Step 9 Step10
Ruijie#show nfpp icmp-guard summary Ruijie#copy running-config startup-config 核对配置参数 保存配置。 如果要把全局隔离时间恢复成缺省值,在nfpp配置模式执行命令“no icmp-guard isolate-period”。如果一个端口原来配置了局部隔离时间,现在想采用全局隔离时间,那么在接口配置模式下执行命令“no nfpp icmp-guard isolate-period”把局部隔离时间配置删除。 63.3.3.1.3 设置对攻击者的监控时间
如果不配置全局隔离时间和基于端口的隔离时间(包括端口隔离时间配置成0秒),这种情况下,防攻击模块将自动采用监控时间对攻击者进行软件监控,提供当前系统中存在哪些攻击用户的信息。当配置全局隔离时间或者基于端口的隔离时间后,防攻击模块将自动对软件监控的用户采取硬件隔离。
Step 1 Step 2 Step 3
命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#icmp-guard monitor-period seconds Ruijie(config-nfpp)#end Ruijie#show nfpp icmp-guard summary Ruijie#copy running-config startup-config 进入全局配置模式。 进入NFPP配置模式 配置对攻击者的监控时间。 取值范围为180秒到86400秒(即一天),缺省值为600秒。 退回到特权模式。 核对配置参数 保存配置。 作用 Step 4 Step 5 Step 6
如果要把监控时间恢复成缺省值,在nfpp配置模式执行命令“no icmp-guard monitor-period”。
? 检测出攻击者的时候,如果隔离时间为0,将对攻击者进行软件监控,超时为监控
? 注意
时间。在软件监控过程中,当隔离时间被配置为非零值时,将自动对软件监控的攻击者采取硬件隔离,并且把超时设置为隔离时间。监控时间在隔离时间为0的情况下才有意义。
? 如果把隔离时间从非零值改成零,将直接把相关端口的攻击者删除,而不是进行
软件监控。
63.3.3.1.4 设置受监控主机的最大数目
Step 1 Step 2
命令 Ruijie#configure terminal Ruijie(config)#nfpp 进入全局配置模式。 作用 进入NFPP配置模式。 Step 3
Ruijie(config-nfpp)#icmp-guard monitored-host-limit number Ruijie(config-nfpp)#end Ruijie#show nfpp icmp-guard summary Ruijie#copy running-config startup-config 配置受监控主机的最大数目。 取值范围为1到4294967295个,缺省情况下受监控主机的最大数目为1000个。 退回到特权模式。 核对配置参数 保存配置。 Step 4 Step 5 Step 6
如果要把配置的最大受监控主机数恢复成缺省值,在nfpp配置模式执行命令“no icmp-guard monitored-host-limit”。 如果受监控主机数已经达到默认的1000个,此时管理员把受监控主机的最大数目设置成小于1000,不会删除已有的受监控主机,而是打印信息“%ERROR: The value that you configured is smaller than current monitored hosts 1000(配置的受监控主机数) ,please clear a part of monitored hosts.”来提醒管理员配置没有生效,需要删除部分已经被监控的主机。
? 注意 当受监控主机满时,打印日志“% NFPP_ICMP_GUARD-4-SESSION_LIMIT:
Attempt to exceed limit of 1000(配置的受监控主机数) monitored hosts.”提醒管
理员。
63.3.3.1.5 基于主机限速和识别攻击
识别主机的方法为源IP/VID/端口。每个用户都有限速水线和攻击阈值(也称为告警水线),限速水线必须低于攻击阈值。当单台主机的ICMP报文速度超过限速水线时,就丢弃超限的ICMP报文。如果单台主机的ICMP报文速度超过攻击阈值,将采取隔离措施,记录到日志中,发送TRAP。 如果检测到攻击行为,打印的日志信息格式如下:
%NFPP_ICMP_GUARD-4-DOS_DETECTED: Host
ICMP DoS attack from host
如果管理员把隔离时间配置成非零值,当硬件隔离成功时,打印的日志信息格式如下所示:
%NFPP_ICMP_GUARD-4-ISOLATED:Host
Host
当硬件隔离失败(原因通常是内存不足或者硬件资源不足)时,打印的日志信息格式如下所示:
%NFPP_ICMP_GUARD-4-ISOLATE_FAILED: Failed to isolate host
Failed to isolate host
? 注意 当无法为检测到的攻击者分配内存时,打印日志“%NFPPP_ ICMP_GUARD -4-NO_MEMORY: Failed to alloc memory.”提醒管理员。
管理员可以在nfpp配置模式和接口配置模式下进行配置。
Step 1 Step 2 Step 3
Ruijie(config-nfpp)#icmp-guard rate-limit per-src-ip pps Step 4
