Управление защитой от сетевых атак
ip firewall screen dos-defense icmp-threshold
Данная команда включает защиту от ICMP flood атак. При включенной защите ограничивается количество icmp-пакетов всех типов в секунду для одного адреса назначения.
Использование отрицательной формы команды (no) отключает защиту от ICMP flood атак.
Синтаксис
ip firewall screen dos-defense icmp-threshold <NUM>
no ip firewall screen dos-defense icmp-threshold
Параметры
<NUM> – количество icmp-пакетов в секунду задается в диапазоне [1..10000].
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen dos-defense icmp-threshold 2000
ip firewall screen dos-defense land
Данная команда включает защиту от land-атак. При включенной защите блокируются пакеты с одинаковыми source и destination ip, и флагом SYN в заголовке TCP.
Использование отрицательной формы команды (no) отключает защиту от land-атак.
Синтаксис
[no] ip firewall screen dos-defense land
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen dos-defense land
ip firewall screen dos-defense limit-session-destination
Когда таблица IP-сессий хоста переполняется, он больше не в состоянии организовывать новые сессии и отбрасывает запросы (такое может происходить при различных DoS-атаках: SYN flood, UDP flood, ICMP flood, и т. д.). Команда включает ограничение числа пакетов, передаваемых за секунду на один адреса назначения, которое смягчает DoS-атаки.
Использование отрицательной формы команды (no) снимает это ограничение.
Синтаксис
ip firewall screen dos-defense limit-session-destination <NUM>
no ip firewall screen dos-defense limit-session-destination
Параметры
<NUM> – ограничение количества ip-пакетов в секунду, задается в диапазоне [1..10000].
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen dos-defense limit-session-destination 1000
ip firewall screen dos-defense limit-session-source
Когда таблица IP-сессий хоста переполняется, он больше не в состоянии организовывать новые сессии и отбрасывает запросы (такое может происходить при различных DoS-атаках: SYN flood, UDP flood, ICMP flood, и т.д.). Команда включает ограничение числа пакетов, передаваемых за секунду с одного адреса источника, которое смягчает DoS-атаки.
Использование отрицательной формы команды (no) снимает это ограничение.
Синтаксис
ip firewall screen dos-defense limit-session-source <NUM>
no ip firewall screen dos-defense limit-session-source
Параметры
<NUM> – ограничение количества ip-пакетов в секунду задается в диапазоне [1..10000].
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen dos-defense limit-session-source 1000
ip firewall screen dos-defense syn-flood
Данная команда включает защиту от SYN flood атак. При включенной защите ограничивается количество TCP-пакетов с установленным флагом SYN в секунду для одного адреса назначения.
Использование отрицательной формы команды (no) отключает защиту от SYN flood атак.
Синтаксис
ip firewall screen dos-defense syn-flood <NUM> [src-dst]
no ip firewall screen dos-defense syn-flood
Параметры
<NUM> – максимальное количество TCP-пакетов с установленным флагом SYN в секунду задается в диапазоне [1..10000].
src-dst – ограничение количества TCP-пакетов с установленным флагом SYN на основании адреса источника и адреса назначения.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen dos-defense syn-flood 100 src-dsr
ip firewall screen dos-defense udp-threshold
Данная команда включает защиту от UDP flood атак. При включенной защите ограничивается количество UDP-пакетов в секунду для одного адреса назначения.
Использование отрицательной формы команды (no) отключает защиту от UDP flood.
Синтаксис
ip firewall screen dos-defense udp-threshold <NUM>
no ip firewall screen dos-defense udp-threshold
Параметры
<NUM> – максимальное количество UDP-пакетов в секунду, задается в диапазоне [1..10000].
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen dos-defense udp-threshold
ip firewall screen dos-defense winnuke
Данная команда включает защиту от winnuke-атак. При включенной защите блокируются TCP-пакеты с установленным флагом URG и 139 портом назначения.
Использование отрицательной формы команды (no) отключает защиту от winnuke-атак.
