺省用户角色】
network-operator
mdc-operator
【参数】
denylist:清除SAF攻击检测的黑名单列表匹配到的报文统计信息。
allowlist:清除SAF攻击检测的白名单列表匹配到的报文统计信息。
【使用指导】
未指定任何参数时清除所有SAF攻击检测的黑名单列表及白名单列表的统计信息。
【举例】
# 清除所有SAF攻击检测的黑名单列表及白名单列表的统计信息。
<Sysname> reset saf statistics
【相关命令】
· display saf denylist
· display saf allowlist
saf allowlist命令用来配置SAF攻击检测的白名单列表。
undo saf allowlist命令用来删除SAF攻击检测的白名单列表。
【命令】
命令形式一:
saf allowlist [ rule-id ] { ip | ipv6 } [ protocol protocol ] [ { { ack | fin | psh | rst | syn | urg } * | established } | destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | dest-mac dest-address dest-mask | source source-address source-wildcard | source-port operator port1 [ port2 ] | source-mac source-address source-mask | vlan vlan-id ] * [ rate-limit rate-limit ] [ comment comment ]
undo saf allowlist [ rule-id ] { ip | ipv6 } [ protocol protocol ] [ { { ack | fin | psh | rst | syn | urg } * | established } | destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | dest-mac dest-address dest-mask | source source-address source-wildcard | source-port operator port1 [ port2 ] | source-mac source-address source-mask | vlan vlan-id ] *
undo saf allowlist rule-id
undo saf allowlist all
命令形式二:
saf allowlist [ rule-id ] mac [ protocol protocol ] [ destination dest-address dest-wildcard | dest-mac dest-address dest-mask | source source-address source-wildcard | source-mac source-address source-mask | vlan vlan-id ] * [ rate-limit rate-limit ] [ comment comment ]
undo saf allowlist [ rule-id ] mac protocol [ destination dest-address dest-wildcard | dest-mac dest-address dest-mask | source-mac source-address source-mask | vlan vlan-id ] *
undo saf allowlist rule-id
undo saf allowlist all
命令形式三:
saf allowlist [ rule-id ] cpu { ip | ipv6 } [ protocol protocol ] [ { { ack | fin | psh | rst | syn | urg } * | established } | source source-address source-wildcard | source-port operator port1 [ port2 ] ] * [ rate-limit rate-limit ] [ comment comment ]
undo saf allowlist [ rule-id ] cpu { ip | ipv6 } [ protocol protocol ] [ { { ack | fin | psh | rst | syn | urg } * | established } | source source-address source-wildcard | source-port operator port1 [ port2 ] ] *
undo saf allowlist rule-id
undo saf allowlist all
【缺省情况】
不存在SAF攻击检测的白名单列表。
【视图】
系统视图
以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
rule-id:指定SAF攻击检测白名单的编号,取值范围为0~65534。若未指定本参数,系统自动分配一个大于现有最大编号的最小编号,例如当前已创建的白名单最大编号为10,则自动创建新的白名单未指定编号时,系统自动分配的编号为11。如果当前编号超出范围,则将未分配的最小编号分配给新创建的SAF攻击检测白名单列表。
ip:表示SAF攻击检测白名单匹配的报文协议类型为网络层IPv4协议报文。
ipv6:表示SAF攻击检测白名单匹配的报文协议类型为网络层IPv6协议报文。
mac:表示SAF攻击检测白名单匹配的报文协议类型为数据链路层协议报文。
cpu:表示SAF攻击检测白名单仅匹配上送本设备CPU的报文,对于目的地址非本设备,仅经过本设备转发的报文SAF攻击检测白名单不生效。
protocol protocol:指定协议类型,如果未指定本参数,则表示任意协议报文。可输入的形式如下:
· 数字:取值范围为0~255;
· 如果指定ip参数,则可指定的名称为(括号内为对应的数字):可选取gre(47)、icmp(1)、igmp(2)、ipinip(4)、ospf(89)、pim(103)、tcp(6)或udp(17)。
· 如果指定ipv6参数,则可指定的名称为(括号内为对应的数字):可选取gre(47)、icmpv6(58)、ipv6-ah(51)、ipv6-esp(50)、ospf(89)、pim(103)、tcp(6)或udp(17)。
· 如果指定mac参数,则可指定的名称为(括号内为对应的数字):仅可选取arp(2054)。
{ { ack | fin | psh | rst | syn | urg } * | established }:表示当protocol协议类型指定为tcp(6)时,TCP报文的中定义的标志位,其中established表示TCP连接建立标识,ack、fin、psh、rst、 syn、urg分别表示TCP报文中ACK、FIN、PSH、RST、SYN和URG标记位置位,即取值为1。
destination dest-address dest-wildcard:表示SAF攻击检测白名单列表匹配报文的目的地址,其中dest-address为目的IP地址,dest-wildcard为目的IP地址的通配符掩码(0表示主机地址)。当命令中指定mac参数,且SAF攻击检测白名单匹配的报文协议类型为数据链路层协议ARP时,可以指定本参数,匹配的对象为ARP报文中的目的IP地址。
destination-port operator port1 [ port2 ]:表示SAF攻击检测白名单列表匹配报文的目的端口,其中operator为操作符,取值可以为lt(小于)、gt(大于)、eq(等于)或者range(在范围内,包括边界值)。只有操作符range需要两个端口号做操作数,其它的只需要一个端口号做操作数,port1、port2表示TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用字符表示时,TCP端口号可以选取chargen(19)、bgp(179)、cmd(rcmd,514)、daytime(13)、discard(9)、dns(53)、domain(53)、echo (7)、exec (rsh,512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(rlogin,513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)、www(HTTP,80);UDP端口号可以选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177)。
