概述
本文档中说明 RTX820、RTX1200 和 RTX800中支持的非法访问检测功能(IDS)。IDS为Intrusion Detection System的缩写。
下图为非法访问检测功能的定位。

非法访问检测功能运行的时间为收到数据包之后、进行NAT的接收方处理之前。
检测的攻击的种类
用此功能可检测的攻击如下表所示。※符号的攻击必须抛弃,与是否抛弃的设置无关。
种类 | 名称 | 判断条件 | |
---|---|---|---|
IP头 | Unknown IP protocol | protocol字段为101以上时 | |
Land attack | 起始IP地址和结束IP地址相同时 | ※ | |
Short IP header | IP头的长度比length字段的长度短时 | ※ | |
Malformed IP packet | length字段与实际的数据包长度不同时 | ※ | |
IP选项头 | Malformed IP opt | 选项头的结构错误时 | ※ |
Security IP opt | 接收到Security and handling restriction header时 | ||
Loose routing IP opt | 接收到Loose source routing header时 | ||
Record route IP opt | 接收到Record route header时 | ||
Stream ID IP opt | 接收到Stream identifier header时 | ||
Strict routing IP opt | 接收到Strict source routing header时 | ||
Timestamp IP opt | 接收到Internet timestamp header时 | ||
片段 | Fragment storm | 接收到大量的片段时 | ※ |
Large fragment offset | 片段的offset字段较大时 | ||
Too many fragment | 片段的分割数较多时 | ||
Teardrop | 受到teardrop等工具的攻击时 | ※ | |
Same fragment offset | 片段的offset字段的值重复时 | ※ | |
Invalid fragment | 接收到其他的不可重汇编的片段时 | ※ | |
ICMP | ICMP source quench | 接收到source quench时 | |
ICMP timestamp req | 接收到timestamp request时 | ||
ICMP timestamp reply | 接收到timestamp reply时 | ||
ICMP info request | 接收到information request时 | ||
ICMP info reply | 接收到information reply时 | ||
ICMP mask request | 接收到address mask request时 | ||
ICMP mask reply | 接收到address mask reply时 | ||
ICMP too large | 接收到1025字节以上的ICMP时 | ||
UDP | UDP short header | UDP的length字段的值小于8时 | ※ |
UDP bomb | UDP头的length字段的值太大时 | ※ | |
TCP | TCP no bits set | 标记中未设任何内容时 | |
TCP SYN and FIN | SYN和FIN同时设置时 | ||
TCP FIN and no ACK | 接收到没有ACK的FIN时 | ||
FTP | FTP improper port | 用PORT或PASV命令指定的端口号码不在1024~65535范围内时 | |
Winny | Winny version 2 | 发现Winny version 2的连接时 |
设置
GUI
虽然能够在每个接口改变设置,但是,典型的使用方法是仅在WAN的接口进行设置。
可以根据上表的每个种类改变是否检测的设置。例如,能够设置为检测IP头的攻击,不检测IP选项头的攻击。同样,也可以根据每个种类设置抛弃或者通过攻击。
实际的设置页面如下图所示。

命令
如果是命令,设置ip INTERFACE intrusion detection命令。
[格式]
[设置值]
- INTERFACE ... LAN接口名称
- DIRECTION ... 观察的数据包/连接的方向
- in ... 接收方向
- out ... 发送方向
- TYPE ... 观察的数据包/连接的种类
- ip-header ... IP头
- ip-option ... IP选项头
- fragment ... 片段
- icmp ... ICMP
- udp ... UDP
- tcp ... TCP
- ftp ... FTP
- winny ... Winny
- default ... 未设定的全部项目
- SWITCH
- on ... 检测
- off ... 不检测
- OPTION
- reject=on ... 抛弃非法数据包
- reject=off ... 不抛弃非法数据包
[说明]
在指定的接口中,检测指定方向的数据包或连接的异常。省略TYPE参数时,则为关于整个侵入检测功能的设置。
[初始值]
- SWITCH:
- 不指定TYPE时 ... off
- 指定TYPE时 ... on
- REJECT: off
确认动作的方法
为了查看非法访问检测功能的动作,显示非法访问检测的报表。报表位于GUI菜单的[IDS统计]中。
在此页面中可以看到过去检测出的非法访问的统计。实际的显示范例如下图所示。

图:非法访问检测功能的统计报表范例
检测出的非法访问的结果也输出至info级别的Syslog。Syslog的格式如下所示: