show security screen statistics
语法
show security screen statistics <zone zone-name | interface interface-name> logical-system <logical-system-name | all> root-logical-system tenant <tenant-name >
描述
显示入侵检测服务 (IDS) 安全屏幕统计信息。
选项
zone zone-name- 显示此安全区域的屏幕统计信息。interface interface-name- 此接口的显示屏统计信息。logical-system-name- 显示指定逻辑系统的屏幕统计信息。root-logical-system—(可选)仅显示主逻辑系统的屏幕统计信息。tenant- 显示租户系统的名称。
所需权限级别
视图
输出字段
表 1 列出了命令show security screen statistics 的输出字段。输出字段按其出现的大致顺序列出。
字段名称 |
字段说明 |
|---|---|
|
互联网控制信息协议 (ICMP) 泛滥计数器。当 ICMP 回显请求在响应时使用所有资源时,通常会发生 ICMP 泛洪,这样就无法再处理有效的网络流量。 |
|
用户数据报协议 (UDP) 泛洪计数器。当攻击者发送包含 UDP 数据报的 IP 数据包时,就会发生 UDP 泛洪,目的是降低资源速度,从而无法再处理有效连接。 |
|
传输控制协议 (TCP) WinNuke 攻击的数量。WinNuke 是一种拒绝服务 (DoS) 攻击,针对 Internet 上运行 Windows 的任何计算机。 |
|
TCP 端口扫描数。此攻击的目的是扫描可用服务,希望至少有一个端口会响应,从而识别目标服务。 |
|
ICMP 地址扫描次数。可能会进行 IP 地址扫描,目的是触发活动主机的响应。 |
|
泪滴攻击次数。泪滴攻击利用对分段 IP 数据包的重组。 |
|
TCP SYN 攻击数。 |
|
IP 欺骗的数量。如果在数据包标头中插入了无效的源地址,使数据包看起来好像来自受信任的源,就会发生 IP 欺骗。 |
|
ICMP ping 死亡计数器。当发送的 IP 数据包超过最大法定长度(65,535 字节)时,就会发生死亡 Ping。 |
|
IP 源路由攻击数。 |
|
TCP 地址扫描次数。 |
|
陆地攻击次数。当攻击者发送包含受害者的 IP 地址作为目标和源 IP 地址的欺骗性 SYN 数据包时,就会发生陆地攻击。 |
|
TCP SYN 片段数。 |
|
未设置标志的 TCP 标头数。正常的 TCP 分段报头至少设置了一个控制标志。 |
|
IP 数。 |
|
无效选项数。 |
|
启用了 IP 记录路由选项的数据包数。此选项记录沿 IP 数据包传输路径的网络设备的 IP 地址。 |
|
IP 时间戳选项攻击的次数。此选项记录每个网络设备在从始发点到目的地的行程中接收数据包的时间(以世界时为单位)。 |
|
IP 安全选项攻击的次数。 |
|
IP 松散源路由选项攻击的次数。此选项指定数据包在从源到目标的旅程中所采用的部分路由列表。 |
|
IP 严格源路由选项攻击的次数。此选项指定数据包在从源到目标的旅程中所采用的完整路由列表。 |
|
流选项攻击的次数。此选项提供了一种通过不支持流的网络传输 16 位 SATNET 流标识符的方法。 |
|
ICMP 片段数。由于 ICMP 数据包包含非常短的消息,因此没有正当理由对 ICMP 数据包进行分段。如果 ICMP 数据包太大,必须对其进行分段,则说明有问题。 |
|
大型 ICMP 数据包的数量。 |
|
TCP SYN FIN 数据包的数量。 |
|
不带确认 (ACK) 标志的 TCP FIN 标志数。 |
|
可从源 IP 地址发起的并发会话数。 |
|
使用 SYN-ACK-ACK 启用的 TCP 标志数。为防止 SYN-ACK-ACK 会话泛滥,可以启用 SYN-ACK-ACK 代理保护屏幕选项。来自同一 IP 地址的连接数达到 SYN-ACK-ACK 代理阈值后,运行 Junos OS 的 SRX 系列防火墙将拒绝来自该 IP 地址的进一步连接请求。 |
|
IP 块分段数。 |
|
可定向到单个目标 IP 地址的并发会话数。 |
|
UDP 地址扫描数。 |
|
为定义的 IPv6 扩展报头过滤的数据包数。 |
|
针对定义的 IPv6 逐跳选项类型过滤的数据包数。 |
|
针对定义的 IPv6 目标选项类型过滤的数据包数。 |
|
因超过定义的 IPv6 扩展报头限制而过滤的数据包数。 |
|
为入侵检测服务 (IDS) 定义的 IPv6 格式错误的标头数。 |
|
为 IDS 选项定义的 ICMPv6 格式错误的数据包数。 |
示例输出
显示安全屏幕统计信息区域 scrzone
user@host> show security screen statistics zone scrzone Screen statistics: IDS attack type Statistics ICMP flood 0 UDP flood 0 TCP winnuke 0 TCP port scan 91 ICMP address sweep 0 TCP sweep 0 UDP sweep 0 IP tear drop 0 TCP SYN flood 0 IP spoofing 0 ICMP ping of death 0 IP source route option 0 TCP land attack 0 TCP SYN fragment 0 TCP no flag 0 IP unknown protocol 0 IP bad options 0 IP record route option 0 IP timestamp option 0 IP security option 0 IP loose source route option 0 IP strict source route option 0 IP stream option 0 ICMP fragment 0 ICMP large packet 0 TCP SYN FIN 0 TCP FIN no ACK 0 Source session limit 0 TCP SYN-ACK-ACK proxy 0 IP block fragment 0 Destination session limit 0
示例输出
显示安全屏幕统计信息 区域不信任 (IPv6)
user@host>show security screen statistics zone untrust Screen statistics: IDS attack type Statistics ICMP flood 0 UDP flood 0 TCP winnuke 0 …… IPv6 extension header 0 IPv6 extension hop by hop option 0 IPv6 extension destination option 0 IPv6 extension header limit 0 IPv6 malformed header 0 ICMPv6 malformed packet 0
示例输出
显示安全屏幕统计信息接口 ge-0/0/3