dest-mac dest-address dest-mask:指定目的MAC地址范围。dest-address表示目的MAC地址,格式为H-H-H。dest-mask表示目的MAC地址的掩码,格式为H-H-H。
source source-address source-wildcard:表示SAF攻击检测白名单列表匹配报文的源地址,其中source-address为源IP地址,source-wildcard为源IP地址的通配符掩码(0表示主机地址)。当命令中指定mac参数,且SAF攻击检测白名单匹配的报文协议类型为数据链路层协议ARP时,可以指定本参数,匹配的对象为ARP报文中的源IP地址。
source-port operator port1 [ port2 ]:表示SAF攻击检测白名单列表匹配报文的源端口,其中operator为操作符,取值可以为lt(小于)、gt(大于)、eq(等于)或者range(在范围内,包括边界值)。只有操作符range需要两个端口号做操作数,其它的只需要一个端口号做操作数,port1、port2表示TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用字符表示时,TCP端口号可以选取chargen(19)、bgp(179)、cmd(rcmd,514)、daytime(13)、discard(9)、dns(53)、domain(53)、echo (7)、exec (rsh,512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(rlogin,513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)、www(HTTP,80);UDP端口号可以选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177)。
source-mac source-address source-mask:指定源MAC地址范围。source-address表示源MAC地址,格式为H-H-H。source-mask表示源MAC地址的掩码,格式为H-H-H。
vlan vlan-id:表示SAF攻击检测白名单列表匹配报文的VLAN,其中vlan-id为VLAN的编号,取值范围为1~4094。
rate-limit rate-limit:表示对于匹配到SAF攻击检测白名单列表的报文进行限速,其中,rate-limit表示限速值,取值范围为64~100000,单位为kbps。如果未指定本参数,则不对匹配到SAF攻击检测白名单列表的报文进行限速。
comment comment:SAF攻击检测白名单列表的描述信息,其中comment表示规则的描述信息,为1~127个字符的字符串,区分大小写。如果未指定本参数,则SAF攻击检测白名单列表不存在描述信息。
all:表示删除所有指定类型的SAF攻击检测白名单列表。
【使用指导】
SAF攻击检测的白名单列表是一系列的报文匹配规则。
为了避免一些流量被误判定为攻击流量,可以由管理员定义SAF攻击检测的白名单列表,对匹配到白名单列表中规则的协议报文无需进行SAF攻击检测。
可以通过本命令指定多条SAF攻击检测的白名单列表,系统将逐条匹配白名单列表,一旦报文流量匹配到SAF攻击检测的白名单列表中某一条,则不继续进行匹配。
在以太网接口视图和系统视图下都可以配置SAF攻击检测的白名单列表,当接口接收到报文时优先匹配该接口下配置的SAF攻击检测白名单列表,如果未匹配到接口下的SAF攻击检测白名单列表,再匹配系统视图下配置的SAF攻击检测白名单列表。
如果报文同时匹配到了黑名单列表和白名单列表,则白名单列表生效。
仅指定协议类型为TCP/UDP时,才可以配置destination-port、source-port参数。
【举例】
# 在系统视图下配置编号为10的SAF攻击检测的白名单列表,匹配目的地址为10.10.10.10/32的TCP协议报文。
<Sysname> Sysname-view
[Sysname] saf allowlist 10 ip tcp destination 10.10.10.10 0
【相关命令】
· display saf allowlist
saf arp-spoofing arp-table命令用来配置SAF ARP表中的静态ARP表项。
undo saf arp-spoofing arp-table命令用来删除SAF ARP表中的静态ARP表项。
【命令】
saf arp-spoofing arp-table ip-address mac-address
undo saf arp-spoofing arp-table ip-address
【缺省情况】
SAF ARP表中不存在静态ARP表项。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ip-address:指定静态ARP表项的IP地址,为点分十进制格式。
mac-address:指定静态ARP表项的MAC地址的掩码,格式为H-H-H。MAC地址掩码中“1”必须连续,例如输入“ffff-ffff-ff00”即表示40位掩码。
【使用指导】
开启ARP攻击和ARP欺骗的SAF攻击检测功能后,系统将创建一个独立的SAF ARP表项,该表项仅用于SAF攻击检测判定,不会被用于指导报文的转发。
SAF ARP表的结构和内容与普通ARP表项类似,其中存在两类ARP条目:
· 动态ARP表项:通过ARP协议动态学习到的表项信息。
· 静态ARP表项:通过saf arp-spoofing arp-table命令手工指定的ARP表项。
SAF ARP表项均被认为是可信任的ARP信息,通过display saf arp-table命令可以查看该表项的详细信息。
手工指定的静态ARP表项不会被动态ARP表项覆盖。
配置静态ARP表项时,每个IP只能关联一个MAC地址,每个MAC可以关联多个IP地址。
【举例】
# 向SAF ARP表中添加静态ARP表项:IP地址为10.10.10.1,MAC地址为1-1-1。
<Sysname> Sysname-view
[Sysname] saf arp-spoofing arp-table 10.10.10.1 1-1-1
【相关命令】
· display saf arp-table
· saf detection enable(interface view)
saf arp-spoofing mac-owner-check命令用来开启ARP欺骗检测的MAC占用检查功能。
undo arp-spoofing mac-owner-check命令用来恢复缺省情况。
【命令】
saf arp-spoofing mac-owner-check { any | mac-address mac-address-mask }
undo arp-spoofing mac-owner-check { all | any | mac-address mac-address-mask }
【缺省情况】
ARP欺骗检测的MAC占用检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
any:表示任意MAC地址。
mac-address:指定MAC地址,形式为H-H-H。
mac-address-mask:指定MAC地址的掩码,格式为H-H-H。MAC地址掩码中“1”必须连续,例如输入“ffff-ffff-ff00”即表示40位掩码。
all:表示删除所有MAC地址。
【使用指导】
执行saf detection命令开启ARP欺骗的SAF攻击检测功能后,如果ARP应答报文的IP地址已存在于ARP表项中,则可能存在一个IP地址对应多条MAC地址的情况,此时,判定为ARP欺骗。但对于某些终端设备一个IP地址对应多条MAC地址为正常情况,为了避免误判,可以开启ARP欺骗检测的MAC占用检查功能。ARP应答报文的IP已存在于ARP表项中时,进一步检查该ARP应答报文中的MAC地址。如果该MAC地址被其他IP地址占用才判定为ARP欺骗,否则认为该IP对应的多条MAC为正常情况。
例如,本地的ARP表项中已有{IP1,MAC1}条目。如果又接收到新的ARP应答报文的IP地址为IP1,MAC地址为MAC2。此时如果开启了ARP欺骗检测的MAC占用检查功能,则不认定为ARP欺骗。
ARP欺骗检测的MAC占用检查功能可以指定MAC地址的范围,当ARP应答报文回应的MAC地址位于本命令中指定范围内,才会进行MAC占用检查,否则不会行MAC占用检查。
【举例】
# 开启ARP欺骗检测的MAC占用检查功能,对任意MAC地址均进行MAC占用检查。
<Sysname> Sysname-view
[Sysname] saf arp-spoofing mac-owner-check any
【相关命令】
· saf detection enable(interface view)
saf arp-spoofing trust命令用来配置ARP欺骗检测的信任表项。
undo arp-spoofing trust命令用来恢复缺省情况。
【命令】
saf arp-spoofing trust { ip { local address-mask-len | ip-address { mask | mask-len } } | vlan vlan-list }
undo saf arp-spoofing trust { ip { all | local | ip-address { mask | mask-len } } | vlan { all | vlan-list }}
【缺省情况】
未配置ARP欺骗检测信任表项。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ip:指定ARP欺骗检测信任的IP地址列表。
all:删除所有IP地址列表或VLAN列表。
local address-mask-len :表示所有本地直连接口的IP地址和掩码进行“与”操作后的网段地址作为ARP欺骗检测的信任IP地址,其中address-mask-len表示IP地址的掩码长度,取值范围为1~32。
ip-address:指定ARP欺骗检测的信任IP地址,为点分十进制格式。
mask:地址掩码,为点分十进制格式。
mask-len:掩码长度,取值范围为1~32。
vlan vlan-list:指定ARP欺骗检测信任的VLAN列表。vlan-list表示方式为vlan-list = { vlan-id [ to vlan-id ] }&<1-8>。其中,vlan-id为VLAN的编号,取值范围为1~4094。&<1-8>表示前面的参数最多可以输入8次。
【使用指导】
对于ARP应答报文,如果报文回应的目的IP地址位于本命令指定的IP地址网段范围内,或者报文携带的VLAN值属于本命令指定的VLAN列表中,则不进行ARP欺骗检测,但仍然将该报文中携带的ARP信息记录到SAF ARP表中,可以通过display saf arp-table查看学习到SAF的ARP表项详细信息。
【举例】
# 配置ARP欺骗检测的信任表项为10.10.10.0/24。
<Sysname> Sysname-view
[Sysname] saf arp-spoofing trust ip 10.10.10.0 24
【相关命令】
· display saf arp-table
· saf detection enable (interface view)
saf arp-spoofing trust命令用来配置ARP欺骗检测的信任接口。
undo arp-spoofing trust命令用来恢复缺省情况。
【命令】
saf arp-spoofing trust
undo saf trust
【缺省情况】
未配置ARP欺骗检测信任接口。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
在以太网接口视图下配置本接口为ARP欺骗检测的信任接口后,对于该接口接收的所有ARP应答报文不进行ARP欺骗检测,但仍然将该报文中携带的ARP信息记录到SAF ARP表中,可以通过display saf arp-table查看学习到SAF的ARP表项详细信息。
【举例】
# 配置本接口为ARP欺骗检测的信任接口。
<Sysname> sysname-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] saf arp-spoofing trust
【相关命令】
· display saf arp-table
· saf detection enable(interface view)
saf denylist命令用来配置SAF攻击检测的黑名单列表。
undo saf denylist命令用来删除SAF攻击检测的黑名单列表。
【命令】
命令形式一:
saf denylist [ rule-id ] { ip | ipv6 } [ protocol protocol ] [ { { ack | fin | psh | rst | syn | urg } * | established } | destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | dest-mac dest-address dest-mask | source source-address source-wildcard | source-port operator port1 [ port2 ] | source-mac source-address source-mask | vlan vlan-id ] * [ comment comment ]
undo saf denylist [ rule-id ] { ip | ipv6 } [ protocol protocol ] [ { { ack | fin | psh | rst | syn | urg } * | established } | destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | dest-mac dest-address dest-mask | source source-address source-wildcard | source-port operator port1 [ port2 ] | source-mac source-address source-mask | vlan vlan-id ] *
undo saf denylist rule-id
undo saf denylist all
命令形式二:
saf denylist [ rule-id ] mac [ protocol protocol ] [ destination dest-address dest-wildcard | dest-mac dest-address dest-mask | source source-address source-wildcard | source-mac source-address source-mask | vlan vlan-id ] * [ comment comment ]
undo saf denylist [ rule-id ] mac [ protocol protocol ] [ destination dest-address dest-wildcard | dest-mac dest-address dest-mask | source-mac source-address source-mask | vlan vlan-id ] *
undo saf denylist rule-id
undo saf denylist all
【缺省情况】
不存在SAF攻击检测的黑名单列表。
【视图】
系统视图
以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
rule-id:指定SAF攻击检测黑名单的编号,取值范围为0~65534。若未指定本参数,系统自动分配一个大于现有最大编号的最小编号,例如当前已创建的黑名单最大编号为10,则自动创建新的黑名单未指定编号时,系统自动分配的编号为11。如果当前编号超出范围,则将未分配的最小编号分配给新创建的SAF攻击检测黑名单列表。
ip:表示SAF攻击检测黑名单匹配的报文协议类型为网络层IPv4协议报文。
ipv6:表示SAF攻击检测黑名单匹配的报文协议类型为网络层IPv6协议报文。
mac:表示SAF攻击检测黑名单匹配的报文协议类型为数据链路层协议报文。
protocol:表示协议类型,可输入的形式如下:
· 数字:取值范围为0~255;
· 如果指定ip参数,则可指定的名称为(括号内为对应的数字):可选取gre(47)、icmp(1)、igmp(2)、ipinip(4)、ospf(89)、pim(103)、tcp(6)或udp(17)。
· 如果指定ipv6参数,则可指定的名称为(括号内为对应的数字):可选取gre(47)、icmpv6(58)、ipv6-ah(51)、ipv6-esp(50)、ospf(89)、pim(103)、tcp(6)或udp(17)。
· 如果指定mac参数,则可指定的名称为(括号内为对应的数字):仅可选取arp(2054)。
{ { ack | fin | psh | rst | syn | urg } * | established }:表示当protocol协议类型指定为tcp(6)时,TCP报文的中定义的标志位,其中established表示TCP连接建立标识,ack、fin、psh、rst、 syn、urg分别表示TCP报文中ACK、FIN、PSH、RST、SYN和URG标记位置位,即取值为1。
destination dest-address dest-wildcard:表示SAF攻击检测黑名单列表匹配报文的目的地址,其中dest-address为目的IP地址,dest-wildcard为目的IP地址的通配符掩码(0表示主机地址)。当命令中指定mac参数,且SAF攻击检测黑名单匹配的报文协议类型为数据链路层协议ARP时,可以指定本参数,匹配的对象为ARP报文中的目的IP地址。
