Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show services stateful-firewall statistics

구문

설명

스테이트풀 방화벽 통계를 표시합니다.

옵션

none

모든 스테이트풀 방화벽 통계에 대한 표준 정보를 표시합니다.

brief | detail | extensive | summary

(선택 사항) 지정된 출력 수준을 표시합니다.

interface interface-name

(선택 사항) 특정 인터페이스에 대한 정보를 표시합니다. M 시리즈 및 T 시리즈 라우터에서 은 interface-name 또는 rspnumber일 수 있습니다ms-fpc/pic/port .

service-set service-set

(선택 사항) 특정 서비스 세트에 대한 정보를 표시합니다.

필요한 권한 수준

보기

출력 필드

표 1 에는 명령의 출력 필드가 나열되어 있습니다 show services stateful-firewall statistics . 출력 필드는 나타나는 대략적인 순서대로 나열됩니다.

표 1: 서비스 스테이트풀 방화벽 통계 출력 필드 표시

필드 이름

필드 설명

Interface

적응형 서비스 인터페이스의 이름입니다.

Service set

서비스 세트의 이름입니다.

New flows

새 흐름에 대한 규칙 일치 카운터:

  • Rule Accepts- 새 흐름이 수락되었습니다.

  • Rule Discards- 새 흐름이 삭제됩니다.

  • Rule Rejects- 새 흐름이 거부되었습니다.

Existing flow types packet counters

기존 흐름에 대한 규칙 일치 카운터:

  • Accepts- 기존 전달 또는 감시 흐름을 일치시킵니다.

  • Drop- 기존 폐기 흐름과 일치합니다.

  • Rejects- 기존 거부 플로우를 일치시킵니다.

Hairpinning Counters

헤어핀 카운터:

  • Slow Path Hairpinned Packets- 내부 네트워크에 다시 헤어핀된 느린 경로 패킷입니다.

  • Fast Path Hairpinned Packets- 내부 네트워크로 다시 헤어핀된 빠른 경로 패킷입니다.

Drops

드롭 카운터:

  • IP option- IP 옵션 처리 중 손실된 패킷입니다.

  • TCP SYN defense- SYN Defender에 의해 삭제된 패킷.

  • NAT ports exhausted- 숨기기 모드. 라우터에 지정된 주소 또는 풀에 사용할 수 있는 NAT(네트워크 주소 변환) 포트가 없습니다.

  • Sessions dropped due to subscriber flow limit—가입자의 플로우 제한을 초과했기 때문에 세션이 중단되었습니다.

Errors

프로토콜별로 분류된 총 오류:

  • IP- 총 IP 버전 4 오류입니다.

  • TCP- TCP(Total Transmission Control Protocol) 오류입니다.

  • UDP- 총 사용자 데이터그램 프로토콜(UDP) 오류입니다.

  • ICMP- 전체 ICMP(Internet Control Message Protocol) 오류입니다.

  • Non-IP packets- 총 비 IPv4 오류.

  • ALG—총 ALG(Application-Level Gateway) 오류

IP Errors

IPv4 오류:

  • IP packet length inconsistencies—IP 패킷 길이가 레이어 2에서 보고된 길이와 일치하지 않습니다.

  • Minimum IP header length check failures- 최소 IP 헤더 길이는 20바이트입니다. 수신된 패킷에는 20바이트 미만이 포함됩니다.

  • Reassembled packet exceeds maximum IP length- 부분 리어셈블리 후 리어셈블된 IP 패킷 길이가 65,535를 초과합니다.

  • Illegal source address 0- 소스 주소가 유효한 주소가 아닙니다. 유효하지 않은 주소는, 루프백, 브로드캐스트, 멀티캐스트 및 예약된 주소입니다. 그러나 소스 주소 0는 BOOTP 및 대상 주소를 지원할 수 있습니다 0xffffffff.

  • Illegal destination address0- 대상 주소가 올바른 주소가 아닙니다.  주소는 예약되어 있습니다.

  • TTL zero errors- 수신된 패킷의 TTL(Time-to-Live) 값은 0입니다.

  • Illegal IP protocol number (0 or 255)- IP 프로토콜은 0 또는 255입니다.

  • Land attack- IP 소스 주소는 대상 주소와 동일합니다.

  • Non-IPv4 packets- 패킷이 IPv4가 아닙니다. (IPv4만 지원됩니다.)

  • Bad checksum- 패킷에 잘못된 IP 체크섬이 있습니다.

  • Illegal IP fragment length- 잘못된 조각 길이입니다. 모든 프래그먼트(마지막 프래그먼트 제외)의 길이는 8바이트의 배수여야 합니다.

  • IP fragment overlap- 조각에 겹치는 조각 오프셋이 있습니다.

  • IP fragment reassembly timeout- IP 패킷의 일부 조각이 제때 수신되지 않았고 리어셈블리 처리기가 부분 조각을 삭제했습니다.

