Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

show services stateful-firewall statistics

構文

説明

ステートフルファイアウォールの統計情報を表示します。

オプション

none

すべてのステートフルファイアウォール統計情報の標準情報を表示します。
brief | detail | extensive | summary

(オプション)指定された出力レベルを表示します。
interface interface-name

(オプション)特定のインターフェイスに関する情報を表示します。M シリーズおよび T シリーズ ルーターでは、 interface-namems-fpc/pic/port または rspnumberになります。

service-set service-set

(オプション)特定のサービス セットに関する情報を表示します。

必要な権限レベル

ビュー

出力フィールド

表 1 に、このコマンドの出力フィールド show services stateful-firewall statistics を示します。出力フィールドは、表示されるおおよその順序に従って示しています。

表1:show services stateful-firewall統計情報出力フィールド

フィールド名

フィールドの説明

Interface

適応サービスインターフェースの名前。

Service set

サービス セットの名前。

New flows

新しいフローのルール一致カウンター:

  • Rule Accepts- 新しいフローが受け入れられました。

  • Rule Discards- 新しいフローは破棄されます。

  • Rule Rejects- 新しいフローが拒否されました。

Existing flow types packet counters

既存のフローのルール一致カウンター:

  • Accepts- 既存のフォワードフローまたはウォッチフローに一致させます。

  • Drop- 既存の破棄フローに一致します。

  • Rejects- 既存の拒否フローに一致します。

Hairpinning Counters

ヘアピニングカウンター:

  • Slow Path Hairpinned Packets- 内部ネットワークに戻されたスローパスパケット。

  • Fast Path Hairpinned Packets- 内部ネットワークにヘアピンで戻された高速パス パケット。

Drops

ドロップ カウンター:

  • IP option- IP オプション処理でドロップされたパケット。

  • TCP SYN defense- SYN 防御側によってドロップされたパケット。

  • NAT ports exhausted- 非表示モード。ルーターには、指定されたアドレスまたはプールに対して使用可能なネットワーク アドレス変換(NAT)ポートがありません。

  • Sessions dropped due to subscriber flow limit- サブスクライバのフロー制限を超えたため、セッションがドロップされました。

Errors

プロトコル別に分類されたエラー総数:

  • IP- IP バージョン 4 エラーの合計。

  • TCP- 総伝送制御プロトコル(TCP)エラー。

  • UDP- 合計ユーザ データグラム プロトコル(UDP)エラーの合計。

  • ICMP- ICMP(インターネット制御メッセージ プロトコル)エラーの合計。

  • Non-IP packets- IPv4 以外のエラーの合計。

  • ALG- アプリケーションレベルゲートウェイ(ALG)エラーの合計

IP Errors

IPv4エラー:

  • IP packet length inconsistencies- IP パケットの長さが、レイヤー 2 で報告された長さと一致しません。

  • Minimum IP header length check failures- 最小 IP ヘッダー長は 20 バイトです。受信したパケットに含まれるバイトが 20 バイト未満です。

  • Reassembled packet exceeds maximum IP length- フラグメント再構築後、再構築されたIPパケット長が65,535を超えます。

  • Illegal source address 0- 送信元アドレスが有効なアドレスではありません。無効なアドレスは、ループバック、ブロードキャスト、マルチキャスト、および予約済みアドレスです。ただし、送信元アドレス 0は BOOTP と宛先アドレス 0xffffffffをサポートすることができます。

  • Illegal destination address0- 宛先アドレスが有効なアドレスではありません。 アドレスは予約されています。  

  • TTL zero errors- 受信パケットのTTL(Time-to-live)値が 0 でした。

  • Illegal IP protocol number (0 or 255)- IP プロトコルは 0 または 255 です。

  • Land attack- IP 送信元アドレスは宛先アドレスと同じです。

  • Non-IPv4 packets- パケットは IPv4 ではありませんでした。(IPv4 のみがサポートされています)。

  • Bad checksum- パケットのIPチェックサムが無効です。

  • Illegal IP fragment length- フラグメントの長さが不正です。すべてのフラグメント(最後のフラグメントを除く)の長さは、8バイトの倍数でなければなりません。

  • IP fragment overlap- フラグメントのフラグメントオフセットが重複しています。

  • IP fragment reassembly timeout- IP パケットのフラグメントの一部が時間内に受信されず、再構成ハンドラーが部分的なフラグメントを削除しました。