user@host> show security screen statistics interface ge-0/0/3 Screen statistics: IDS attack type Statistics ICMP flood 0 UDP flood 0 TCP winnuke 0 TCP port scan 91 ICMP address sweep 0 TCP sweep 0 UDP sweep 0 IP tear drop 0 TCP SYN flood 0 IP spoofing 0 ICMP ping of death 0 IP source route option 0 TCP land attack 0 TCP SYN fragment 0 TCP no flag 0 IP unknown protocol 0 IP bad options 0 IP record route option 0 IP timestamp option 0 IP security option 0 IP loose source route option 0 IP strict source route option 0 IP stream option 0 ICMP fragment 0 ICMP large packet 0 TCP SYN FIN 0 TCP FIN no ACK 0 Source session limit 0 TCP SYN-ACK-ACK proxy 0 IP block fragment 0 Destination session limit 0
示例输出
显示安全屏幕统计信息接口 ge-0/0/1 (IPv6)
user@host> show security screen statistics interface ge-0/0/1 Screen statistics: IDS attack type Statistics ICMP flood 0 UDP flood 0 …… IPv6 extension header 0 IPv6 extension hop by hop option 0 IPv6 extension destination option 0 IPv6 extension header limit 0 IPv6 malformed header 0 ICMPv6 malformed packet 0
示例输出
显示安全屏幕统计信息 接口 ge-0/0/1 节点 主节点
user@host> show security screen statistics interface ge-0/0/1 node primary node0: -------------------------------------------------------------------------- Screen statistics: IDS attack type Statistics ICMP flood 1 UDP flood 1 TCP winnuke 1 TCP port scan 1 ICMP address sweep 1 TCP sweep 1 UDP sweep 1 IP tear drop 1 TCP SYN flood 1 IP spoofing 1 ICMP ping of death 1 IP source route option 1 TCP land attack 1 TCP SYN fragment 1 TCP no flag 1 IP unknown protocol 1 IP bad options 1 IP record route option 1 IP timestamp option 1 IP security option 1 IP loose source route option 1 IP strict source route option 1 IP stream option 1 ICMP fragment 1 ICMP large packet 1 TCP SYN FIN 1 TCP FIN no ACK 1 Source session limit 1 TCP SYN-ACK-ACK proxy 1 IP block fragment 1 Destination session limit 1
示例输出
显示安全屏幕统计信息 区域信任逻辑系统全部
user@host> show security screen statistics zone trust logical-system all
Logical system: root-logical-system
Screen statistics:
IDS attack type Statistics
ICMP flood 0
UDP flood 0
TCP winnuke 0
TCP port scan 0
ICMP address sweep 0
TCP sweep 0
UDP sweep 0
IP tear drop 0
TCP SYN flood 0
IP spoofing 0
ICMP ping of death 0
IP source route option 0
TCP land attack 0
TCP SYN fragment 0
TCP no flag 0
IP unknown protocol 0
IP bad options 0
IP record route option 0
IP timestamp option 0
IP security option 0
IP loose source route option 0
IP strict source route option 0
IP stream option 0
ICMP fragment 0
ICMP large packet 0
TCP SYN FIN 0
TCP FIN no ACK 0
Source session limit 0
TCP SYN-ACK-ACK proxy 0
IP block fragment 0
Destination session limit 0
Logical system: ls1
Screen statistics:
IDS attack type Statistics
ICMP flood 0
UDP flood 0
TCP winnuke 0
TCP port scan 0
ICMP address sweep 0
TCP sweep 0
UDP sweep 0
IP tear drop 0
TCP SYN flood 0
IP spoofing 0
ICMP ping of death 0
IP source route option 0
TCP land attack 0
TCP SYN fragment 0
TCP no flag 0
IP unknown protocol 0
IP bad options 0
IP record route option 0
IP timestamp option 0
IP security option 0
IP loose source route option 0
IP strict source route option 0
IP stream option 0
ICMP fragment 0
ICMP large packet 0
TCP SYN FIN 0
TCP FIN no ACK 0
Source session limit 0
TCP SYN-ACK-ACK proxy 0
IP block fragment 0
Destination session limit 0
Logical system: ls2
Screen statistics:
IDS attack type Statistics
ICMP flood 0
UDP flood 0
TCP winnuke 0
TCP port scan 0
ICMP address sweep 0
TCP sweep 0
UDP sweep 0
IP tear drop 0
TCP SYN flood 0
IP spoofing 0
ICMP ping of death 0
IP source route option 0
TCP land attack 0
TCP SYN fragment 0
TCP no flag 0
IP unknown protocol 0