  • IP fragment limit exceeded: 0- 제한을 초과한 조각입니다.

  • Unknown: 0- 알 수 없는 조각.

TCP Errors

TCP 프로토콜 오류:

  • TCP header length inconsistencies- 최소 TCP 헤더 길이는 20바이트이며 수신된 IP 패킷에는 최소 20바이트가 포함되어 있지 않습니다.

  • Source or destination port number is zero- TCP 소스 또는 대상 포트는 0입니다.

  • Illegal sequence number and flags combinations — 잘못된 시퀀스 번호와 같은 TCP 오류로 인해 삭제되며, 이로 인해 플래그의 비논리적인 조합이 설정됩니다.

  • SYN attack (multiple SYN messages seen for the same flow)- 동일한 플로우에 대해 수신된 여러 SYN 패킷은 SYN 공격으로 처리됩니다. 패킷은 SYN 패킷으로 재전송되어 유효할 수 있지만 개수가 많으면 문제가 됩니다.

  • First packet not a SYN message- 연결의 첫 번째 패킷은 SYN 패킷이 아닙니다. 이러한 패킷은 이전 연결 또는 ACK/FIN 스캔을 수행하는 사람으로부터 생성될 수 있습니다.

  • TCP port scan (TCP handshake, RST seen from server for SYN)- SYN Defender의 경우 SYN/ACK 메시지 대신 RST(재설정) 패킷이 수신되면 누군가 서버 스캔을 시도하고 있을 수 있습니다. RST 패킷이 침입 탐지 서비스(IDS)와 결합되지 않은 경우 이 동작으로 인해 잘못된 경보가 발생할 수 있습니다.

  • Bad SYN cookie response—SYN 쿠키는 들어오는 모든 SYN 패킷에 대해 SYN/ACK 메시지를 생성합니다. SYN/ACK 메시지에 대해 수신된 ACK가 일치하지 않으면 이 카운터가 증가합니다.

  • TCP reconstructor sequence number error- 이 카운터는 다음과 같은 경우에 증가합니다.

    TCP seqno는 0이고 모든 TCP 플래그도 0입니다.

    TCP seqno는 0이고 FIN/PSH/URG TCP 플래그가 설정되어 있습니다.

  • TCP reconstructor retransmissions- 이 카운터는 연결 3방향 핸드셰이크 중에 재전송된 패킷에 대해 증가합니다.

  • TCP partially opened connection timeout (SYN)—이 카운터는 SYN Defender가 활성화되고 SYN Defender 시간 초과 내에 3방향 핸드셰이크가 완료되지 않을 때 증가합니다. 연결이 닫히고 응답자에게 RST를 전송하여 리소스가 해제됩니다.

  • TCP partially opened connection timeout (SYN-ACK)—이 카운터는 SYN Defender가 활성화되고 SYN Defender 시간 초과 내에 3방향 핸드셰이크가 완료되지 않을 때 증가합니다. 연결이 닫히고 응답자에게 RST를 전송하여 리소스가 해제됩니다.

  • TCP partially closed connection reuse- 지원되지 않습니다.

  • TCP 3-way error - client sent SYN+ACK- SYN을 수신할 때 서버에서 SYN/ACK를 보내야 합니다. 이 카운터는 개시자로부터 받은 첫 번째 메시지가 SYN+ACK일 때 증가합니다.

  • TCP 3-way error - server sent ACK- 서버에서 SYN/ACK를 수신할 때 클라이언트가 ACK를 전송해야 합니다. 이 카운터는 클라이언트 대신 서버에서 ACK를 받을 때 증가합니다.

  • TCP 3-way error - SYN seq number retransmission mismatch- 이 카운터는 첫 번째 SYN 시퀀스 번호와 다른 시퀀스 번호로 SYN을 다시 수신할 때 증가합니다.

  • TCP 3-way error - RST seq number mismatch- 어느 쪽에서든 재설정을 수신할 수 있습니다. 서버는 SYN을 수신할 때 RST를 보내거나 클라이언트는 SYN/ACK를 수신할 때 RST를 보낼 수 있습니다. 이 카운터는 시퀀스 번호가 일치하지 않는 클라이언트 또는 서버로부터 RST를 받으면 증가합니다.

  • TCP 3-way error - FIN received- 이 카운터는 3방향 핸드셰이크 중에 FIN이 수신되면 증가합니다.

  • TCP 3-way error - invalid flags (PSH, URG, ECE, CWR)- 이 카운터는 3방향 핸드셰이크 중에 PSH, URG, ECE 또는 CWR 플래그가 수신되면 증가합니다.

  • TCP 3-way error - SYN recvd but no client flows- 이 카운터는 연결 개시자가 아닌 SYN을 수신할 때 증가합니다. SYN이 양방향으로 수신될 때 동시 개방의 경우 카운터가 증가하지 않습니다.

  • TCP 3-way error - first packet SYN+ACK- 수신된 첫 번째 패킷은 SYN 대신 SYN+ACK였습니다.