Синтаксис
[no] ip firewall screen dos-defense winnuke
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen dos-defense winnuke
ip firewall screen spy-blocking fin-no-ack
Данная команда включает блокировку TCP-пакетов с установленным флагом FIN и не установленным флагом ACK.
Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов с установленным флагом FIN и неустановленным флагом ACK.
Синтаксис
[no] ip firewall screen spy-blocking fin-no-ack
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking fin-no-ack
ip firewall screen spy-blocking icmp-type destination-unreachable
Данная команда включает блокировку всех ICMP-пакетов 3 типа (destination-unreachable), включая пакеты, сгенерированные самим маршрутизатором.
Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 3 типа.
Синтаксис
[no] ip firewall screen spy-blocking icmp-type destination-unreachable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking icmp-type destination-unreachable
ip firewall screen spy-blocking icmp-type echo-request
Данная команда включает блокировку всех ICMP пакетов 8 типа (echo-request), включая пакеты, сгенерированные самим маршрутизатором.
Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 8 типа.
Синтаксис
[no] ip firewall screen spy-blocking icmp-type echo-request
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking icmp-type echo-request
ip firewall screen spy-blocking icmp-type reserved
Данная команда включает блокировку всех ICMP-пакетов 2 и 7 типов (reserved), включая пакеты, сгенерированные самим маршрутизатором.
Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 2 и 7 типов.
Синтаксис
[no] ip firewall screen spy-blocking icmp-type reserved
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking icmp-type reserved
ip firewall screen spy-blocking icmp-type source-quench
Данная команда включает блокировку всех ICMP-пакетов 4 типа (source quench), включая пакеты, сгенерированные самим маршрутизатором.
Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 4 типа.
Синтаксис
[no] ip firewall screen spy-blocking icmp-type source-quench
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking icmp-type source-quench
ip firewall screen spy-blocking icmp-type time-exceeded
Данная команда включает блокировку всех ICMP-пакетов 11 типа (time exceeded), включая пакеты, сгенерированные самим маршрутизатором.
Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 11 типа.
Синтаксис
[no] ip firewall screen spy-blocking icmp-type time-exceeded
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking icmp-type time-exceeded
ip firewall screen spy-blocking ip-sweep
Данная команда включает защиту от IP-sweep атак. При включенной защите, если в течение заданного в параметрах интервала приходит более 10 ICMP-запросов от одного источника, первые 10 запросов пропускаются маршрутизатором, а 11 и последующие отбрасываются на оставшееся время интервала.
Использование отрицательной формы команды (no) отключает защиту от ip-sweep атак.
Синтаксис
ip firewall screen spy-blocking ip-sweep <THRESHOLD> [ <TIME> ]
no ip firewall screen spy-blocking ip-sweep
Параметры
<THRESHOLD> – количество пакетов ip sweep атаки в секунду, задается в диапазоне [1..10000].
<TIME> – время блокировки в миллисекундах [1..1000000].
Значение по умолчанию
Отключено.
Без указания времени блокировки при включении устанавливается значение 10000.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking ip-sweep 1000
ip firewall screen spy-blocking port-scan
Данная команда включает защиту от port scan атак. Если в течение секунды на один источник приходит более <THRESHOLD> TCP-пакетов с флагом SYN на разные TCP-порты или более <THRESHOLD> UDP-пакетов на разные UDP-порты, то такое поведение фиксируется как port scan атака, и все последующие пакеты такого рода от источника блокируются на второй заданный интервал времени (<TIME>).
Использование отрицательной формы команды (no) отключает защиту от port scan атак.
Синтаксис
ip firewall screen spy-blocking port-scan <THRESHOLD> [ <TIME> ]
no ip firewall screen spy-blocking port-scan
Параметры
<THRESHOLD> – количество пакетов port scan атаки в секунду, указывается в диапазоне [1..10000].
<TIME> – время блокировки атакующего узла в миллисекундах [1..1000000].
Значение по умолчанию
Отключено.
