No relevant resource is found in the selected language.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Large quantity of gateways are offline due to the default signaling attack defense threshold is set too small

Publication Date:  2012-08-09 Views:  351 Downloads:  0
Issue Description
At 10:00 a.m. on May 18, 2011, some UEs attached to the MG connected to the SE2600 went off and the call service failed. At 10:25 a.m., after the SE2600 restarted and the signaling attack defense function was disabled, the SE2600 
recovered.
Alarm Information
ALM-3502 H.248 signaling flood attack
Description
This alarm is generated when the transmission rate of H.248 signaling packets exceeds the upper threshold.
Handling Process
The default signaling attack defense threshold is set too small. It is recommended to disable the signaling attack defense function.
Perform the following steps to disable the signaling attack defense function:
1, Enter the system view.
<SE2600>system-view
[SE2600] 
2, Enter the function entity view.
[SE2600]sbc function-entity 1 //The value 1 is the ID of the function entity.
[SE2600-function-entity-1]undo sbc defend signaling-flood enable
Note: View the number of function entities and disable all of them.
3, Save the configurations.
[SE2600-function-entity-1]quit
[SE2600] quit
<SE2600>save  //Save the configurations.
Root Cause
1, System Log Analysis
Log information shows that the SE2600 is in the signaling attack defense state when the problem occurs. If the rate for signaling packets from specific addresses is greater than the default threshold, the SE2600 will consider the signaling 
packets abnormal and enable the signaling attack defense function.
Defense: Overlimit ! Check Point: per-user h248, IP: 10.145.130.75, Port: 2944
May 18 2011 09:57:15 WZ-NZ-SE2600 %%01SBC-DEFEND/4/(l):-Slot=3,Cpu=0,Thread=11; 
Defense: Resume ! Check Point: per-user h248, IP: 10.23.211.4, Port: 2944
May 18 2011 09:57:17 WZ-NZ-SE2600 %%01SBC-DEFEND/4/(l):-Slot=3,Cpu=0,Thread=6; 
May 18 2011 09:57:17 WZ-NZ-SE2600 %%01SBC-DEFEND/4/(l):-Slot=3,Cpu=0,Thread=6; 
Defense: Overlimit ! Check Point: per-user h248, IP: 10.145.130.75, Port: 2944
May 18 2011 09:57:18 WZ-NZ-SE2600 %%01SBC-DEFEND/4/(l):-Slot=3,Cpu=0,Thread=11; 
Defense: Overlimit ! Check Point: per-user h248, IP: 10.23.211.4, Port: 2944
May 18 2011 09:57:19 WZ-NZ-SE2600 %%01SBC-DEFEND/4/(l):-Slot=3,Cpu=0,Thread=6; 
Defense: Resume ! Check Point: per-user h248, IP: 10.145.130.75, Port: 2944
Defense Overlimit indicates that the SE2600 is in the attack defense state. After checking that the per-user signaling rate is greater than the threshold, the SE2600 regards the behavior as a signaling attack and enables the signaling attack defense function. IP: 10.145.130.75 is the source address of the signaling packets which are 
considered abnormal by the SE2600.
2, Cause Analysis
The signaling attack defense function helps the SE2600 defend against malicious users' attacks. When the number of signaling packets originating from a specific address exceeds a preset value (the per-user maximum allowable signaling rate is 32 pps), the SE260 will The SE2600 also checks the total signaling rate. If the total signaling rate exceeds the threshold, the SE2600 will enable the signaling attack defense function and 
restrict the forwarding of signaling packets. When the problem occurred on May 18, 2011, traffic was heavy and the total signaling rate exceeded the threshold (the default threshold is 600 pps). Therefore, the SE2600 entered the signaling 
attack defense status and some packets originating from normal users were also discarded.
The following information is signaling attack defense statistics collected in remote mode when the problem occurs:
[WZ-NZ-SE2600]dis sbc defend signaling-flood state function-entity 1 
State: Attack
Side       UsrCnt     ReceivedPkts        DropedPkts          Speed(pps)
--------------------------------------------------------------------------------
Access     0          2163157            128537            1876
--------------------------------------------------------------------------------
In the preceding information, State is displayed as Attack, indicating that the SE2600 is in the signaling attack defense state. DropdPkts is displayed as 128537, indicating that the signaling attack defense function has been enabled and 
some packets are lost.
Suggestions
Presently, the default signaling attack defense threshold is too small. The restriction on the number of IP addresses + ports will affect the PON or MG attached with many UEs with the same source IP address + port and some UEs will go 
offline.
In later versions, the SE2600 will identify this type of UE when defending against signaling attacks and judge the number of UEs attached to the PON or MG, and dynamically modify the signaling attack defense threshold.

END