  • TCP 3-way error - first packet FIN+ACK- 수신된 첫 번째 패킷은 SYN 대신 FIN+ACK였습니다.

  • TCP 3-way error - first packet FIN- 수신된 첫 번째 패킷은 SYN이 아닌 FIN이었습니다.

  • TCP 3-way error - first packet RST- 수신된 첫 번째 패킷은 SYN이 아닌 RST였습니다.

  • TCP 3-way error - first packet ACK- 수신된 첫 번째 패킷은 SYN 대신 ACK였습니다.

  • TCP 3-way error - first packet invalid flags (PSH, URG, ECE, CWR)- 수신된 첫 번째 패킷에 잘못된 플래그가 있습니다.

  • TCP Close error - no final ACK- 이 카운터는 FIN이 양방향에서 수신된 후 ACK가 수신되지 않을 때 증가합니다.

  • TCP Resumed Flow- 일반 ACK는 규칙 일치가 허용하는 경우 플로우를 생성하며, 이러한 플로우는 TCP 재개 플로우로 분류됩니다. 이 카운터는 TCP 재개 흐름의 경우 증가합니다.

UDP Errors

UDP 프로토콜 오류:

  • IP data length less than minimum UDP header length (8 bytes)- 최소 UDP 헤더 길이는 8바이트입니다. 수신된 IP 패킷은 8바이트 미만을 포함합니다.

  • Source or destination port is zero- UDP 소스 또는 대상 포트는 입니다 0.

  • UDP port scan (ICMP error seen for UDP flow)- UDP 흐름에 대해 ICMP 오류가 수신됩니다. 이는 진정한 UDP 흐름일 수 있지만 오류로 간주됩니다.

ICMP Errors

ICMP 프로토콜 오류:

  • IP data length less than minimum ICMP header length (8 bytes)- ICMP 헤더 길이는 8바이트입니다. 이 카운터는 수신된 IP 패킷이 8바이트 미만을 포함할 때 증가합니다.

  • ICMP error length inconsistencies- ICMP 오류 패킷의 최소 길이는 48바이트이며, 최대 길이는 576바이트입니다. 이 카운터는 수신된 ICMP 오류가 이 범위를 벗어나면 증가합니다.

  • Duplicate ping sequence number- 수신된 ping 패킷에 중복된 시퀀스 번호가 있습니다.

  • Mismatched ping sequence number- 수신된 ping 패킷의 시퀀스 번호가 일치하지 않습니다.

  • No matching flow- ICMP 오류에 대해 일치하는 기존 플로우를 찾을 수 없습니다.

ALG errors

ALG 컨텍스트에서 별도로 계산된 모든 ALG(Application-Level Gateway Protocol) 드롭의 누적:

  • BOOTP—부트스트랩 프로토콜 오류

  • DCE-RPC—분산 컴퓨팅 환경-원격 프로시저 호출 프로토콜 오류

  • DCE-RPC portmap—분산 컴퓨팅 환경-원격 프로시저 호출 프로토콜 포트맵 서비스 오류

  • DNS—DNS(Domain Name System) 프로토콜 오류

  • Exec- 실행 오류

  • FTP—파일 전송 프로토콜 오류

  • H323—H.323 표준 오류

  • ICMP—인터넷 제어 메시지 프로토콜 오류

  • IIOP—인터넷 Inter-ORB 프로토콜 오류

  • Login—로그인 오류

  • NetBIOS—NetBIOS 오류

  • Netshow- NetShow 오류

  • Real Audio—RealAudio 오류

  • RPC—원격 프로시저 호출 프로토콜 오류

  • RPC portmap—원격 프로시저 호출 프로토콜 포트 맵 서비스 오류

  • RTSP—실시간 스트리밍 프로토콜 오류

  • Shell- 셸 오류

  • SIP—Session Initiation Protocol 오류

  • SNMP—SNMP(Simple Network Management Protocol) 오류

  • SQLNet—SQLNet 오류

  • TFTP—Trivial File Transfer Protocol 오류

  • Traceroute—경로 추적 오류

Drop Flows

  • Maximum Ingress Drop flows allowed-–허용되는 최대 수신 흐름 드롭 수입니다.

  • Maximum Egress Drop flows allowed-–허용되는 최대 송신 플로우 드롭 수입니다.

  • Current Ingress Drop flows-–현재 수신 흐름 드롭 수입니다.

  • Current Egress Drop flows-–현재 송신 흐름 삭제 수입니다.

  • Ingress Drop Flow limit drops count-–최대 유입 흐름 강하 수를 초과하여 유입 흐름이 강하되는 횟수.

  • Egress Drop Flow limit drops count-–최대 송신 플로우 삭제 수를 초과하여 발생하는 송신 플로우 삭제 수입니다.

샘플 출력

show services stateful-firewall statistics extensive

릴리스 정보

Junos OS 릴리스 7.4 전에 소개된 명령입니다.