Без указания времени блокировки при включении, устанавливается значение 10000.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking port-scan 100 1000
ip firewall screen spy-blocking spoofing
Данная команда включает защиту от IP spoofing атак. При включенной защите маршрутизатор проверяет пакеты на соответствие адреса источника и записей в таблице маршрутизации, и в случае несоответствия пакет отбрасывается. Например, если пакет с адресом источника 10.0.0.1/24 приходит на интерфейс Gi1/0/1, а в таблице маршрутизации данная подсеть располагается за интерфейсом Gi1/0/2, то считается, что адрес источника был подменен.
Использование отрицательной формы команды (no) отключает защиту от ip spoofing атак.
Синтаксис
[no] ip firewall screen spy-blocking spoofing
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking spoofing
ip firewall screen spy-blocking syn-fin
Данная команда включает блокировку TCP-пакетов, с установленными флагами SYN и FIN.
Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов, с установленными флагами SYN и FIN.
Синтаксис
[no] ip firewall screen spy-blocking syn-fin
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking syn-fin
ip firewall screen spy-blocking tcp-all-flags
Данная команда включает блокировку TCP-пакетов, со всеми флагами или с набором флагов: FIN, PSH, URG. Обеспечивается защита от атаки XMAS.
Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов, со всеми флагами или с набором флагов: FIN,PSH,URG.
Синтаксис
[no] ip firewall screen spy-blocking tcp-all-flag
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking tcp-all-flag
ip firewall screen spy-blocking tcp-no-flag
Данная команда включает блокировку TCP-пакетов, с нулевым полем flags.
Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов, с нулевым полем flags.
Синтаксис
[no] ip firewall screen spy-blocking tcp-no-flag
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen spy-blocking tcp-no-flag
ip firewall screen suspicious-packets icmp-fragment
Данная команда включает блокировку фрагментированных ICMP-пакетов.
Использование отрицательной формы команды (no) отключает блокировку фрагментированных ICMP-пакетов.
Синтаксис
[no] ip firewall screen suspicious-packets icmp-fragment
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen suspicious-packets icmp-fragment
ip firewall screen suspicious-packets ip-fragment
Данная команда включает блокировку фрагментированных IP-пакетов.
Использование отрицательной формы команды (no) отключает блокировку фрагментированных пакетов.
Синтаксис
[no] ip firewall screen suspicious-packets ip-fragment
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen suspicious-packets ip-fragment
ip firewall screen suspicious-packets large-icmp
Данная команда включает блокировку ICMP-пакетов длиной более 1024 байт.
Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов длиной более 1024 байт.
Синтаксис
[no] ip firewall screen suspicious-packets large-icmp
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen suspicious-packets large-icmp
ip firewall screen suspicious-packets syn-fragment
Данная команда включает блокировку фрагментированных TCP-пакетов, с флагом SYN.
Использование отрицательной формы команды (no) отключает блокировку фрагментированных TCP- пакетов, с флагом SYN.
Синтаксис
[no] ip firewall screen suspicious-packets syn-fragment
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen suspicious-packets syn-fragment
ip firewall screen suspicious-packets udp-fragment
Данная команда включает блокировку фрагментированных UDP-пакетов.
Использование отрицательной формы команды (no) отключает блокировку фрагментированных UDP-пакетов.
Синтаксис
[no] ip firewall screen suspicious-packets udp-fragment
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen suspicious-packets udp-fragment
ip firewall screen suspicious-packets unknown-protocols
Данная команда включает блокировку пакетов, с ID протокола в заголовке IP равном 137 и более.
Использование отрицательной формы команды (no) отключает блокировку пакетов, с ID протокола в заголовке IP равном 137 и более.
Синтаксис
[no] ip firewall screen suspicious-packets unknown-protocols
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall screen suspicious-packets unknown-protocols
Управление оповещением о сетевых атаках
ip firewall logging interval
Данной командой устанавливается частота оповещения (по SNMP, syslog и в CLI) об обнаруженных и отраженных сетевых атаках. При детектировании атаки сообщение логируется мгновенно, но следующие оповещения о данной конкретной атаке будут логироваться через заданный интервал времени, если атака будет носить продолжительный характер.
Использование отрицательной формы команды (no) возвращает таймер к значению по умолчанию.