destination-port operator port1 [ port2 ]:表示SAF攻击检测黑名单列表匹配报文的目的端口,其中operator为操作符,取值可以为lt(小于)、gt(大于)、eq(等于)或者range(在范围内,包括边界值)。只有操作符range需要两个端口号做操作数,其它的只需要一个端口号做操作数,port1、port2表示TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用字符表示时,TCP端口号可以选取chargen(19)、bgp(179)、cmd(rcmd,514)、daytime(13)、discard(9)、dns(53)、domain(53)、echo (7)、exec (rsh,512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(rlogin,513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)、www(HTTP,80);UDP端口号可以选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177)。
dest-mac dest-address dest-mask:指定目的MAC地址范围。dest-address表示目的MAC地址,格式为H-H-H。dest-mask表示目的MAC地址的掩码,格式为H-H-H。
source source-address source-wildcard:表示SAF攻击检测黑名单列表匹配报文的源地址,其中source-address为源IP地址,source-wildcard为源IP地址的通配符掩码(0表示主机地址)。当命令中指定mac参数,且SAF攻击检测黑名单匹配的报文协议类型为数据链路层协议ARP时,可以指定本参数,匹配的对象为ARP报文中的源IP地址。
source-port operator port1 [ port2 ]:表示SAF攻击检测黑名单列表匹配报文的源端口,其中operator为操作符,取值可以为lt(小于)、gt(大于)、eq(等于)或者range(在范围内,包括边界值)。只有操作符range需要两个端口号做操作数,其它的只需要一个端口号做操作数,port1、port2表示TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用字符表示时,TCP端口号可以选取chargen(19)、bgp(179)、cmd(rcmd,514)、daytime(13)、discard(9)、dns(53)、domain(53)、echo (7)、exec (rsh,512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(rlogin,513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)、www(HTTP,80);UDP端口号可以选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177)。
source-mac source-address source-mask:指定源MAC地址范围。source-address表示源MAC地址,格式为H-H-H。source-mask表示源MAC地址的掩码,格式为H-H-H。
vlan vlan-id:表示SAF攻击检测黑名单列表匹配报文的VLAN,其中vlan-id为VLAN的编号,取值范围为1~4094。
comment comment:SAF攻击检测黑名单列表的描述信息,其中comment表示规则的描述信息,为1~127个字符的字符串,区分大小写。如果未指定本参数,则SAF攻击检测黑名单列表不存在描述信息。
all:表示删除所有指定类型的SAF攻击检测黑名单列表。
【使用指导】
SAF攻击检测的黑名单列表是一系列匹配规则。
某些流量默认为攻击流量,可以由管理员定义SAF攻击检测的黑名单列表,对匹配到黑名单列表中规则的协议报文直接丢弃,无需再进行SAF攻击检测和判定。
可以通过本命令指定多条SAF攻击检测的黑名单列表,系统将逐条匹配黑名单列表,一旦报文流量匹配到SAF攻击检测的黑名单列表中某一条,则不继续进行匹配。
在以太网接口视图和系统视图下都可以配置SAF攻击检测的黑名单列表,当接口接收到报文时优先匹配该接口下配置的SAF攻击检测黑名单列表,如果未匹配到接口下的SAF攻击检测黑名单列表,再匹配系统视图下配置的SAF攻击检测黑名单列表。
如果报文同时匹配到了黑名单列表和白名单列表,则白名单列表生效。
仅指定协议类型为TCP/UDP时,才可以配置destination-port、source-port参数。
【举例】
# 在系统视图下配置编号为10的SAF攻击检测的黑名单列表,匹配目的地址为10.10.10.10/32的TCP协议报文。
<Sysname> Sysname-view
[Sysname] saf denylist 10 ip tcp destination 10.10.10.10 0
【相关命令】
· display saf denylist
saf detection命令用来全局开启指定攻击类型的SAF攻击检测功能,并且记录攻击信息。
undo saf detection命令用来关闭指定攻击类型的SAF攻击检测功能。
【命令】
saf detection { attack-fragment | attack-smurf | dos | filter { dhcp | dos-control } | icmp-redirect | ip-scan | ip-spoofing | port-scan }
undo saf detection { attack-fragment | attack-smurf | dos | filter { dhcp | dos-control } | icmp-redirect | ip-scan | ip-spoofing | port-scan }
【缺省情况】
未开启所有指定攻击类型的SAF攻击检测功能。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
attack-fragment:表示开启分片报文攻击的SAF攻击检测功能,并记录攻击信息。
attack-smurf:表示开启ICMP广播攻击的SAF攻击检测功能,并记录攻击信息。
dos:表示开启DoS攻击的SAF攻击检测功能,并记录攻击信息。
filter dhcp:将接口的DHCP报文过滤作为一类特殊攻击,记录DHCP报文过滤的信息。
filter dos-control:将SAF报文过滤作为一类特殊攻击,记录SAF报文过滤的信息。
icmp-redirect:表示开启ICMP重定向报文攻击的SAF攻击检测功能,并记录攻击信息。
ip-spoofing:表示开启IP欺骗攻击的SAF攻击检测功能,并记录攻击信息。
ip-scan:表示开启IP扫描攻击的SAF攻击检测功能,并记录攻击信息。
port-scan:表示开启端口扫描攻击的SAF攻击检测功能,并记录攻击信息。
【使用指导】
在以太网接口视图下执行saf detection enable命令开启SAF攻击检测功能后,本命令指定的攻击类型才能在该接口被检测到。
SAF(Security Augment function,增强安全功能)模块对设备接收到的所有报文进行SAF的攻击判定,如果符合设备对各类攻击设定的条件,则将这类流量标记为攻击流,并建立和维护一张记录攻击表项的流表,在流表的老化时间内,如果继续接收到符合攻击表项的报文则判定为攻击,执行以太网接口视图下saf detection enable命令中定义的攻击报文转发行为。如果超过流表的老化时间,未接收到符合攻击表项的报文则将对应的攻击表项老化并删除。
SAF攻击检测功能对不同类型的攻击识别机制如下:
· 分片报文攻击检测:IP/ICMP/TCP分片报文可能被判定为分片报文攻击,对于IP/ICMP/TCP分片报文,如果首个分片报文的速率超出了系统定义的报文速率阈值,则判定为攻击。对于TCP报文偏移量和TCP的flag标记满足特定条件也可以被判定为攻击。对于ICMP分片报文的攻击检测目前通过SAF报文过滤的机制来实现。
· ICMP广播攻击检测:攻击者利用假冒的ICMP广播ping进行攻击,攻击者向一个网络的广播地址发送一个欺骗性echo请求报文,并将请求报文的源地址设置为受害者的网络地址,网络中的所有主机接收到这个echo请求后,会向受害者回复echo应答,导致受害者网络被echo应答淹没。如果出现符合设备定义的特征的echo请求且持续时间超过系统设定的时间阈值,则判定为遭受ICMP广播攻击。
· DoS攻击检测:只要协议报文(例如MLD、IGMP报文)的流速率达到系统定义的阈值即将该协议报文判定为攻击,对于不同协议报文判定为攻击的速率阈值有差异。
· ICMP重定向报文攻击检测:攻击者伪造ICMP重定向报文迫使用户更改路由,使流量攻击者可以截获、提取、分析、修改用户正常的数据包,对用户流量进行嗅探劫持。只要报文类型为ICMP重定向并且持续时间达到一定标准即认定为ICMP重定向报文攻击。
