华为9306交换机ICMP包攻击导致直连丢包但业务不受影响故障处理.pdf

1、华为9 3 0 6 交换机ICMP包攻击导致直连丢包但业务不受影响故障处理故报告故障现象描述与说明故障现象：Ping华为9 3 0 6 交换机的任何直连地址会丢包，经过交换机的业务数据不受影响。现状、拓扑与配置网络情况：华为9 3 0 3 交换机华为9 3 0 6 交换机故障现象及处理步骤一：1、在交换机9306-B上通过命令displaylogbuffer查看Apr23201214:25:16JM-SN5L-DCN-9306-2%01QOSE/4/CPCAR_DROP_LPU(l):SomepacketsaredroppedbycpcarontheLPUinslot1.(Protocol=i

2、cmp,Drop-Count=0529546)Apr23201214:25:16JM-SN5L-DCN-9306-2%01QOSE/4/CPCAR_DROP_MPU(l):SomepacketsaredroppedbycpcarontheMPU.(Protocol=icmp,Drop-Count=049663)Apr23201214:15:16JM-SN5L-DCN-9306-2%01QOSE/4/CPCAR_DROP_LPU(l):SomepacketsaredroppedbycpcarontheLPUinslot1.(Protocol=icmp,Drop-Count=0489843)Apr

3、23201214:15:16JM-SN5L-DCN-9306-2%01QOSE/4/CPCAR_DROP_MPU(l):SomepacketsaredroppedbycpcarontheMPU.(Protocol=icmp,Drop-Count=049826)Apr23201214:09:39JM-SN5L-DCN-9306-2%01HWCM/4/EXIT(l):Exitfromconfiguremode.Apr23201214:05:16JM-SN5L-DCN-9306-2%01QOSE/4/CPCAR_DROP_LPU(l):Somepacketsaredroppedbycpcaronth

4、eLPUinslot1.(Protocol=icmp,Drop-Count=0483657)大量的icmp包到达设备后由主引擎和slot1的CPCAR进行丢弃。2、在交换机9306-B上通过命令displaycpu-defendstatisticsall查看CPCARonmainboard-PacketType Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets)stp 0 0 0 0smart-link 0 0 0 0ldt 0 0 0 0lacp 0 0 0 0lldp 0 0 0 0dldp 0 0 0 0vrrp 0 0 0 0isis

5、 0 0 0 0igmp 0 0 0 0pim 0 0 0 0rip 0 0 0 0ospf 14060 0 132 0bgp 88257 0 1175 0mpls-rsvp 0 0 0 0mpls-ldp 0 0 0 0ttl-expired 0 0 0 0icmp 118941948 52491134 1828397 807336eoam-3ah 0 0 0 0mpls-ping 0 0 0 0mpls-ttl-expired 0 0 0 0ntp 0 0 0 0ripng 0 0 0 0ospfv3 0 0 0 0bgp4plus 0 0 0 0pimv6 0 0 0 0hotlimit

6、 0 0 0 0vrrp6 0 0 0 0mld 13130 0 135 0icmpv6 0 0 0 0telnet 800735 0 12506 0ssh 0 0 0 0ftp 0 0 0 0snmp 0 0 0 0radius 0 0 0 0hw-tacacs 0 0 0 0tcp 14052 0 198 0mpls-fib-hit 0 0 0 0fib-hit 0 0 0 0arp-miss 16302 0 207 0unknown-packet 0 0 0 0hopbyhop 0 0 0 0pppoe 0 0 0 0bpdu-tunnel 0 0 0 0rrpp 0 0 0 0udp-

7、helper 0 0 0 0-CPCARonslot1-PacketType Pass(Bytes) Drop(Bytes) Pass(Packets) Drop(Packets)arp-request 11968 0 176 0arp-reply 4420 0 66 0stp 0 0 0 0smart-link 0 0 0 0ldt 0 0 0 0lacp 0 0 0 0lldp 0 0 0 0dldp 0 0 0 0vrrp 0 0 0 0mpls-oam 0 0 0 0isis 0 0 0 0dhcp-client 0 0 0 0dhcp-server 0 0 0 0igmp 0 0 0

8、 0pim 0 0 0 0rip 0 0 0 0ospf 2122962 0 22963 0bgp 91561 0 1175 0bfd 0 0 0 0mpls-rsvp 0 0 0 0mpls-ldp 0 0 0 0ttl-expired 143622 0 1453 0icmp 180788146 622068196 2626569 9079349eoam-3ah 0 0 0 0eoam-1ag 0 0 0 0mpls-ping 0 0 0 0mpls-ttl-expired 0 0 0 0ntp 0 0 0 08021x 0 0 0 0http 0 0 0 0ripng 0 0 0 0osp

9、fv3 0 0 0 0bgp4plus 0 0 0 0pimv6 0 0 0 0hotlimit 0 0 0 0vrrp6 0 0 0 0dhcpv6-request 0 0 0 0dhcpv6-reply 0 0 0 0mld 13670 0 135 0icmpv6 0 0 0 0hvrp 0 0 0 0telnet 853955 136 12553 2ssh 0 0 0 0ftp 0 0 0 0snmp 0 0 0 0radius 0 0 0 0hw-tacacs 0 0 0 0tcp 13392 0 180 0mpls-fib-hit 0 0 0 0fib-hit 9000 0 90 0

10、arp-miss 17034 0 207 0unknown-packet 0 0 0 0unknown-multicast 13717348 0 166654 0hopbyhop 0 0 0 0pppoe 0 0 0 0bpdu-tunnel 0 0 0 0从上述很容易看出：大量的ICMP经交换机处理不过来从而丢弃。步骤二：在交换机9306上开启ICMP的debug信息找出具体的攻击源。通过在交换机上执行debuggingipicmp，发现从鹤山上来的主要有132.103.145.0/24、 132.103.146.0/24、132.103.147.0/24三个网段的源进行大量的icmp包。于

11、是建议客户要求鹤山本地关注这些网段的终端进行病毒扫描处理。步骤三：业务恢复（在交换机上针对上述的三个网段的ICMP包进行黑名单处理）aclnumber3100rule5permiticmpsource132.103.145.00.0.0.255rule10permiticmpsource132.103.147.00.0.0.255rule15permiticmpsource132.103.146.00.0.0.255#cpu-defendpolicy1blacklist1acl3100#slot1cpu-defend-policy1处理后，icmp处理恢复正常，直连ping 也不再丢包。并且观

12、察了一天后，也正常。因此，攻击源在鹤山本地。 处理过程信息LOG编号 文件名 说明1 LOG文件应包含设备的软件版本信息、硬件配置信息、处理过程日志等内容。根本原因分析1 、华为9 3 0 0 系列交换默认隐藏模式下有针对各种报文的QOS限速机制，当对应的报文超出设定的速率值时，由CPU-DEFENSE将后续的包进行丢弃，如ICMP，后续的包就表现为丢包现象。开启debug：debugging arpterminal monitorterminal debugging关 闭 debug：undo terminal debuggingundo terminal monitorundo debugging arp