Ruijie(config-nfpp)#icmp-guard attack-threshold per-src-ip pps 命令 Ruijie#configure terminal Ruijie(config)#nfpp 进入全局配置模式。 进入NFPP配置模式。 全局对每台主机的ICMP报文速度进行限制。 取值范围是1到9999,缺省值是基于端口的全局限速水线(将在下一节说明)的一半。 “per-src-ip”是基于源IP/VID/端口识别主机。 配置攻击阈值。当某台主机的ICMP报文超过攻击阈值时,就认为是在进行攻击,立即对这台主机采取隔离措施,记录到日志,发送TRAP。 取值范围是1到9999,缺省值和基于源IP地址的缺省限速水线相同。 “per-src-ip”是基于源IP/VID/端口识别主机。 Step 5 Step 6 Step 7 Step 8
Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#interface interface-name 退回到特权模式。 进入全局配置模式。 进入接口配置模式。 作用 Ruijie(config-if)#nfpp icmp-guard policy per-src-ip rate-limit-pps attack-threshold-pps 配置局部的限速水线和攻击水线,只在该配置所属端口上生效。 rate-limit-pps是限速水线,取值范围是1到9999,缺省是没有配置基于端口的速率,采用全局速率。 attack-threshold-pps是攻击水线,取值范围是1到9999。 缺省情况是端口没有自己的限速水线和攻击水线,采用全局的限速水线和攻击水线。 “per-src-ip”是基于源IP/VID/端口识别主机。 退回到特权模式。 Step 9
Ruijie(config-if)#end Step 10 Ruijie#show nfpp icmp-guard summary Step 11 Ruijie#copy running-config startup-config 核对配置参数 保存配置。 63.3.3.1.6 基于端口限速和识别攻击
每个端口都有限速水线和攻击阈值,限速水线必须低于攻击阈值。当某个端口的ICMP报文速度超过限速水线时,就丢弃ICMP报文。如果某个端口的ICMP报文速度超过攻击阈值,将记录到日志中,发送TRAP。 当端口遭受ICMP拒绝服务攻击时,打印的警告信息格式如下:
%NFPP_ICMP_GUARD-4-PORT_ATTACKED: ICMP DoS attack was detected on port Gi4/1. (2009-07-01 13:00:00) 发送的TRAP报文的数据包含如下描述信息: ICMP DoS attack was detected on port Gi4/1.
管理员可以在nfpp配置模式和接口配置模式下进行配置。
Step 1 Step 2 Step 3 Step 4
命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#icmp-guard rate-limit per-port pps Ruijie(config-nfpp)#icmp-guard attack-threshold per-port pps 进入全局配置模式。 进入NFPP配置模式。 对每个端口的ICMP报文速度进行限制。 取值范围是1到9999,S3760E缺省值是250。 配置攻击阈值,当某个端口的ICMP报文超过阈值时,记录到日志,发送TRAP。 取值范围是1到9999,缺省值和基于端口的缺省限速水线相同。 Step 5 Step 6 Step 7 Step 8
Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#interface interface-name Ruijie(config-if)#nfpp icmp-guard policy per-port rate-limit-pps attack-threshold-pps 退回到特权模式。 进入全局配置模式。 进入接口配置模式。 作用 配置局部的限速水线和攻击水线,只在该配置所属端口上生效。 rate-limit-pps是限速水线,取值范围是1到9999。 attack-threshold-pps是攻击水线,取值范围是1到9999。 缺省情况是端口没有自己的限速水线和攻击水线,采用全局的限速水线和攻击水线。 Step 9 Ruijie(config-if)#end 退回到特权模式。 核对配置参数 Step 10 Ruijie#show nfpp icmp-guard configuration Step 11 Ruijie#copy running-config tartup-config 保存配置。
? 注意
基于源IP地址限速优先级高于基于端口限速。
63.3.3.1.7 设置不监控的可信主机
如果管理员希望对某台主机不进行监控,即对该主机表示信任,则可以通过该命令配置。该可信主机发往CPU的ping报文将被允许发往CPU。
Step 1 Step 2 Step 3 Step 4 Step 5 Step 6
命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#icmp-guard trusted-host ip mask Ruijie(config-nfpp)#end Ruijie#show nfpp icmp-guard trusted-host Ruijie#copy running-config startup-config 进入全局配置模式。 进入NFPP配置模式。 配置不进行监控的IP地址范围。 最多能够配置500条。 退回到特权模式。 查看不监控的可信主机。 保存配置。 作用 在nfpp配置模式下,可以使用该命令的no选项删除一条可信主机表项。使用命令的no 和all选项可以删除所有可信主机。 例如删除所有可信主机:
Ruijie(config-nfpp)# no icmp-guard trusted-host all 或删除单条可信主机:
Ruijie(config-nfpp)# no icmp-guard trusted-host 1.1.1.1 255.255.255.255