TCP SYN FLOOD攻击导致AR46-40下挂用户上网速度变慢

发布时间:  2012-07-26 浏览次数:  114 下载次数:  0
问题描述

网吧使用AR46-40作为上行出口,下挂用户会不定时出现上网速度慢的情况。问题出现时,AR46-40设备CPU占用率高;网吧用户Ping外网地址丢包;AR46-40上行口有Resource Error计数增长;上行口流量最高达到约20Mbps,每秒收到3万多个包,而下行口流量很小。故障出现无时间规律,持续时间从1分钟到10分钟左右。


 

告警信息
上行口出现错包:
[hainayule-hidecmd]dis int eth 0/0/0                                            
Ethernet0/0/0 current state :UP                                                 
Line protocol current state :UP                                                 
Description : Ethernet0/0/0 Interface                                           
The Maximum Transmit Unit is 1500, Hold timer is 10(sec)                        
Internet Address is 58.X.X.14/30                                               
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc6a-b155 
Media type is twisted pair, loopback not set, promiscuous mode not set          
100Mb/s-speed mode, Full-duplex mode, link type is force link                   
Output flow-control is unsupported, input flow-control is unsupported           
Output queue : (Urgent queuing : Size/Length/Discards)  0/50/0                  
Output queue : (Protocol queuing : Size/Length/Discards) 0/500/0                
Output queue : (FIFO queuing : Size/Length/Discards)  0/75/0                    
Last clearing of counters: Never                                                
    Last 300 seconds input:  2016485.37 bytes/sec, 16131883 bits/sec, 30885.49 p
ackets/sec                                                                      
    Last 300 seconds output:  1871415.87 bytes/sec, 14971327 bits/sec, 30905.78 
packets/sec                                                                     
    Input: 180041481 packets, 3356183753 bytes                                  
           3368 broadcasts, 0 multicasts                                        
           3146 errors, 0 runts, 0 giants, 0 CRC,                               
           0 collisions, 0 late collisions, 0 overruns,                         
           0 jabbers, 0 input no buffers, 3146 Resource errors                  
           0 other errors                                                       
    Output:187402350 packets, 3582816128 bytes                                  
           0 errors, 0 late collisions,                                         
           0 underruns, 0 retransmit limits       
处理过程
抓包定位,发现是TCP SYN FLOOD攻击导致。在路由器上行链路上增加一台防火墙,在防火墙上增加防止DDOS攻击的配置。为了减少对网络的影响,防火墙采用透明模式接入,增加防火墙后问题解决。
根因
TCP SYN FLOOD攻击导致该问题。故障出现时,由于AR46-40每秒要响应3万多个TCP SYN请求,每一个SYN请求连接报文,都会从IP层收上来交给TCP层进行处理,且每一个TCP握手过程都不能完成。这样导致CPU占用率迅速升高。如果该攻击持续时间不长,TCP连接资源没有耗尽,业务不会中断,只是用户上网速度变慢。如果攻击持续时间较长,则会进一步耗尽设备的TCP连接资源,导致业务中断。
建议与总结
TCP SYN FLOOD攻击是一种常见的网络攻击,原理是利用TCP连接的建立需要经过三次握手的过程,伪造源地址创建许多SYN报文,在很短的时间内将特定目标的内存、CPU或其它资源消耗殆尽。这种攻击使得特定网络上的HTTP或FTP服务器保持大量的会话连接,从而让合法的用户不能访问相关资源。
由于TCP SYN FLOOD攻击的源地址和源端口均在不停变化,只有在网络中增加防火墙等专业的防病毒、防攻击网元才能有效防范。同时,网络病毒和攻击手段多样,变化很快;而网吧业务也最容易受到攻击。因此,建议在接入层设备上要做好防病毒、防攻击的相应配置,以确保业务安全。

END