· IP欺骗攻击检测:为了获得访问权,或隐藏身份信息,攻击者生成带有伪造源IP地址的报文,并使用该伪造源IP地址访问网络服务,甚至通过伪造的IP源地址向同一个目的地址发送大量请求,以达到攻击服务端的目的。如果短时间内,检测到20条或以上源IP相同但MAC地址不同的流量存在,且流量总速率达到系统阈值时,即将其判定为IP欺骗攻击。
· 端口扫描攻击检测:攻击者获取了活动目标主机的IP地址后,向目标主机发送源IP地址不变,大量目的端口变化的TCP/UDP报文,通过收到的回应报文来确定目标主机开放的服务端口,然后针对活动目标主机开放的服务端口选择合适的攻击方式或攻击工具进行进一步的攻击。如果攻击者发送的这类报文数超过系统自定义的阈值,则认为此源IP存在端口扫描攻击行为。
· IP扫描攻击检测:攻击者使用IP地址扫描工具发送网络请求(如ICMP请求、TCP SYN包等)到特定范围的目标IP地址。根据网络上活跃的IP返回ICMP应答、TCP ACK包或其他形式的响应,攻击者可以确定哪些IP地址是活跃的,并进行后续攻击活动。开启IP扫描攻击的检测功能后,检测并区分出四种类型攻击行为:
¡ IP地址连续扫描攻击(IP scan attack):对于接收到的TCP/UDP/ICMP报文,设备根据报文的源IP地址和目的端口号,在一定时间周期内进行流量统计,如果统计发现该类流量的目的IP地址顺序变化,且达到阈值Th1,则判定该源IP地址存在IP地址连续扫描行为。
¡ IP地址扫描泛洪攻击(IP scan flooding attack):如果IP地址连续扫描攻击的流量超出阈值Th2(Th2>Th1),则判定该源IP地址存在IP地址扫描泛洪攻击。
¡ IP地址随机扫描攻击(IP random attack):对于接收到的TCP/UDP/ICMP报文,设备根据报文的源IP地址和目的端口号,在一定时间周期内进行流量统计,如果统计发现该类流量的目的IP地址随机变化,且达到阈值Th3,则判定该源IP地址存在IP地址随机扫描攻击行为。
¡ IP地址随机泛洪攻击(IP random flooding attack):如果IP地址随机扫描攻击的流量超出阈值Th4(Th4>Th3),则判定该源IP地址存在IP地址随机泛洪攻击。
· 配置本命令不仅可以对指定的攻击类型进行SAF攻击检测,同时还会将检测到的攻击记录下来,执行display saf detection record命令可以查看到实时的攻击记录,执行display saf detection record history命令可以查看到SAF攻击检测历史记录。
· 配置本命令并指定filter dhcp参数,仅记录DHCP报文过滤的信息,需要在以太网接口视图下先执行saf filter dhcp命令后,才能正常记录DHCP报文过滤的信息。
· 配置本命令并指定filter dos-control参数,仅记录SAF报文过滤的信息,需要在系统视图下先执行saf filter dos-control命令后,才能正常记录SAF报文过滤的信息。
【举例】
# 全局开启分片报文攻击的SAF攻击检测功能,并且记录攻击信息。
<Sysname> Sysname-view
[Sysname] saf detection attack-fragment
【相关命令】
· saf detection enable
saf detection命令用来在接口下开启指定攻击类型的SAF攻击检测功能,并且记录攻击信息。
undo saf detection命令用来在接口下关闭指定攻击类型的SAF攻击检测功能。
【命令】
saf detection { arp-spoofing | dad-attack [ period period-value ] | mac-flooding threshold threshold-value | ndp-spoofing } [ action drop ]
undo saf detection { arp-spoofing | dad-attack | ndp-spoofing | mac-flooding }
【缺省情况】
接口下所有类型的SAF攻击检测功能均处于关闭状态。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
arp-spoofing:表示开启ARP攻击和ARP欺骗的SAF攻击检测功能,并记录攻击信息。
dad-attack:表示开启DAD攻击的SAF攻击检测功能,并记录攻击信息。
period period-value:指定DAD发包检测周期,取值范围10~180,缺省值为10秒。
ndp-spoofing:表示开启ND欺骗的SAF攻击检测功能,并记录攻击信息。
mac-flooding:表示开启MAC泛洪攻击的SAF攻击检测功能,并记录攻击信息。
threshold threshold-value:指定接口学习的MAC地址阈值,如果该接口学到的MAC地址数超过此阈值会被识别成MAC泛洪攻击。取值范围为1~16384。
action:识别到攻击后的行为。
drop:丢弃报文。
【使用指导】
先在以太网接口视图下执行saf detection enable命令开启SAF攻击检测功能后,本命令指定的攻击类型才能在该接口被检测到。
SAF(Security Augment function,增强安全功能)模块对接口下接收到的所有报文进行SAF的攻击判定,如果符合设备对各类攻击设定的条件,则将这类流量标记为攻击流,并建立和维护一张记录攻击表项的流表,在流表的老化时间内,如果继续接收到符合攻击表项的报文则判定为攻击,执行攻击报文转发行为。如果超过流表的老化时间,未接收到符合攻击表项的报文则将对应的攻击表项老化并删除。
SAF攻击检测功能对不同类型的攻击识别机制如下:
· ARP欺骗检测:系统对ARP应答报文进行检测,当检测到多条ARP应答报文中存在一个IP地址对应多条MAC地址,或者ARP应答报文的IP地址已经存在于设备的ARP表中,则判定该ARP应答报文为ARP欺骗。由于无法判定哪些是攻击者发送的ARP欺骗报文,因此ARP欺骗检测记录的ARP应答报文中,可能存在正常的ARP应答。攻击者通常通过在ARP应答报文的数据包中伪造MAC地址,将去往特定IP的报文劫持到攻击者的主机上,因此伪造的MAC地址可能是攻击者本机的MAC地址。
· ARP攻击检测:系统对ARP请求/应答报文进行检测,当检测到ARP请求/应答报文的速率超过一定的阈值且持续时间超过系统设定的时间阈值时,判定为ARP攻击。
· ND欺骗检测:攻击者仿冒其他用户、网关发送伪造的ND报文,例如,攻击者仿冒网关发送RA报文导致其他用户的IPv6配置参数错误和ND表项被改写。或者攻击者仿冒其他用户的IPv6地址发送NS报文,将会改写网关或者其他用户的ND表项,导致被仿冒用户的报文错误的发送到攻击者的终端上。当设备收到NS报文时,设备会记录报文内的源IP和源MAC作为邻居表项,当设备收到其他NS报文,发现报文内源IP已被记录在邻居表中,则会判断源MAC是否为邻居表中的MAC,若不相同则判断该报文为攻击报文。
· MAC泛洪攻击检测:MAC泛洪攻击就是由攻击者通过攻击工具产生大量的数据帧,这些数据帧中的源MAC地址都是伪造的,并且不断变化。因而设备将在攻击主机所连接的端口上产生大量的MAC地址条目,从而在短时间内将设备的MAC地址表填满,直到再无法接收新的条目。设备会对接口上学习到MAC地址数量进行检测,如果接口学习的MAC数量超出阈值,则判定该接口受到了MAC泛洪攻击,此时将记录MAC泛洪攻击。接口受到MAC地址泛洪攻击不会停止MAC地址学习,只有当学习到的MAC地址达到接口上的MAC地址学习的上限或者全局MAC地址学习的上限时才无法继续学习MAC地址。接口学习的MAC地址阈值小于接口上的MAC地址学习的上限。
· DAD攻击检测:IPv6的地址生成主要有无状态地址自动配置与DHCP服务器分配两种方式,这些生成后的IPv6地址在使用前均需要进行重复地址检测(Duplicate Address Detection)。一种常见的DAD攻击方式就是对重复地址检测过程中的邻居请求消息NS(Neighbor Solicitation)进行应答,声称该地址已经被占用,导致主机无法获取可用地址。接口通过周期性主动发送携带本地链路地址的NS消息来检测是否存在DAD攻击,理论上局域网内不应该有其他设备使用相同的本地链路地址,如果局域网内收到了其他设备对NS消息的NA(Neighbor Advertisement)应答消息,则认为存在DAD攻击,并记录攻击表项信息。
mac-authentication命令、mac-vlan trigger enable命令、voice-vlan enable命令、web-auth enable命令都会与MAC泛洪攻击的SAF攻击检测功能冲突。
MAC泛洪攻击检测不受SAF攻击检测的policy管控,即MAC泛洪攻击检测不被SAF攻击检测的黑名单/白名单影响。
按如下顺序对攻击流量执行转发行为:
(1) 如果攻击流量匹配到saf detection policy命令中的规则,则按照saf detection policy命令指定的转发行为处理攻击流量。如果未匹配SAF策略或者不存在SAF策略,则执行下一步。
(2) 如果接收到攻击流量的以太网接口视图下存在saf detection命令,且攻击流量符合saf detection命令中的攻击类型定义,则按照saf detection命令中的转发行为处理攻击流量。如果不符合上述要求,则执行下一步。
(3) 按照以太网接口视图下saf detection enable命令定义的转发行为处理攻击流量。
【举例】
# 在接口GigabitEthernet1/0/1上开启ARP攻击和ARP欺骗的SAF攻击检测功能,并记录攻击信息。
<Sysname> Sysname-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] saf detection arp-spoofing
【相关命令】
· display saf arp-table
· saf detection enable
saf detection enable命令用来开启SAF攻击检测功能。
undo saf detection enable命令用来恢复缺省情况。
【命令】
saf detection enable [ action drop ]
undo saf detection enable
【缺省情况】
SAF攻击检测功能处于关闭状态。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
action drop:表示指定识别到攻击报文后,对攻击报文执行的转发行为是直接丢弃。如果未指定本参数,则默认不对攻击报文进行任何操作。
【使用指导】
为了避免一些常见的网络攻击,例如ARP欺骗、ICMP重定向和Dos攻击等等,在设备连接用户终端的接口上开启SAF攻击检测功能,可以对多种攻击报文进行检测,并根据具体配置处理攻击报文。
只有在连接用户的接口下开启了本功能后,设备才会对此接口上的流量进行SAF攻击检测。开启本功能后还需要在系统视图或以太网接口视图下执行saf detection命令开启指定类型的攻击检测。
按如下顺序对攻击流量执行转发行为:
(1) 如果攻击流量匹配到saf detection policy命令中的规则,则按照saf detection policy命令指定的转发行为处理攻击流量。如果未匹配SAF策略或者不存在SAF策略,则执行下一步。
(2) 如果接收到攻击流量的以太网接口视图下存在saf detection命令,且攻击流量符合saf detection命令中的攻击类型定义,则按照saf detection命令中的转发行为处理攻击流量。如果不符合上述要求,则执行下一步。
(3) 按照以太网接口视图下saf detection enable命令定义的转发行为处理攻击流量。
【举例】
# 在接口GigabitEthernet1/0/1上开启SAF攻击检测功能。
<Sysname> Sysname-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] saf detection enable
【相关命令】
· saf detection (interface view)
· saf detection (system view)
saf detection policy命令用来配置对指定攻击流量执行的SAF策略。
undo saf detection policy命令用来恢复缺省情况。
【命令】
saf detection policy [ policy-id ] { { ip protocol | ipv6 protocol | mac protocol } [ destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | dest-mac dest-address dest-mask | source source-address source-wildcard | source-port operator port1 [ port2 ] | source-mac source-address source-mask | vlan vlan-id ] * } action { detect | drop | rate-limit rate-limit | remark-cos cos-value | reset } [ comment comment ]
saf detection policy [ policy-id ] host-defense action { detect | drop | rate-limit rate-limit | remark-cos cos-value | reset } [ comment comment ]
undo saf detection policy policy-id
undo saf detection policy { all | host-defense }
undo saf detection policy { { ip protocol | ipv6 protocol | mac protocol } [ destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | dest-mac dest-address dest-mask | source source-address source-wildcard | source-port operator port1 [ port2 ] | source-mac source-address source-mask | vlan vlan-id ] * }
【缺省情况】
未配置对检测到的指定攻击流量执行的策略。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
policy-id:指定SAF策略的编号,取值范围为0~65534。若未指定本参数,系统自动分配一个大于现有最大编号的最小编号,例如当前已创建的最大编号为10,则自动创建新的SAF策略未指定编号时,系统自动分配的编号为11。如果当前编号超出范围请手工指定一个未占用的编号值,否则无法自动分配编号。
ip:表示攻击报文协议类型为网络层IPv4协议报文。
ipv6:表示攻击报文协议类型为网络层IPv6协议报文。
mac:表示攻击报文协议类型为数据链路层协议报文。
protocol:表示协议类型,可输入的形式如下:
· 数字:取值范围为0~255;
· 如果指定ip参数,则可指定的名称为(括号内为对应的数字):可选取gre(47)、icmp(1)、igmp(2)、ipinip(4)、ospf(89)、pim(103)、tcp(6)或udp(17)。
· 如果指定ipv6参数,则可指定的名称为(括号内为对应的数字):可选取gre(47)、icmpv6(58)、ipv6-ah(51)、ipv6-esp(50)、ospf(89)、pim(103)、tcp(6)或udp(17)。
· 如果指定mac参数,则可指定的名称为(括号内为对应的数字):仅可选取arp(2054)。
destination dest-address dest-wildcard:表示匹配攻击报文的目的地址,其中dest-address为目的IP地址,dest-wildcard为目的IP地址的通配符掩码(0表示主机地址)。destination-port operator port1 [ port2 ]:表示匹配攻击报文的目的端口,其中operator为操作符,取值可以为lt(小于)、gt(大于)、eq(等于)、neq(不等于)或者range(在范围内,包括边界值)。只有操作符range需要两个端口号做操作数,其它的只需要一个端口号做操作数,port1、port2表示TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用字符表示时,TCP端口号可以选取chargen(19)、bgp(179)、cmd(rcmd,514)、daytime(13)、discard(9)、dns(53)、domain(53)、echo (7)、exec (rsh,512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(rlogin,513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)、www(HTTP,80);UDP端口号可以选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177)。
dest-mac dest-address dest-mask:指定目的MAC地址范围。dest-address表示目的MAC地址,格式为H-H-H。dest-mask表示目的MAC地址的掩码,格式为H-H-H。
