病毒攻击导致路由器CPU占用率100%

发布时间:  2012-07-26 浏览次数:  177 下载次数:  0
问题描述
路由器CPU占用率100%,用户上网速度很慢。

告警信息


处理过程

定义ACL过滤规则:
acl number 3001
rule  deny tcp source any destination any destination-port eq 445
rule  deny udp source any destination any destination-port eq 445
分别在路由器的上行口和下行口应用:
interface eth 0/0
firewall pacaket-filter 3001 inbound
interface eth 0/1
firewall pacaket-filter 3001 inbound
路由器的CPU占用率降至正常范围内。



 


根因

用display ip fast-forwarding命令查看快速转发表,发现大量445端口数据报文:
561:0   172.16.76.165  3816  172.16.133.107   445   6  Ethernet0  Ethernet0  1
561:1   172.16.76.168  1239   172.16.95.206   445   6  Ethernet0  Ethernet0  1
561:2   172.16.76.165  4879   172.16.144.48   445   6  Ethernet0  Ethernet0  1
561:3   172.16.76.165  3029  172.16.166.237   445   6  Ethernet0  Ethernet0  1
病毒经常利用该端口进行扫描和攻击。


建议与总结

路由器上应该配置防病毒ACL。路由器CPU高,很多时候都是病毒攻击导致。对于做了NAT转换的设备,我们可以用display nat transation命令来查看NAT的具体条目,找出有规律的IP地址和端口,然后封掉此端口;对于没有做NAT的设备,我们可以用display ip fast-forwarding命令来查看端口的快速转发表,同样找出大量具有相同特性的报文进行过滤。


END