Virus Attack Results in 100% Occupation Rate of CPU of Router

Publication Date:  2012-07-27 Views:  156 Downloads:  0
Issue Description
100% occupation rate of CPU of router slows down the access of users to network. 
Alarm Information
No
Handling Process
Define the ACL filtration rule: 
acl number 3001
rule  deny tcp source any destination any destination-port eq 445
rule  deny udp source any destination any destination-port eq 445
Apply the rules at the downlink and uplink ports of the router: 
interface eth 0/0
firewall pacaket-filter 3001 inbound
interface eth 0/1
firewall pacaket-filter 3001 inbound
The occupation rate of CPU of the router reduces to the normal range. 
Root Cause
Use display ip fast-forwarding command to check the fast forwarding table, and a great deal of packets from port-445 are found: 
561:0   172.16.76.165  3816  172.16.133.107   445   6  Ethernet0  Ethernet0  1
561:1   172.16.76.168  1239   172.16.95.206   445   6  Ethernet0  Ethernet0  1
561:2   172.16.76.165  4879   172.16.144.48   445   6  Ethernet0  Ethernet0  1
561:3   172.16.76.165  3029  172.16.166.237   445   6  Ethernet0  Ethernet0  1
Virus often use the port to attack equipments. 
Suggestions
The router should be configured with virus-proof ACL. High occupation rate of CPU of router is mainly resulted from virus attack. For equipment after NAT translation,  we could use "display nat transation" command to check the specific entries of NAT to find the regular IP address and port, and then disable the port; for the equipment without NAT translation, we could use "display ip fast-forwarding" command to check the fast forwarding table of the port, finding the packets with the same features for filtration. 

END