小说阅读网免费小说,我欲封天txt下载,小说阅读网免费小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

見招拆招，三招教你如何確定攻擊類型？

當(dāng)設(shè)備遭受攻擊時，通常伴隨著如下現(xiàn)象：

站在用戶的角度思考問題，與客戶深入溝通，找到建寧網(wǎng)站設(shè)計(jì)與建寧網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗(yàn)好的作品，建站類型包括：成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、國際域名空間、網(wǎng)絡(luò)空間、企業(yè)郵箱。業(yè)務(wù)覆蓋建寧地區(qū)。

用戶無法獲取ARP；
設(shè)備CPU占用率高；
用戶上線成功率較低；
用戶無法訪問網(wǎng)絡(luò)；
嚴(yán)重時可能導(dǎo)致設(shè)備上所有用戶都無法正常訪問網(wǎng)絡(luò)。

當(dāng)大量用戶或固定某個端口下的所有用戶出現(xiàn)上述現(xiàn)象時，可以先通過如下定位手段分析是否為攻擊問題。

步驟1

在任意視圖下執(zhí)行命令display cpu-usage查看設(shè)備CPU占用率的統(tǒng)計(jì)信息，CPU Usage表示的是CPU占用率，TaskName表示的是設(shè)備當(dāng)前正在運(yùn)行的任務(wù)名稱。

 display cpu-usage
CPU Usage Stat. Cycle: 60 (Second)
CPU Usage            : 78% Max: 94% 
CPU Usage Stat. Time : 2017-06-19  15:18:54 
CPU utilization for five seconds: 11%: one minute: 11%: five minutes: 11%       
Max CPU Usage Stat. Time : 2017-06-06 14:57:05.  

TaskName        CPU  Runtime(CPU Tick High/Tick Low)  Task Explanation          
VIDL                 22%         e/eb7733fe       DOPRA IDLE
OS                    8%         1/57529fff       Operation System
bcmRX                20%         0/  17a14c       bcmRX
FTS                  20%         0/   ff707       FTS
SOCK                 20%         0/  26ac89       SOCKPacket sched
                                                  ule and process
VPR                   0%         0/ 16e3600       VPR VP Receive
……

如果CPU占用率持續(xù)較高，并且bcmRX、FTS、SOCK或者VPR任務(wù)的CPU占用率高于其他任務(wù)（bcmRX、FTS、SOCK、VPR指的是報(bào)文接收和發(fā)送類任務(wù)，通常協(xié)議報(bào)文攻擊會導(dǎo)致這些任務(wù)的CPU占用率過高），則較大可能是收到的報(bào)文過多，接下來需要執(zhí)行步驟2繼續(xù)判斷設(shè)備收到的報(bào)文類型。

一般情況下，交換機(jī)長時間運(yùn)行時CPU占用率不超過80%，短時間內(nèi)CPU占用率不超過95%，可認(rèn)為交換機(jī)狀態(tài)是正常的。

步驟2

首先在用戶視圖下執(zhí)行命令reset cpu-defend statistics all清除上送CPU的報(bào)文統(tǒng)計(jì)計(jì)數(shù)，然后在任意視圖下執(zhí)行命令display cpu-defend statistics all查看Drop(Packet/Byte)字段，判斷是否存在過多CPU來不及處理而丟棄的協(xié)議報(bào)文。

該命令可以查看多次，比如1秒執(zhí)行一次，查看多次執(zhí)行的結(jié)果。如果Drop(Packet/Byte)字段的計(jì)數(shù)增加很快（比如間隔1秒鐘丟棄上百個），接下來需要查看現(xiàn)網(wǎng)設(shè)備是否放大了相關(guān)協(xié)議的CPCAR值。

執(zhí)行命令display cpu-defend policy policy-name查看防攻擊策略列表信息（此處以arp-miss協(xié)議報(bào)文為例），下述回顯中的Car packet-type arp-miss : CIR(256) CBS(48128)說明arp-miss協(xié)議的CPCAR值放大到了256。

 display cpu-defend policy test 
 Related slot : <0,mcu> 
 Configuration : 
   Car packet-type arp-miss : CIR(256)  CBS(48128)