IP bad options 0
IP record route option 0
IP timestamp option 0
IP security option 0
IP loose source route option 0
IP strict source route option 0
IP stream option 0
ICMP fragment 0
ICMP large packet 0
TCP SYN FIN 0
TCP FIN no ACK 0
Source session limit 0
TCP SYN-ACK-ACK proxy 0
IP block fragment 0
Destination session limit 0
显示安全屏幕统计信息 区域信任租户 TN1
user@host> show security screen statistics zone trust tenant TN1 Screen statistics: IDS attack type Statistics ICMP flood 0 UDP flood 0 TCP winnuke 0 TCP port scan 0 UDP port scan 0 ICMP address sweep 0 TCP sweep 0 UDP sweep 0 IP tear drop 0 TCP SYN flood 0 SYN flood source 0 SYN flood destination 0 IP spoofing 0 ICMP ping of death 0 IP source route option 0 TCP land attack 0 TCP SYN fragment 0 TCP no flag 0 IP unknown protocol 0 IP bad options 0 IP record route option 0 IP timestamp option 0 IP security option 0 IP loose source route option 0 IP strict source route option 0 IP stream option 0 ICMP fragment 0 ICMP large packet 0 TCP SYN FIN 0 TCP FIN no ACK 0 Source session limit 0 TCP SYN-ACK-ACK proxy 0 IP block fragment 0 Destination session limit 0 IPv6 extension header 0 IPv6 extension hop by hop option 0 IPv6 extension destination option 0 IPv6 extension header limit 0 IPv6 malformed header 0 ICMPv6 malformed packet 0 IP tunnel summary 0
显示安全屏幕统计信息区域 信任租户全部
user@host> show security screen statistics zone trust tenant all Logical system: root-logical-system creen statistics: IDS attack type Statistics ICMP flood 0 UDP flood 0 TCP winnuke 0 TCP port scan 0 UDP port scan 0 ICMP address sweep 0 TCP sweep 0 UDP sweep 0 IP tear drop 0 TCP SYN flood 0 SYN flood source 0 SYN flood destination 0 IP spoofing 0 ICMP ping of death 0 IP source route option 0 TCP land attack 0 TCP SYN fragment 0 TCP no flag 0 IP unknown protocol 0 IP bad options 0 IP record route option 0 IP timestamp option 0 IP security option 0 IP loose source route option 0 IP strict source route option 0 IP stream option 0 ICMP fragment 0 ICMP large packet 0 TCP SYN FIN 0 TCP FIN no ACK 0 Source session limit 0 TCP SYN-ACK-ACK proxy 0 IP block fragment 0 Destination session limit 0 IPv6 extension header 0 IPv6 extension hop by hop option 0 IPv6 extension destination option 0 IPv6 extension header limit 0 IPv6 malformed header 0 ICMPv6 malformed packet 0 IP tunnel summary 0 Tenant: TN1 Screen statistics: IDS attack type Statistics ICMP flood 0 UDP flood 0 TCP winnuke 0 TCP port scan 0 UDP port scan 0 ICMP address sweep 0 TCP sweep 0 UDP sweep 0 IP tear drop 0 TCP SYN flood 0 SYN flood source 0 SYN flood destination 0 IP spoofing 0 ICMP ping of death 0 IP source route option 0 TCP land attack 0 TCP SYN fragment 0 TCP no flag 0 IP unknown protocol 0 IP bad options 0 IP record route option 0 IP timestamp option 0 IP security option 0 IP loose source route option 0 IP strict source route option 0 IP stream option 0 ICMP fragment 0 ICMP large packet 0 TCP SYN FIN 0 TCP FIN no ACK 0 Source session limit 0 TCP SYN-ACK-ACK proxy 0 IP block fragment 0 Destination session limit 0 IPv6 extension header 0 IPv6 extension hop by hop option 0 IPv6 extension destination option 0 IPv6 extension header limit 0 IPv6 malformed header 0 ICMPv6 malformed packet 0 IP tunnel summary 0
发布信息
在 Junos OS 8.5 版中引入的命令。
node 在 Junos OS 9.0 版中添加的选项。
logical-system all在 Junos OS 11.2R6 版中添加的选项。
支持在 Junos OS 12.1X46-D10 版中添加的 IPv6 扩展头屏幕。
tenant该选项是在 Junos OS 18.3R1 版中引入的。