Данная команда включает защиту от ICMP flood атак. При включенной защите ограничивается количество icmp-пакетов всех типов в секунду для одного адреса назначения.
Использование отрицательной формы команды (no) отключает защиту от ICMP flood атак.
ip firewall screen dos-defense icmp-threshold { <NUM> }
no ip firewall screen dos-defense icmp-threshold
<NUM> – количество icmp-пакетов в секунду задается в диапазоне [1..10000]
Отключено.
15
CONFIG
esr(config)# ip firewall screen dos-defense icmp-threshold 2000 |
Данная команда включает защиту от land-атак. При включенной защите блокируются пакеты с одинаковыми source и destination ip, и флагом SYN в заголовке TCP.
Использование отрицательной формы команды (no) отключает защиту от land-атак.
[no] ip firewall screen dos-defense land
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen dos-defense land |
Когда таблица ip-сессий хоста переполняется, он больше не в состоянии организовывать новые сессии и отбрасывает запросы (такое может происходить при различных DoS-атаках: SYN flood, UDP flood, ICMP flood, и т.д.). Команда включает ограничение количества одновременных сессий на основании адреса назначения, которое смягчает DoS-атаки.
Использование отрицательной формы команды (no) снимает ограничение на количество одновременных ip-сессий на основании адреса назначения.
ip firewall screen dos-defense limit-session-destination { <NUM> }
no ip firewall screen dos-defense limit-session-destination
<NUM> – ограничение количества ip-сессий задается в диапазоне [1..10000].
Отключено.
15
CONFIG
esr(config)# ip firewall screen dos-defense limit-session-destination 1000 |
Когда таблица ip-сессий хоста переполняется, он больше не в состоянии организовывать новые сессии и отбрасывает запросы (такое может происходить при различных DoS-атаках: SYN flood, UDP flood, ICMP flood, и т.д.). Команда включает ограничение количества одновременных сессий на основании адреса источника, которое смягчает DoS-атаки.
Использование отрицательной формы команды (no) снимает ограничение на количество одновременных ip-сессий на основании адреса источника.
ip firewall screen dos-defense limit-session-source { <NUM> }
no ip firewall screen dos-defense limit-session-source
<NUM> – ограничение количества ip-сессий задается в диапазоне [1..10000].
Отключено.
15
CONFIG
esr(config)# ip firewall screen dos-defense limit-session-source 1000 |
Данная команда включает защиту от SYN flood атак. При включенной защите ограничивается количество TCP пакетов с установленным флагом SYN в секунду для одного адреса назначения.
Использование отрицательной формы команды (no) отключает защиту от SYN flood атак.
ip firewall screen dos-defense syn-flood { <NUM> } [src-dsr]
no ip firewall screen dos-defense syn-flood
<NUM> – максимальное количество TCP-пакетов с установленным флагом SYN в секунду задается в диапазоне [1..10000].
src-dst – ограничение количества TCP-пакетов с установленным флагом SYN на основании адреса источника и адреса назначения.
Отключено.
15
CONFIG
esr(config)# ip firewall screen dos-defense syn-flood 100 src-dsr |
Данная команда включает защиту от UDP flood атак. При включенной защите ограничивается количество UDP пакетов в секунду для одного адреса назначения.
Использование отрицательной формы команды (no) отключает защиту от UDP flood.
ip firewall screen dos-defense udp-threshold { <NUM> }
no ip firewall screen dos-defense udp-threshold
<NUM> – максимальное количество UDP-пакетов в секунду задается в диапазоне [1..10000].
Отключено.
15
CONFIG
esr(config)# ip firewall screen dos-defense udp-threshold |
Данная команда включает защиту от winnuke-атак. При включенной защите блокируются TCP-пакеты с установленным флагом URG и 139 портом назначения.
Использование отрицательной формы команды (no) отключает защиту от winnuke-атак.
[no] ip firewall screen dos-defense winnuke
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen dos-defense winnuke |
Данная команда включает блокировку TCP-пакетов с установленным флагом FIN и не установленным флагом ACK.
Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов с установленным флагом FIN и не установленным флагом ACK.
[no] ip firewall screen spy-blocking fin-no-ack
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen spy-blocking fin-no-ack |
Данная команда включает блокировку всех ICMP-пакетов 3 типа (destination-unreachable), включая пакеты, сгенерированные самим маршрутизатором.
Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 3 типа.
[no] ip firewall screen spy-blocking icmp-type destination-unreachable
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen spy-blocking icmp-type destination-unreachable |
Данная команда включает блокировку всех ICMP пакетов 8 типа (echo-request), включая пакеты, сгенерированные самим маршрутизатором.
Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 8 типа.
[no] ip firewall screen spy-blocking icmp-type echo-request
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen spy-blocking icmp-type echo-request |
Данная команда включает блокировку всех ICMP-пакетов 2 и 7 типов (reserved), включая пакеты, сгенерированные самим маршрутизатором.
Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 2 и 7 типов.
[no] ip firewall screen spy-blocking icmp-type reserved
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen spy-blocking icmp-type reserved |
Данная команда включает блокировку всех ICMP-пакетов 4 типа (source quench), включая пакеты, сгенерированные самим маршрутизатором.
Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 4 типа.
[no] ip firewall screen spy-blocking icmp-type source-quench
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen spy-blocking icmp-type source-quench |
Данная команда включает блокировку всех ICMP-пакетов 11 типа (time exceeded), включая пакеты, сгенерированные самим маршрутизатором.
Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов 11 типа.
[no] ip firewall screen spy-blocking icmp-type time-exceeded
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen spy-blocking icmp-type time-exceeded |
Данная команда включает защиту от IP-sweep атак. При включенной защите, если в течение заданного в параметрах интервала приходит более 10 ICMP-запросов от одного источника, первые 10 запросов пропускаются маршрутизатором, а 11 и последующие отбрасываются на оставшееся время интервала.
Использование отрицательной формы команды (no) отключает защиту от ip-sweep атак.
ip firewall screen spy-blocking ip-sweep <THRESHOLD> [ <TIME> ]
no ip firewall screen spy-blocking ip-sweep
<THRESHOLD> – количество пакетов ip sweep атаки в секунду, задается в диапазоне [1..10000].
<TIME> – время блокировки в миллисекундах [1..1000000].
Отключено.
Без указания времени блокировки при включении, устанавливается значение 10000.
15
CONFIG
esr(config)# ip firewall screen spy-blocking ip-sweep 1000 |
Данная команда включает защиту от port scan атак. Если в течение первого заданного интервала времени (<threshold>) на один источник приходит более 10 TCP-пакетов с флагом SYN на разные TCP-порты, то такое поведение фиксируется как port scan атака и все последующие пакеты такого рода от источника блокируются на второй заданный интервал времени (<TIME>).
Использование отрицательной формы команды (no) отключает защиту от port scan атак.
ip firewall screen spy-blocking port-scan <THRESHOLD> [ <TIME> ]
no ip firewall screen spy-blocking port-scan
<THRESHOLD> – количество пакетов port scan атаки в секунду, указывается в диапазоне [1..10000].
<TIME> – время блокировки в миллисекундах [1..1000000].
Отключено.
Без указания времени блокировки при включении, устанавливается значение 10000.
15
CONFIG
esr(config)# ip firewall screen spy-blocking port-scan 100 1000 |
Данная команда включает защиту от IP spoofing атак. При включенной защите маршрутизатор проверяет пакеты на соответствие адреса источника и записей в таблице маршрутизации и в случае несоответствия пакет отбрасывается. Например, если пакет с адресом источника 10.0.0.1/24 приходит на интерфейс Gi1/0/1, а в таблице маршрутизации данная подсеть располагается за интерфейсом Gi1/0/2, то считается, что адрес источника был подменен.
Использование отрицательной формы команды (no) отключает защиту от ip spoofing атак.
[no] ip firewall screen spy-blocking spoofing
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen spy-blocking spoofing |
Данная команда включает блокировку TCP-пакетов, с установленными флагами SYN и FIN.
Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов, с установленными флагами SYN и FIN.
[no] ip firewall screen spy-blocking syn-fin
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen spy-blocking syn-fin |
Данная команда включает блокировку TCP-пакетов, со всеми флагами или с набором флагов: FIN, PSH, URG. Обеспечивается защита от атаки XMAS.
Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов, со всеми флагами или с набором флагов: FIN,PSH,URG.
[no] ip firewall screen spy-blocking tcp-all-flag
Команда не содержит параметров.
Отключено.
10
CONFIG
esr(config)# ip firewall screen spy-blocking tcp-all-flag |
Данная команда включает блокировку TCP-пакетов, с нулевым полем flags.
Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов, с нулевым полем flags.
[no] ip firewall screen spy-blocking tcp-no-flag
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen spy-blocking tcp-no-flag |
Данная команда включает блокировку фрагментированных ICMP-пакетов.
Использование отрицательной формы команды (no) отключает блокировку фрагментированных ICMP-пакетов.
[no] ip firewall screen suspicious-packets icmp-fragment
Команда не содержит параметров.
Отключено.
10
CONFIG
esr(config)# ip firewall screen suspicious-packets icmp-fragment |
Данная команда включает блокировку фрагментированных IP-пакетов.
Использование отрицательной формы команды (no) отключает блокировку фрагментированных пакетов.
[no] ip firewall screen suspicious-packets ip-fragment
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen suspicious-packets ip-fragment |
Данная команда включает блокировку ICMP-пакетов длиной более 1024 байт.
Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов длиной более 1024 байт.
[no] ip firewall screen suspicious-packets large-icmp
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen suspicious-packets large-icmp |
Данная команда включает блокировку фрагментированных TCP-пакетов, с флагом SYN.
Использование отрицательной формы команды (no) отключает блокировку фрагментированных TCP- пакетов, с флагом SYN.
[no] ip firewall screen suspicious-packets syn-fragment
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen suspicious-packets syn-fragment |
Данная команда включает блокировку фрагментированных UDP-пакетов.
Использование отрицательной формы команды (no) отключает блокировку фрагментированных UDP-пакетов.
[no] ip firewall screen suspicious-packets udp-fragment
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen suspicious-packets udp-fragment |
Данная команда включает блокировку пакетов, с ID протокола в заголовке IP равном 137 и более.
Использование отрицательной формы команды (no) отключает блокировку пакетов, с ID протокола в заголовке IP равном 137 и более.
[no] ip firewall screen suspicious-packets unknown-protocols
Команда не содержит параметров.
Отключено.
15
CONFIG
esr(config)# ip firewall screen suspicious-packets unknown-protocols |
Данной командой устанавливается частота оповещения (по SNMP, syslog и в CLI) об обнаруженных и отраженных сетевых атаках. При детектировании атаки сообщение логируется мгновенно, но следующие оповещения о данной конкретной атаке будут логироваться через заданный интервал времени, если атака будет носить продолжительный характер.
Использование отрицательной формы команды (no) возвращает таймер к значению по умолчанию.
ip firewall logging interval <NUM>
no ip firewall logging interval
<NUM> – интервал времени в секундах [30 .. 2147483647]
30
15
CONFIG
esr(config)# ip firewall logging interval 60 |
Данной командой включается более детальный вывод сообщений по обнаруженным и отраженным сетевым атакам в CLI.
Использование отрицательной формы команды (no) отключает детальный вывод сообщений.
[no] logging firewall screen detailed
Отсутствуют.
Отключено.
15
CONFIG
esr(config)# logging firewall screen detailed |
Данной командой включается механизм обнаружения и логирования DoS-атак через CLI, syslog и по SNMP. В связке с включенной защитой от атак будет производиться оповещение об отраженных DoS атаках.
Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженных и отраженных DoS-атак.
[no] logging firewall screen dos-defense <ATACK_TYPE>
<ATACK_TYPE> – тип DoS-атаки, принимает значения:
Подробное описание DoS-атак приведено в разделе Управление защитой от сетевых атак.
Отключено.
15
CONFIG
esr(config)# logging firewall screen dos-defense land |
Данной командой включается механизм обнаружения и логирования шпионской активности через CLI, syslog и по SNMP. В связке с включенной защитой от шпионской активности будет производиться оповещение о блокированной шпионской активности.
Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженной и блокированной шпионской активности.
[no] logging firewall screen spy-blocking { <ATACK_TYPE> | icmp-type <ICMP_TYPE> }
<ATACK_TYPE> – тип шпионской активности, принимает значения:
<ICMP_TYPE> – тип icmp, принимает значения:
Подробное описание шпионских активностей приведено в разделе Управление защитой от сетевых атак.
Отключено.
15
CONFIG
esr(config)# logging firewall screen spy-blocking icmp-type echo-request |
Данной командой включается механизм обнаружения нестандартных пакетов и логирования через CLI, syslog и по SNMP. В связке с включенной защитой от нестандартных пакетов будет производиться также оповещение о блокировке нестандартных пакетов.
Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженных и блокированных нестандартных пакетов.
[no] logging firewall screen suspicious-packets <PACKET_TYPE>
< PACKET_TYPE> – тип нестандартных пакетов, принимает значения:
Подробное описание защиты от нестандартных пакетов приведено в разделе Управление защитой от сетевых атак.
Отключено.
15
CONFIG
esr(config)# logging firewall screen suspicious-packets icmp-fragment |
Данная команда позволяет просматривать статистику по обнаруженным сетевым атакам.
show ip firewall screens counters
Команда не содержит параметров.
10
ROOT
esr# show ip firewall screens counters DDoS: Destination limit screen: -- Source limit screen: -- ICMP threshold screen: 1 UDP threshold screen: -- SYN flood screen: 0 Land attack screen: 1 Winnuke attack screen: -- Suspicious packets: ICMP fragmented screen: -- UDP fragmented screen: -- Large ICMP screen: 4 Fragmented SYN screen: -- Unknown protocol screen: -- Fragmented IP screen: -- Spying: Port scanning screen: -- IP sweep secreen: -- SYN-FIN screen: -- TCP all flags screen: -- FIN no ACK screen: -- TCP no flags screen: -- Spoofing screen: -- ICMP types: ICMP reserved screen: -- ICMP quench screen: -- ICMP echo request screen: -- ICMP time exceeded screen: -- ICMP unreachable screen: -- |