  • IP fragment limit exceeded: 0- 制限を超えたフラグメント。

  • Unknown: 0- 不明なフラグメント。

TCP Errors

TCPプロトコルエラー:

  • TCP header length inconsistencies- 最小 TCP ヘッダー長は 20 バイトで、受信した IP パケットに 20 バイト以上が含まれていません。

  • Source or destination port number is zero- TCP 送信元または宛先ポートがゼロです。

  • Illegal sequence number and flags combinations — シーケンス番号が不正であるなど、TCP エラーが原因でドロップされ、フラグの非論理的な組み合わせが設定されます。

  • SYN attack (multiple SYN messages seen for the same flow)- 同じフローに対して複数の SYN パケットを受信した場合は、SYN 攻撃として扱われます。パケットは再送信された SYN パケットであるため有効である可能性がありますが、数が多いと懸念が生じます。

  • First packet not a SYN message- 接続の最初のパケットは SYN パケットではありません。これらのパケットは、以前の接続から送信された場合もあれば、ACK/FINスキャンを実行しているユーザーから送信された場合もあります。

  • TCP port scan (TCP handshake, RST seen from server for SYN)- SYN 防御者の場合、SYN/ACK メッセージの代わりに RST(リセット)パケットを受信した場合、誰かがサーバーをスキャンしようとしている可能性があります。この動作により、RST パケットが侵入検出サービス(IDS)と組み合わされていない場合、誤ったアラームが発生する可能性があります。

  • Bad SYN cookie response- SYN クッキーは、すべての着信 SYN パケットに対して SYN/ACK メッセージを生成します。SYN/ACK メッセージに対して受信した ACK が一致しない場合、このカウンタはインクリメントされます。

  • TCP reconstructor sequence number error- このカウンタは、以下の場合に増分されます。

    TCP シーケンスは 0 で、すべての TCP フラグも 0 です。

    TCP シーケンス番号は 0 で、FIN/PSH/URG TCP フラグが設定されています。

  • TCP reconstructor retransmissions- このカウンタは、接続 3 ウェイ ハンドシェイク中に再送信されたパケットに対して増加します。

  • TCP partially opened connection timeout (SYN)- このカウンタは、SYN ディフェンダーが有効になっていて、3 ウェイ ハンドシェイクが SYN DEFENDER タイムアウト内に完了しない場合にインクリメントされます。接続が閉じられ、RST をレスポンダーに送信することでリソースが解放されます。

  • TCP partially opened connection timeout (SYN-ACK)- このカウンタは、SYN ディフェンダーが有効になっていて、3 ウェイ ハンドシェイクが SYN DEFENDER タイムアウト内に完了しない場合にインクリメントされます。接続が閉じられ、RST をレスポンダーに送信することでリソースが解放されます。

  • TCP partially closed connection reuse- サポートされていません。

  • TCP 3-way error - client sent SYN+ACK- SYN/ACK は、SYN の受信時にサーバから送信される必要があります。このカウンターは、イニシエーターから受信した最初のメッセージが SYN+ACK の場合にインクリメントされます。

  • TCP 3-way error - server sent ACK- ACK は、サーバーから SYN/ACK を受信すると、クライアントによって送信される必要があります。このカウンターは、クライアントからではなくサーバーから ACK を受信するとインクリメントされます。

  • TCP 3-way error - SYN seq number retransmission mismatch- このカウンタは、最初の SYN シーケンス番号とは異なるシーケンス番号で SYN を再度受信すると増加します。

  • TCP 3-way error - RST seq number mismatch- どちらの側からでもリセットを受信できました。サーバーは SYN の受信時に RST を送信することも、クライアントが SYN/ACK の受信時に RST を送信することもできます。このカウンタは、シーケンス番号が一致しないクライアントまたはサーバから RST を受信するとインクリメントされます。

  • TCP 3-way error - FIN received- このカウンタは、3 ウェイ ハンドシェイク中に FIN を受信すると増加します。

  • TCP 3-way error - invalid flags (PSH, URG, ECE, CWR)- このカウンタは、3 ウェイ ハンドシェイク中に PSH、URG、ECE、または CWR フラグのいずれかを受信したときにインクリメントされます。

  • TCP 3-way error - SYN recvd but no client flows- このカウンタは、SYN を受信したときに増加しますが、接続イニシエータからは受信されません。同時オープンの場合、SYNが両方向で受信された場合、カウンタはインクリメントされません。