Синтаксис
ip firewall logging interval <NUM>
no ip firewall logging interval
Параметры
<NUM> – интервал времени в секундах [30 .. 2147483647].
Значение по умолчанию
30
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall logging interval 60
logging firewall screen detailed
Данной командой включается более детальный вывод сообщений по обнаруженным и отраженным сетевым атакам в CLI.
В детальном выводе, кроме имени интерфейса, с которого пришёл пакет, отображается IP-адрес источника и IP-адрес назначения этого пакета, а также MAC-адрес источника, отправившего этот пакет.
Использование отрицательной формы команды (no) отключает детальный вывод сообщений.
Синтаксис
[no] logging firewall screen detailed
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# logging firewall screen detailed
logging firewall screen dos-defense
Данной командой включается механизм обнаружения и логирования DoS-атак через CLI, syslog и по SNMP. В связке с включенной защитой от атак будет производиться оповещение об отраженных DoS-атаках.
Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженных и отраженных DoS-атак.
Синтаксис
[no] logging firewall screen dos-defense <ATACK_TYPE>
Параметры
<ATACK_TYPE> – тип DoS-атаки, принимает значения:
- icmp-threshold;
- land;
- limit-session-destination;
- limit-session-source;
- syn-flood;
- udp-threshold;
- winnuke.
Подробное описание DoS-атак приведено в разделе Управление защитой от сетевых атак.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# logging firewall screen dos-defense land
logging firewall screen spy-blocking
Данной командой включается механизм обнаружения и логирования шпионской активности через CLI, syslog и по SNMP. В связке с включенной защитой от шпионской активности будет производиться оповещение о блокированной шпионской активности.
Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженной и блокированной шпионской активности.
Синтаксис
[no] logging firewall screen spy-blocking { <ATACK_TYPE> | icmp-type <ICMP_TYPE> }
Параметры
<ATACK_TYPE> – тип шпионской активности, принимает значения:
- fin-no-ack;
- ip-sweep;
- port-scan;
- spoofing;
- syn-fin;
- tcp-all-flag;
- tcp-no-flag.
<ICMP_TYPE> – тип icmp, принимает значения:
- destination-unreachable;
- echo-request;
- reserved;
- source-quench;
- time-exceeded.
Подробное описание шпионских активностей приведено в разделе Управление защитой от сетевых атак.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# logging firewall screen spy-blocking icmp-type echo-request
logging firewall screen suspicious-packets
Данной командой включается механизм обнаружения нестандартных пакетов и логирования через CLI, syslog и по SNMP. В связке с включенной защитой от нестандартных пакетов будет производиться также оповещение о блокировке нестандартных пакетов.
Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженных и блокированных нестандартных пакетов.
Синтаксис
[no] logging firewall screen suspicious-packets <PACKET_TYPE>
Параметры
< PACKET_TYPE> – тип нестандартных пакетов, принимает значения:
- icmp-fragment;
- ip-fragment;
- large-icmp;
- syn-fragment;
- udp-fragment;
- unknown-protocols.
Подробное описание защиты от нестандартных пакетов приведено в разделе Управление защитой от сетевых атак.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# logging firewall screen suspicious-packets icmp-fragment
show ip firewall screens counters
Данная команда позволяет просматривать статистику по обнаруженным сетевым атакам.
Синтаксис
show ip firewall screens counters
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show ip firewall screens counters DDoS: Destination limit screen: -- Source limit screen: -- ICMP threshold screen: 1 UDP threshold screen: -- SYN flood screen: 0 Land attack screen: 1 Winnuke attack screen: -- Suspicious packets: ICMP fragmented screen: -- UDP fragmented screen: -- Large ICMP screen: 4 Fragmented SYN screen: -- Unknown protocol screen: -- Fragmented IP screen: -- Spying: Port scanning screen: -- IP sweep secreen: -- SYN-FIN screen: -- TCP all flags screen: -- FIN no ACK screen: -- TCP no flags screen: -- Spoofing screen: -- ICMP types: ICMP reserved screen: -- ICMP quench screen: -- ICMP echo request screen: -- ICMP time exceeded screen: -- ICMP unreachable screen: --