39-dos防攻击配置命令

DoS防攻击配置命令

-1-

目 录

目 录

第1章 DoS防攻击配置命令.................................................................................................................................3?

1.1 DoS防攻击配置命令.................................................................................................................................3?

1.1.1 dos enable..........................................................................................................................................3?1.1.2 show dos............................................................................................................................................4?

- 2-

DoS防攻击配置命令

1. DoS防攻击配置命令

1.1. DoS防攻击配置命令

DoS防攻击配置命令有： z dos enable z show dos

1.1.1. dos enable

命令描述

dos enable {all | icmp icmp-value | ip | ipv4firstfrag | l4port | mac | tcpflags | tcpfrag tcpfrag-value}

no dos enable {all | icmp | ip | ipv4firstfrag | l4port | mac | tcpflags | tcpfrag}

参数

参数

all

icmp icmp-value

参数说明

开启抵御所有类型的dos攻击报文

开启抵御icmp类型的dos攻击报文，icmp-value为最大的icmp报文长度，缺省值为512

ip

ipv4firstfrag l4port mac tcpflags

tcpfrag tcpfrag-value

抵御源IP地址与目的IP地址相等的dos攻击报文 开启检测ip报文的第一个分包

开启检测源端口等于目的端口的四层报文 开启检测源、目的mac相等的报文 开启检测带非法的flag的tcp报文

开启检测tcp分包的dos攻击报文，tcpfrag-value为最小的tcp头部，缺省值为20

缺省

缺省为DoS防攻击功能关闭

说明

DoS防攻击功能配置模式是全局配置。

dos的ip子功能能丢弃源IP地址等于目的IP地址的IP报文。

dos的icmp子功能能丢弃报文：1.大小大于icmp-value的ICMPv4、ICMPv6 ping

包 2.分包的ICMP报文。

dos的l4port子功能能丢弃源端口号等于目的端口号的TCP/UDP报文。 dos的mac子功能丢弃源、目的mac相等的报文。

-3-