见招拆招,三招教你如何确定攻击类型?

安全 终端安全
当大量用户或固定某个端口下的所有用户出现下述现象时,可以先通过如下定位手段分析是否为攻击问题。

当设备遭受攻击时,通常伴随着如下现象:

  • 用户无法获取ARP;
  • 设备CPU占用率高;
  • 用户上线成功率较低;
  • 用户无法访问网络;
  • 严重时可能导致设备上所有用户都无法正常访问网络。

当大量用户或固定某个端口下的所有用户出现上述现象时,可以先通过如下定位手段分析是否为攻击问题。

步骤1

在任意视图下执行命令display cpu-usage查看设备CPU占用率的统计信息,CPU Usage表示的是CPU占用率,TaskName表示的是设备当前正在运行的任务名称。

<HUAWEI> display cpu-usage
CPU Usage Stat. Cycle: 60 (Second)
CPU Usage : 78% Max: 94%
CPU Usage Stat. Time : 2017-06-19 15:18:54
CPU utilization for five seconds: 11%: one minute: 11%: five minutes: 11%
Max CPU Usage Stat. Time : 2017-06-06 14:57:05.

TaskName CPU Runtime(CPU Tick High/Tick Low) Task Explanation
VIDL 22% e/eb7733fe DOPRA IDLE
OS 8% 1/57529fff Operation System
bcmRX 20% 0/ 17a14c bcmRX
FTS 20% 0/ ff707 FTS
SOCK 20% 0/ 26ac89 SOCKPacket sched
ule and process
VPR 0% 0/ 16e3600 VPR VP Receive
……

如果CPU占用率持续较高,并且bcmRX、FTS、SOCK或者VPR任务的CPU占用率高于其他任务(bcmRX、FTS、SOCK、VPR指的是报文接收和发送类任务,通常协议报文攻击会导致这些任务的CPU占用率过高),则较大可能是收到的报文过多,接下来需要执行步骤2继续判断设备收到的报文类型。

一般情况下,交换机长时间运行时CPU占用率不超过80%,短时间内CPU占用率不超过95%,可认为交换机状态是正常的。

步骤2

首先在用户视图下执行命令reset cpu-defend statistics all清除上送CPU的报文统计计数,然后在任意视图下执行命令display cpu-defend statistics all查看Drop(Packet/Byte)字段,判断是否存在过多CPU来不及处理而丢弃的协议报文。

该命令可以查看多次,比如1秒执行一次,查看多次执行的结果。如果Drop(Packet/Byte)字段的计数增加很快(比如间隔1秒钟丢弃上百个),接下来需要查看现网设备是否放大了相关协议的CPCAR值。

执行命令display cpu-defend policy policy-name查看防攻击策略列表信息(此处以arp-miss协议报文为例),下述回显中的Car packet-type arp-miss : CIR(256) CBS(48128)说明arp-miss协议的CPCAR值放大到了256。

<HUAWEI> display cpu-defend policy test 
Related slot : <0,mcu>
Configuration :
Car packet-type arp-miss : CIR(256) CBS(48128)

如果回显如下所示,说明没有放大协议报文的CPCAR值。

<HUAWEI> display cpu-defend policy test 
Related slot : <0>
Configuration :

如果现网设备放大了CPCAR值,请评估现网业务是否需要放大CPCAR值,如果确实需要放大,请考虑进行扩容或者更换设备。如果不需要放大CPCAR值,请根据业务需求调小CPCAR值。调整CPCAR不当将会影响网络业务,如果需要调整CPCAR,建议联系技术支持人员处理。

如果没有调整CPCAR值,就基本可以确定现网存在攻击。根据丢包的协议,采用相关防攻击措施。

<HUAWEI> display cpu-defend statistics all
Statistics on mainboard:
--------------------------------------------------------------------------------
Packet Type Pass(Packet/Byte) Drop(Packet/Byte) Last-dropping-time
--------------------------------------------------------------------------------
arp-mff 0 0 -
0 0
arp-miss 0 0 -
0 0
arp-reply 0 0 -
0 0
arp-request 8423 1284 2017-05-10 14:23:10
......

V200R003版本以及之后版本支持端口防攻击功能,缺省情况下,端口防攻击功能是默认使能的,端口防攻击支持防范的报文类型为ARP Request、ARP Reply、DHCP、ICMP、IGMP和IP分片报文。

支持端口防攻击功能后,如果端口上发生了攻击,通过display cpu-defend statistics all命令中是查看不到arp-reply、arp-request、dhcp、icmp、igmp有Drop计数的,所以对于V200R003版本以及之后版本,还需要继续执行步骤3进一步确认丢包协议。

步骤3

首先在诊断视图下执行命令reset auto-port-defend statistics清除端口防攻击报文统计信息,然后在诊断视图中执行命令display auto-port-defend statistics [ slot slot-id ] 查看Drop(Packet/Byte)字段的增长情况。

该命令可以查看多次,比如1秒执行一次,查看多次执行的结果。如果Drop(Packet/Byte)字段的计数增加很快(比如间隔1秒钟丢弃上百个),基本可以确定现网受到攻击。

[HUAWEI-diagnose] display auto-port-defend statistics  
Statistics on MPU:
--------------------------------------------------------------------------------
Protocol Vlan Queue Cir(Kbps) Pass(Packet/Byte) Drop(Packet/Byte)
--------------------------------------------------------------------------------
arp-request NA 2 256 0 0
NA NA
arp-reply NA 2 256 0 0
NA NA
dhcp NA 2 1024 0 0
NA NA
igmp NA 2 768 0 0
NA NA
icmp NA 2 256 23095 3
NA NA
--------------------------------------------------------------------------------

对于历史上曾经触发过端口防攻击也可以通过日志来确定。日志格式如下,其中AttackProtocol表示的是攻击报文的协议类型。

SECE/4/PORT_ATTACK_OCCUR:Auto port-defend started.(SourceAttackInterface=[STRING], AttackProtocol=[STRING])
SECE/6/PORT_ATTACK_END:Auto port-defend stop.(SourceAttackInterface=[STRING], AttackProtocol=[STRING]
责任编辑:赵宁宁 来源: 网络工程师阿龙
相关推荐

2009-10-19 13:57:39

2015-04-18 20:52:28

安全运维

2021-02-05 15:54:30

AI

2011-07-12 22:05:42

喷墨打印机技巧

2018-06-14 09:53:07

移动端优化苏宁

2022-11-16 09:27:58

flexbox左右布局均分布局

2021-07-02 15:43:58

服务器中毒黑客攻击

2009-08-13 17:25:16

2016-10-11 17:29:56

2011-11-30 15:30:50

360手机防盗

2010-12-08 11:46:34

职场

2019-01-08 08:14:42

2021-06-09 10:50:38

OneDNS微步在线

2022-02-09 08:03:26

安全企业SOC

2017-05-18 15:30:29

2019-06-25 08:04:32

TCPIP网络故障

2018-05-12 16:26:17

互联网VPC子网

2015-08-18 09:02:37

2021-10-22 08:57:39

僵尸网络IoTDDoS攻击
点赞
收藏

51CTO技术栈公众号