如何确定攻击类型
当设备遭受攻击时,通常伴随着如下现象:
- 用户无法获取ARP。
- 用户上线成功率较低。
- 用户无法访问网络。
- l严重时可能导致设备上所有用户都无法正常访问网络。
当大量用户或固定某个端口下的所有用户出现上述现象时,可以先通过如下定位手段分析是否为攻击问题。
步骤 1 执行命令display cpu-usage查看设备CPU占用率的统计信息,CPU Usage表示的是CPU占用率,TaskName表示的是设备当前正在运行的任务名称。
<HUAWEI> display cpu-usage
CPU Usage Stat. Cycle: 60 (Second)
CPU Usage : 11% Max: 94%
CPU Usage Stat. Time : 2017-06-19 15:18:54
CPU utilization for five seconds: 11%: one minute: 11%: five minutes: 11%
Max CPU Usage Stat. Time : 2017-06-06 14:57:05.
TaskName CPU Runtime(CPU Tick High/Tick Low) Task Explanation
VIDL 89% e/eb7733fe DOPRA IDLE
OS 8% 1/57529fff Operation System
bcmRX 20% 0/ 17a14c bcmRX
FTS 20% 0/ ff707 FTS
SOCK 20% 0/ 26ac89 SOCKPacket sched
ule and process
VPR 0% 0/ 16e3600 VPR VP Receive
如果CPU利用率持续较高,并且bcmRX、FTS、SOCK或者VPR任务过高(通常协议报文攻击会导致这些任务过高),则较大可能是收到的报文过多,接下来需要执行步骤2继续判断设备收到的报文类型。
步骤 2 执行命令display cpu-defend statistics all查看相关协议是否有CPCAR丢包、丢包是否多,并确认现网设备是否放大相关协议的CPCAR值。如果CPCAR存在大量丢包,就基本可以确认现网存在攻击,根据丢包的协议,采用相关防攻击措施。
<HUAWEI> display cpu-defend statistics all
Statistics on mainboard:
--------------------------------------------------------------------------------
Packet Type Pass(Packet/Byte) Drop(Packet/Byte) Last-dropping-time
--------------------------------------------------------------------------------
arp-mff 0 0 -
0 0
arp-miss 0 0 -
0 0
arp-reply 0 0 -
0 0
arp-request 8423 1284 2017-05-10 14:23:10
丢包协议以及相应的防攻击部署手段