  • TCP 3-way error - first packet SYN+ACK—最初に受信したパケットは、SYNではなくSYN+ACKでした。

  • TCP 3-way error - first packet FIN+ACK- 最初に受信したパケットは、SYNではなくFIN+ACKでした。

  • TCP 3-way error - first packet FIN- 最初に受信したパケットは SYN ではなく FIN でした。

  • TCP 3-way error - first packet RST- 最初に受信したパケットは SYN ではなく RST でした。

  • TCP 3-way error - first packet ACK- 最初に受信したパケットは SYN ではなく ACK でした。

  • TCP 3-way error - first packet invalid flags (PSH, URG, ECE, CWR)- 最初に受信したパケットに無効なフラグがありました。

  • TCP Close error - no final ACK- このカウンタは、FINが両方向から受信された後、ACKが受信されない場合に増加します。

  • TCP Resumed Flow- ルールの一致が許せばプレーン ACK はフローを作成し、これらは TCP 再開フローとして分類されます。このカウンタは、TCP 再開フローの場合はインクリメントされます。

UDP Errors

UDPプロトコルエラー:

  • IP data length less than minimum UDP header length (8 bytes)- 最小 UDP ヘッダー長は 8 バイトです。受信した IP パケットに含まれるバイトは 8 バイト未満です。

  • Source or destination port is zero- UDP 送信元または宛先ポートは 0です。

  • UDP port scan (ICMP error seen for UDP flow)- UDP フローで ICMP エラーを受信しました。これは本物のUDPフローである可能性がありますが、エラーとしてカウントされます。

ICMP Errors

ICMPプロトコルエラー:

  • IP data length less than minimum ICMP header length (8 bytes)- ICMP ヘッダー長は 8 バイトです。このカウンタは、受信した IP パケットに含まれるバイトが 8 バイト未満の場合に増加します。

  • ICMP error length inconsistencies- ICMP エラー パケットの最小長は 48 バイト、最大長は 576 バイトです。このカウンタは、受信した ICMP エラーがこの範囲外になると増加します。

  • Duplicate ping sequence number- 受信した ping パケットのシーケンス番号が重複しています。

  • Mismatched ping sequence number- 受信した ping パケットのシーケンス番号が一致しません。

  • No matching flow- ICMP エラーに一致する既存のフローが見つかりませんでした。

ALG errors

すべてのアプリケーションレベルゲートウェイプロトコル(ALG)ドロップの累積は、ALGコンテキストで個別にカウントされます。

  • BOOTP- ブートストラッププロトコルエラー

  • DCE-RPC—分散コンピューティング環境-リモートプロシージャコールプロトコルエラー

  • DCE-RPC portmap—分散コンピューティング環境-リモートプロシージャコールプロトコルポートマップサービスエラー

  • DNS- ドメイン ネーム システムのプロトコル エラー

  • Exec- 実行エラー

  • FTP- ファイル転送プロトコルのエラー

  • H323—H.323 標準エラー

  • ICMP- インターネット制御メッセージ プロトコル エラー

  • IIOP- インターネットORB間プロトコルエラー

  • Login- ログインエラー

  • NetBIOS- NetBIOS エラー

  • Netshow- NetShowのエラー

  • Real Audio- リアルオーディオエラー

  • RPC- リモート プロシージャ コールのプロトコル エラー

  • RPC portmap- リモート プロシージャ コール プロトコル ポートマップ サービスのエラー

  • RTSP- リアルタイム ストリーミング プロトコルのエラー

  • Shell—シェルエラー

  • SIP- セッション開始プロトコルのエラー

  • SNMP- 簡易ネットワーク管理プロトコルのエラー

  • SQLNet- SQLNet エラー

  • TFTP- トリビアル・ファイル転送プロトコル・エラー

  • Traceroute- トレースルートエラー

Drop Flows

  • Maximum Ingress Drop flows allowed-–許可されるイングレスフロードロップの最大数。

  • Maximum Egress Drop flows allowed-–許可されるエグレス フロー ドロップの最大数。

  • Current Ingress Drop flows-- 現在のイングレス フロー ドロップの数。

  • Current Egress Drop flows-- 現在のエグレス フロー ドロップの数。

  • Ingress Drop Flow limit drops count-–イングレスフロードロップの最大数を超えたため、イングレスフロードロップの数。

  • Egress Drop Flow limit drops count-–エグレス フロー ドロップの最大数を超えたため、エグレス フロー ドロップの数。

サンプル出力

show services stateful-firewall statistics(拡張)

リリース情報

Junos OSリリース7.4より前に導入されたコマンド。

関連ドキュメント