如果回顯如下所示，說明沒有放大協(xié)議報(bào)文的CPCAR值。

 display cpu-defend policy test 
 Related slot : <0> 
 Configuration :

如果現(xiàn)網(wǎng)設(shè)備放大了CPCAR值，請?jiān)u估現(xiàn)網(wǎng)業(yè)務(wù)是否需要放大CPCAR值，如果確實(shí)需要放大，請考慮進(jìn)行擴(kuò)容或者更換設(shè)備。如果不需要放大CPCAR值，請根據(jù)業(yè)務(wù)需求調(diào)小CPCAR值。調(diào)整CPCAR不當(dāng)將會影響網(wǎng)絡(luò)業(yè)務(wù)，如果需要調(diào)整CPCAR，建議聯(lián)系技術(shù)支持人員處理。

如果沒有調(diào)整CPCAR值，就基本可以確定現(xiàn)網(wǎng)存在攻擊。根據(jù)丟包的協(xié)議，采用相關(guān)防攻擊措施。

 display cpu-defend statistics all
 Statistics on mainboard:
--------------------------------------------------------------------------------
Packet Type          Pass(Packet/Byte)   Drop(Packet/Byte)  Last-dropping-time
--------------------------------------------------------------------------------
arp-mff                              0                   0    -
                                     0                   0
arp-miss                             0                   0    -
                                     0                   0
arp-reply                            0                   0    -
                                     0                   0
arp-request                       8423                1284    2017-05-10 14:23:10
......

V200R003版本以及之后版本支持端口防攻擊功能，缺省情況下，端口防攻擊功能是默認(rèn)使能的，端口防攻擊支持防范的報(bào)文類型為ARP Request、ARP Reply、DHCP、ICMP、IGMP和IP分片報(bào)文。

支持端口防攻擊功能后，如果端口上發(fā)生了攻擊，通過display cpu-defend statistics all命令中是查看不到arp-reply、arp-request、dhcp、icmp、igmp有Drop計(jì)數(shù)的，所以對于V200R003版本以及之后版本，還需要繼續(xù)執(zhí)行步驟3進(jìn)一步確認(rèn)丟包協(xié)議。

步驟3

首先在診斷視圖下執(zhí)行命令reset auto-port-defend statistics清除端口防攻擊報(bào)文統(tǒng)計(jì)信息，然后在診斷視圖中執(zhí)行命令display auto-port-defend statistics [ slot slot-id ] 查看Drop(Packet/Byte)字段的增長情況。

該命令可以查看多次，比如1秒執(zhí)行一次，查看多次執(zhí)行的結(jié)果。如果Drop(Packet/Byte)字段的計(jì)數(shù)增加很快（比如間隔1秒鐘丟棄上百個），基本可以確定現(xiàn)網(wǎng)受到攻擊。

[HUAWEI-diagnose] display auto-port-defend statistics  
Statistics on MPU: 
--------------------------------------------------------------------------------
Protocol     Vlan Queue Cir(Kbps)  Pass(Packet/Byte)  Drop(Packet/Byte)         
--------------------------------------------------------------------------------
arp-request  NA   2     256        0                  0
                                   NA                 NA 
arp-reply    NA   2     256        0                  0 
                                   NA                 NA
dhcp         NA   2     1024       0                  0  
                                   NA                 NA  
igmp         NA   2     768        0                  0  
                                   NA                 NA  
icmp         NA   2     256        23095              3
                                   NA                 NA 
--------------------------------------------------------------------------------

對于歷史上曾經(jīng)觸發(fā)過端口防攻擊也可以通過日志來確定。日志格式如下，其中AttackProtocol表示的是攻擊報(bào)文的協(xié)議類型。

SECE/4/PORT_ATTACK_OCCUR:Auto port-defend started.(SourceAttackInterface=[STRING], AttackProtocol=[STRING])
SECE/6/PORT_ATTACK_END:Auto port-defend stop.(SourceAttackInterface=[STRING], AttackProtocol=[STRING]）

分享題目：見招拆招，三招教你如何確定攻擊類型？
標(biāo)題來源：http://m.fisionsoft.com.cn/article/dpdsgoj.html

新聞中心

步驟1

步驟2

步驟3

其他資訊