source source-address source-wildcard:表示匹配攻击报文的源地址,其中source-address为源IP地址,source-wildcard为源IP地址的通配符掩码(0表示主机地址)。
source-port operator port1 [ port2 ]:表示匹配攻击报文的源端口,其中operator为操作符,取值可以为lt(小于)、gt(大于)、eq(等于)或者range(在范围内,包括边界值)。只有操作符range需要两个端口号做操作数,其它的只需要一个端口号做操作数,port1、port2表示TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用字符表示时,TCP端口号可以选取chargen(19)、bgp(179)、cmd(rcmd,514)、daytime(13)、discard(9)、dns(53)、domain(53)、echo (7)、exec (rsh,512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(rlogin,513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)、www(HTTP,80);UDP端口号可以选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177)。
source-mac source-address source-mask:指定源MAC地址范围。source-address表示源MAC地址,格式为H-H-H。source-mask表示源MAC地址的掩码,格式为H-H-H。
vlan vlan-id:表示匹配攻击报文的VLAN,其中vlan-id为VLAN的编号,取值范围为1~4094。
action:表示对指定攻击报文执行的转发行为。
detect:表示对指定攻击报文仅做检测和记录。
drop:表示丢弃指定的攻击报文。
rate-limit rate-limit:表示对指定攻击报文限速。其中,rate-limit表示限速值,取值范围为64~100000,单位为pps。
remark-cos:表示对指定攻击报文修改其802.1p优先级。
reset:对指定攻击报文强制清除SAF攻击检测的记录,认为该流量不是攻击。
comment comment:SAF策略的描述信息,其中comment表示策略的描述信息,为1~127个字符的字符串,区分大小写。如果未指定本参数,则SAF策略不存在描述信息。
all:对所有攻击流量执行定义的转发动作。
host-defense:对处于主机防御状态的攻击源发送的所有流量执行定义的转发动作。
【使用指导】
可以通过本命令指定的流量匹配策略,对匹配到SAF策略中定义规则的攻击流量执行对应的转发动作。系统将按照policy-id从小到大的顺序逐条匹配攻击流量,一旦匹配到中某一条SAF策略,则不继续进行匹配。
需要注意的是,当本设备对同一个攻击源识别到多条攻击时,会将此攻击源设置为主机防御状态。对于处于主机防御状态的攻击源,其所有流量均被认为是攻击流量,因此,设备会对接收到该攻击源的所有流量进行匹配,并将匹配到的流量执行对应的转发动作。
按如下顺序对攻击流量执行转发行为:
(1) 如果攻击流量匹配到saf detection policy命令配置的策略,则按照saf detection policy命令指定的转发行为处理攻击流量。如果未匹配SAF策略或者不存在SAF策略,则执行下一步。
(2) 如果接收到攻击流量的以太网接口视图下存在saf detection命令,且攻击流量符合saf detection命令中的攻击类型定义,则按照saf detection命令中的转发行为处理攻击流量。如果不符合上述要求,则执行下一步。
(3) 按照saf detection enable命令定义的转发行为处理攻击流量。
若有多条攻击流命中SAF策略中的匹配规则,这些攻击流量均执行限速操作时,每一条攻击流均按照SAF策略中的限速值独立限速。
命令中如果指定mac参数时,仅当报文协议类型为ARP,才可以指定destination参数,匹配的对象为ARP报文数据载荷中的目标的IP地址。对于其他数据链路层协议(非ARP)无法配置destination、destination-port、source、source-port参数。
仅指定协议类型为TCP/UDP时,才可以配置destination-port、source-port参数。
【举例】
# 配置对所有攻击流量执行的SAF策略,SAF策略编号为10,转发动作为丢弃。
<Sysname> Sysname-view
[Sysname] saf detection policy 10 all action drop
【相关命令】
· saf detection enable
· saf detection (interface view)
saf filter dhcp命令用来开启接口的DHCP报文过滤功能。
undo saf filter dhcp命令用来恢复缺省情况。
【命令】
saf filter dhcp
undo saf filter dhcp
【缺省情况】
接口未开启DHCP报文过滤功能,即不会对DHCP服务器发送的报文进行过滤。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
当网络中存在非法的DHCP服务器时,DHCP客户端可能会从这类DHCP服务器中获取到错误的IP地址,导致IP地址冲突、网关不正确等问题,甚至存在被窃听的风险。
设备上预先指定一些接口连接正常DHCP服务器,在除这些接口之外的其他接口下开启DHCP报文过滤功能可以将这些接口接收到的端口号为67的DHCP报文,即DHCP服务器发送的DHCP-OFFER和DHCP-ACK报文丢弃,以保证非法DHCP服务器无法对网络造成影响。
DHCP过滤适用于IPv4/IPv6的DHCP服务器消息。
执行saf detection命令并指定filter dhcp参数后,可以记录DHCP报文过滤的相关信息,通过display saf detection record命令则可以查看其记录信息。
【举例】
# 在接口GigabitEthernet1/0/1上开启DHCP报文过滤功能。
<Sysname> Sysname-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] saf filter dhcp
【相关命令】
· display saf detection record
· saf detection (system view)
saf filter dos-control命令用来配置对指定特征的数据报文进行SAF报文过滤。
undo saf filter dos-control命令用来恢复缺省情况。
【命令】
saf filter dos-control { all | icmp-fragments | ip-equal | mac-equal | tcp-flags-fup | tcp-flags-sf | tcp-ports-equal | udp-ports-equal }
undo saf filter dos-control { all | icmp-fragments | ip-equal | mac-equal | tcp-flags-fup | tcp-flags-sf | tcp-ports-equal | udp-ports-equal }
【缺省情况】
不会对任何报文进行SAF报文过滤。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
all:表示一次性指定下面所有参数代表的特征报文。
icmp-fragments:表示对分片的ICMP报文进行过滤。
ip-equal:表示对源IP与目的IP相等的报文进行过滤。
mac-equal:表示过滤源MAC与目的MAC相等的报文进行过滤。
tcp-flags-fup:表示对FIN、URG、PSH标记均为1且序列号为0的TCP报文进行过滤。
tcp-flags-sf:表示对SYN、FIN标记均为1的TCP报文进行过滤。
tcp-ports-equal:表示对源端口号与目的端口号相等的TCP报文进行过滤。
udp-ports-equal:表示对源端口号与目的端口号相等的UDP报文进行过滤。
【使用指导】
对于一些异常报文,例如,源和目的IP地址相同的报文、源和目的MAC相同的报文和需要分片的超大的ICMP报文,设备均视之为攻击报文,并将这些异常报文过滤丢弃。
配置本命令后,设备将分析报文的数据链路层、网络层、传输层的报文头信息,并过滤指定特征的数据报文。
执行saf detection命令并指定filter dos-control参数后,可以记录SAF报文过滤的相关信息,通过display saf detection record命令则可以查看记录。
【举例】
# 配置对源IP与目的IP相等的数据报文进行SAF报文过滤。
<Sysname> Sysname-view
[Sysname] saf filter dos-control ip-equal
【相关命令】
