设备被攻击时,通常会伴随以下现象:用户无法获取ARP;设备CPU使用率高;用户在线成功率低;用户无法访问网络;严重时,设备上的所有用户可能无法正常访问网络。当某个端口下的大量用户或所有用户出现上述现象时,可以先通过以下定位方式分析是否是攻击问题。步骤1在任意视图下使用displaycpu-usage命令查看设备的CPU使用率统计信息。CPUUsage表示CPU使用率,TaskName表示设备当前运行的任务名称。displaycpu-usageCPU使用统计。周期:60(第二)CPU使用率:78%最大值:94%CPU使用率统计。时间:2017-06-1915:18:54CPU使用率五秒:11%:一分钟:11%:五分钟:11%MaxCPUUsageStat.时间:2017-06-0614:57:05。TaskNameCPURuntime(CPUTickHigh/TickLow)任务说明VIDL22%e/eb7733feDOPRAIDLEOS8%1/57529fffOperationSystembcmRX20%0/17a14cbcmRXFTS20%0/ff707FTSSOCK20%0/26ac89SOCKPacketscheduleuleandprocessVPR0%0/16e3600VPRVPReceive...如果CPU使用率持续偏高,且bcmRX、FTS、SOCK或VPR任务的CPU使用率高于其他任务(bcmRX、FTS、SOCK、VPR指的是包收发任务,通常协议包攻击会导致这些任务的CPU占用率过高),很可能是收到了太多的包,需要执行step2继续判断设备收到的报文类型。一般情况下,如果交换机长时间运行时CPU使用率不超过80%,短时间内CPU使用率不超过95%,则可以认为交换机状态正常。步骤2首先在用户视图下执行命令resetcpu-defendstatisticsall清除上送CPU的报文统计数,然后在任意视图下执行命令displaycpu-defendstatisticsall查看Drop(Packet/Byte)字段并判断其是否存在。由于太多CPU有时间处理而被丢弃的协议数据包。该命令可以多次查看,比如每秒一次,可以查看多次执行的结果。如果Drop(Packet/Byte)字段的计数快速增加(例如每1秒丢弃数百个数据包),则需要检查现网设备是否放大了相关协议的CPCAR值。使用displaycpu-defendpolicypolicy-name命令查看防攻击策略列表信息(这里以arp-miss协议报文为例),输出结果中Carpacket-typearp-miss:CIR(256)CBS(48128)显示arp-miss协议的CPCAR值被放大为256displaycpu-defendpolicytestRelatedslot:<0,mcu>Configuration:Carpacket-typearp-miss:CIR(256)CBS(48128)如果输出如下,说明协议包的CPCAR不是放大值。displaycpu-defendpolicytest相关槽位:<0>配置:如果现网设备的CPCAR值增加,请评估现网业务是否需要增加CPCAR值。如果需要提高CPCAR值,可以考虑扩容或更换设备。如果您不需要增加CPCAR值,请根据您的业务需求降低CPCAR值。CPCAR调整不当会影响网络服务。如需调整CPCAR,建议联系技术支持人员。如果不调整CPCAR值,基本可以确定现网存在攻击。根据丢包协议,采取相应的防攻击措施。displaycpu-defendstatisticsall主板统计:------------------------------------------------------------------------------PacketTypePass(Packet/Byte)Drop(Packet/Byte)Last-dropping-time-----------------------------------------------------------------------------------arp-mff00-00arp-miss00-00arp-reply00-00arp-request842312842017-05-1014:23:10......V200R003及之后版本支持端口防攻击功能。缺省情况下,端口防攻击功能默认开启。端口防攻击支持的报文类型有ARPRequest、ARPReply、DHCP、ICMP、IGMP、IP分片报文。支持端口防攻击功能后,如果端口受到攻击,通过displaycpu-defendstatisticsall命令看不到arp-reply、arp-request、dhcp、icmp、igmp的dropcounts。因此,对于V200R003及之后的版本,还需要继续执行步骤3进一步确认丢包协议。步骤3首先在诊断视图下执行resetauto-port-defendstatistics命令清除端口防攻击报文统计信息,然后在诊断视图下执行displayauto-port-defendstatistics[slotslot-id]查看Drop(Packet/Byte)字段增长。该命令可以多次查看,比如每秒一次,可以查看多次执行的结果。如果Drop(Packet/Byte)字段的计数快速增加(例如每1秒丢弃数百个数据包),则基本可以确定现网受到攻击。[HUAWEI-diagnosis]displayauto-port-defendstatistics主控板统计:------------------------------------------------------------------------------Vlan队列协议Cir(Kbps)传递(数据包/字节)丢弃(数据包/字节)--------------------------------------------------------------------------------arp-requestNA25600NANAarp-replyNA225600NANAdhcpNA2102400NANAigmpNA276800NANAicmpNA2256230953NANA---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------对于历史上触发过的端口防御攻击,也可以通过日志来确定日志格式,如下所示,其中AttackProtocol表示攻击报文的协议类型。SECE/4/PORT_ATTACK_OCCUR:自动端口防御开始。(SourceAttackInterface=[STRING],AttackProtocol=[STRING])SECE/6/PORT_ATTACK_END:自动端口防御停止。(SourceAttackInterface=[STRING],AttackProtocol=[STRING])
