show security idp counters tcp-reassembler
语法
show security idp counters tcp-reassembler <logical-system (logical-system-name | all)> <tenant tenant-name>
描述
显示所有 TCP 重组器计数器值的状态。
在启用了 IDP 的 SRX 系列防火墙上,如果为单个方向(服务器或客户端)配置 IDP 攻击,则相反方向的流量不需要处理 IDP。对于 TCP 流量,TCP 优化功能可确保对这些流的处理最少,而不会遇到重组错误。
选项
| none | 显示所有 TCP 重组器计数器值的状态。 |
| logical-system logical-system-name | (可选)显示特定逻辑系统的所有 TCP 重组器计数器值的状态。 |
| logical-system all | (可选)显示所有逻辑系统的所有 TCP 重组器计数器值的状态。 |
| tenant tenant-name | (可选)显示特定租户系统的所有 TCP 重组程序计数器值的状态。 |
所需权限级别
视图
输出字段
表 1 列出了命令show security idp counters tcp-reassembler 的输出字段。输出字段按其出现的大致顺序列出。
字段名称 |
字段说明 |
|---|---|
(不支持) |
TCP 校验和不正确的数据包数。 |
|
检测到的错误 TCP 标头数。 |
|
如果 TCP 分段未通过快速路径分段验证,则通过慢速路径发送的分段数。 |
|
在传递预定义的 TCP 验证序列后通过快速路径发送的分段数。 |
|
通过优化的重组过程从服务器发送到客户端的 TCP 段数。 |
|
通过优化的重组过程从服务器发送到客户端的 TCP 段数。 |
|
环绕序列号的数据包数。 |
|
重用已建立的 TCP 会话的会话数。 |
|
重新传输的 SYN 数据包数。 |
|
具有不正确的三次握手确认的数据包数(ACK 数据包)。 |
|
序列号不同步的数据包数。 |
|
具有快速路径模式匹配的排队数据包数。 |
|
不与旧区段重叠的新区段数。 |
|
与旧区段开头重叠的新区段数。 |
|
与旧区段完全重叠的新区段数。 |
|
旧细分中包含的新段数。 |
|
与旧段末尾重叠的新区段数。 |
|
旧区段结束后重叠的新区段数。 |
|
新段消耗的内存。 |
|
新分段消耗的峰值内存。 |
|
存储在内存中进行处理的段数。 |
|
达到每个流内存限制后丢弃的段数。 |
|
达到重组器全局内存限制后丢弃的段数。 |
|
由于内存溢出而丢弃的数据包数。 |
(不支持) |
在重组器中复制的数据包数。 |
|
在同一会话上未看到 SYN 时看到的 Ack 数据包数。 |
|
3 次握手期间从服务器收到的无效 ACK 数。 |
|
同时检测到的 syn 数据包数。 |
|
检测到的 C2S Syn/Ack 数据包数。 |
|
落在接收窗口左侧的段数。 |
|
落在接收窗口右侧的段数。 |
|
建立连接后看到的 Syn 数据包数。 |
|
建立连接后未看到 ACK 的数据包数。 |
|
看到的意外 FIN 数据包数。 |
|
具有不同 SEQ 编号的 Syn/Ack 数据包的数量。 |
示例输出
显示安全 IDP 计数器 TCP 重组器
user@host> show security idp counters tcp-reassembler IDP counters: IDP counter type Value Bad TCP checksums 0 Bad TCP headers 0 Slow path segments 90 Fast path segments 7099 Tcp Optimized s2c segments 0 Tcp Optimized c2s segments 0 Sequence number wrap around errors 0 Session reuses 0 SYN retransmissions 0 Bad three way handshake acknowledgements 0 Sequence number out of sync flows 0 Fast path pattern matches in queued up streams 0 New segments with no overlaps with old segment 0 New segment overlaps with beginning of old segment 0 New segment overlaps completely with old segment 0 New segment is contained in old segment 0 New segment overlaps with end of old segment 0 New segment begins after end of old segment 3 Memory consumed by new segment 0 Peak memory consumed by new segments 3821 Segments in memory 0 Per-flow memory overflows 0 Global memory overflows 0 Overflow drops 0 Copied packets 0 Closed Acks 3 Ack Validation failure 0 Simultanious syn 0 C2S synack 0 segment to left of receiver window 0 segment to right of receiver window 0 SYN seen in the window 0 ACK bit is off 0 Unexpected FIN 0 Duplicate Syn/Ack with different SEQ 0
显示安全 IDP 计数器 TCP-重组器逻辑系统 LSYS1
user@host> show security idp counters tcp-reassembler logical-system LSYS1 IDP counters: IDP counter type Value Bad TCP checksums 0 Bad TCP headers 0 Slow path segments 37 Fast path segments 27 Tcp Optimized s2c segments 0 Tcp Optimized c2s segments 0 Sequence number wrap around errors 0 Session reuses 0 SYN retransmissions 0 Bad three way handshake acknowledgements 0 Sequence number out of sync flows 0 Fast path pattern matches in queued up streams 0 New segments with no overlaps with old segment 0 New segment overlaps with beginning of old segment 0 New segment overlaps completely with old segment 0 New segment is contained in old segment 0 New segment overlaps with end of old segment 0 New segment begins after end of old segment 0 Memory consumed by new segment 0 Peak memory consumed by new segments 2021 Segments in memory 0 Per-flow memory overflows 0 Global memory overflows 0 Overflow drops 0 Overflow drops - missing packets 0 Copied packets 0 Closed Acks 0 Ack Validation failure 0 Simultanious syn 0 C2S synack 0 segment to left of receiver window 0 segment to right of receiver window 0 SYN seen in the window 0 ACK bit is off 0 Unexpected FIN 0 Duplicate Syn/Ack with different SEQ 0
发布信息
Junos OS 9.2 版中引入的命令。
logical-system Junos OS 18.3R1 版中引入的选项。
tenant Junos OS 19.2R1 版中引入的选项。