· display saf detection record
· saf detection (system view)
saf mac-flooding max-mac-count命令用来配置SAF全局MAC地址数学习上限。
undo saf mac-flooding max-mac-count命令用来恢复缺省情况。
【命令】
saf mac-flooding max-mac-count count
undo saf mac-flooding max-mac-count
【缺省情况】
未配置MAC地址数学习上限。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
count:全局MAC地址数学习上限。取值范围为1~16384。
【使用指导】
配置本命令后,所有开启MAC泛洪攻击的SAF攻击检测功能的接口上学习到的MAC地址之和不能超过本命令指定的全局MAC地址数学习上限。如果所有接口上学习到的MAC地址数达到上限,则这些接口无法继续学习新的MAC地址。
【举例】
# 配置SAF全局MAC地址数学习上限为1000。
<Sysname> Sysname-view
[Sysname] saf mac-flooding max-mac-count 1000
【相关命令】
· saf detection (interface view)
· saf mac-flooding max-mac-count (interface view)
saf mac-flooding max-mac-count命令用来配置SAF接口MAC地址数学习上限。
undo saf mac-flooding max-mac-count命令用来恢复缺省情况。
【命令】
saf mac-flooding max-mac-count count [ rate-limit limit-value ]
undo saf mac-flooding max-mac-count
【缺省情况】
未配置MAC地址数学习上限。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
count :接口MAC地址数学习上限。取值范围为1~16384。
rate-limit limit-value:接口MAC地址学习速率上限,单位为条/秒。取值范围不同,请以设备为1~1000。
【使用指导】
当接口开启MAC泛洪攻击的SAF攻击检测功能,即以太网接口视图下开启saf detection命令,并指定了mac-flooding参数,在该接口配置本命令后,该接口上MAC地址学习的上限及速率受本命令的限制。如果学习的MAC地址数超出上限或者一段时间内学习MAC地址的速率超出上限,则该接口无法继续正常学习新的MAC地址。
接口下配置的MAC地址数学习上限建议小于SAF全局MAC地址数学习上限,否则SAF全局MAC地址数学习上限会对所有接口生效,接口下配置的MAC地址数学习无意义。
【举例】
# 配置SAF接口GigabitEthernet1/0/1的MAC地址数学习上限为100,MAC地址学习速率上限为10条每秒。
<Sysname> Sysname-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] saf mac-flooding max-mac-count 1000 rate-limit 10
【相关命令】
· saf detection (interface view)
· saf mac-flooding max-mac-count (Sysname view)
saf mac-flooding trust命令用来配置MAC泛洪检测的信任表项。
undo arp-spoofing trust命令用来恢复缺省情况。
【命令】
saf mac-flooding trust mac-address mac-address-mask
undo saf trust trust { all | mac-address mac-address-mask }
【缺省情况】
未配置MAC泛洪检测的信任表项。
【视图】
系统视图
以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
mac-address mac-address-mask:指定MAC泛洪攻击检测中信任的MAC地址范围,如果接收到的报文的MAC地址属于本参数指定的MAC地址范围内,则不会被识别为MAC泛洪攻击。其中mac-address表示MAC地址,形式为H-H-H。mac-address-mask表示MAC地址的掩码,格式为H-H-H。
all:删除所有MAC泛洪攻击检测中信任的MAC地址范围。
【使用指导】
配置本命令后,接口上接收到的MAC地址如果位于本命令指定的MAC地址范围内,则被认为是信任的MAC地址,不会被识别为MAC泛洪攻击。
即使是信任的MAC地址接口也会记录MAC地址数量,一旦超出接口MAC地址数学习上限或者全局MAC地址数学习上限也无法继续学习MAC地址。
系统视图下配置的MAC泛洪检测的信任表项,对所有开启MAC泛洪攻击的SAF攻击检测功能的接口都生效。接口下配置的的MAC泛洪检测的信任表项,仅对本接口有效。
【举例】
# 系统视图下配置MAC泛洪检测的信任表项。
<Sysname> Sysname-view
[Sysname] saf mac-flooding trust 1-1-1 ffff-ffff-ff00
【相关命令】
· display saf mac-address
saf port-scan port-range-identify命令用来开启端口扫描攻击检测的端口范围识别功能。
undo saf port-scan port-range-identify命令用来关闭端口扫描攻击检测的端口范围识别功能。
【命令】
saf port-scan port-range-identify
undo saf port-scan port-range-identify
【缺省情况】
端口扫描攻击检测的端口范围识别功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
在以太网接口视图下执行saf detection enable命令开启SAF攻击检测功能,系统视图下再执行saf detection命令并指定port-scan参数后,saf port-scan port-range-identify命令的才能生效。
端口扫描攻击检测是指攻击者获取了活动目标主机的IP地址后,向目标主机发送源IP地址不变,大量目的端口变化的TCP/UDP报文,通过收到的回应报文来确定目标主机开放的服务端口,然后针对活动目标主机开放的服务端口选择合适的攻击方式或攻击工具进行进一步的攻击。如果攻击者发送的这类报文数超过系统自定义的阈值,则认为此源IP存在端口扫描攻击行为。对于该源IP的报文有两种处理方式:
· 如果端口扫描攻击检测的端口范围识别功能处于关闭状态,SAF攻击检测到端口扫描攻击后,会将该源IP地址发送的所有TCP或UDP报文都会被标识为端口扫描攻击,并且根据接口上配置的saf detection enable命令对攻击报文进行转发处理。
· 如果端口扫描攻击检测的端口范围识别功能处于开启状态,SAF攻击检测到端口扫描攻击后,仅当该源IP地址发送的TCP或UDP报文目的端口属于系统定义的端口范围内才会被标识为端口扫描攻击;其他报文都会被当做正常报文转发。
【举例】
# 开启端口扫描攻击检测的端口范围识别功能。
<Sysname> Sysname-view
[Sysname] saf port-scan port-range-identify
【相关命令】
· saf detection(System view)
· saf detection enable
saf uplink命令用来配置接口为业务上行口。
undo saf uplink命令用来恢复缺省情况。
【命令】
saf uplink
undo saf uplink
【缺省情况】
接口未指定为业务上行口。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
设备的某些接口作为业务上行口连接的是骨干网络中的设备,并未连接用户,这类接口默认无需开启SAF攻击检测功能,为了避免这些业务上行口误配置SAF攻击检测功能,可以在业务上行口上配置本命令指定接口角色为业务上行口。接口配置为业务上行口之后,无法再执行saf detection enable命令开启SAF攻击检测功能,也无法执行saf filter dhcp命令。
【举例】
# 配置接口GigabitEthernet1/0/1为业务上行口。
<Sysname> Sysname-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] saf uplink
【相关命令】
· saf detection enable
· saf filter dhcp
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
