MA5200G由于ARP攻击导致设备CPU占用率比较高和用户掉线

发布时间:  2012-07-26 浏览次数:  93 下载次数:  0
问题描述
      组网为NE40--MA5200G--S3026C
某局点MA5200G出现用户不能上网的故障,同时网管不能采集到该局点MA5200G的信息。故障于40分钟后自动恢复,恢复后登入到设备上发现有radius计费服务器中断告警,设备受攻击告警,并且有大量用户计费失败告警。MA5200G上层设备NE40上没有任何告警信息,故障时NE40ping不通MA5200G,但是能ping通S3026C。
告警信息
      %Jun  8 12:15:12 2006 HZCTT_XiaoShan_MA5200G AAA/5/NormalAcct-RTFail:  hz1357106322@hzcrc
  NormalAcct-RTFail
%Jun  8 12:15:12 2006 HZCTT_XiaoShan_MA5200G AAA/5/NormalAcct-RTFail:  HZCTT_X02001000000312974f8112071
  NormalAcct-RTFail
%Jun  8 12:15:44 2006 HZCTT_XiaoShan_MA5200G AAA/5/NormalAcct-RTFail:  hz1158038233@hzcrc
  NormalAcct-RTFail
%Jun  8 12:15:44 2006 HZCTT_XiaoShan_MA5200G AAA/5/NormalAcct-RTFail:  HZCTT_X0200100000032518146c02699
  NormalAcct-RTFail
%Jun  8 12:16:52 2006 HZCTT_XiaoShan_MA5200G AAA/5/NormalAcct-RTFail:  hz1257104339@hzcrc
  NormalAcct-RTFail
%Jun  8 12:16:52 2006 HZCTT_XiaoShan_MA5200G AAA/5/NormalAcct-RTFail:  HZCTT_X0200100000032684da2917158
  NormalAcct-RTFail
%Jun  8 12:17:00 2006 HZCTT_XiaoShan_MA5200G AAA/5/NormalAcct-RTFail:  56125677@hzcrc
  NormalAcct-RTFail
%Jun  8 12:17:00 2006 HZCTT_XiaoShan_MA5200G AAA/5/NormalAcct-RTFail:  HZCTT_X02001000000338d4ab8d17932
  NormalAcct-RTFail
处理过程
1、怀疑是下行设备用户攻击造成MA5200G CPU高,无法及时处理用户计费报文,导致用户下线。
2、在MA5200G的下行设备S3026C上查看端口流量,发现E0/1端口输入流量比较大。
3、对于该端口做镜像抓包,发现很多异常报文,报文内容为ARP请求,源地址为192.168.1.3,目的地址为192.168.1.1~192.168.1.255,每秒钟该用户都会发起255个ARP请求,由于192.168.1.x,这个地址并不是合法的用户地址和网管地址,所以肯定是该用户对设备发起攻击。ARP报文需要上送CPU处理,MA5200G在短时间内收到大量的(10M)ARP请求报文的时候CPU会忙于处理这些报文而无法正常响应其他需要上送CPU处理的报文,如NE40向MA5200G发送的ICMP请求报文,但是对于NE40向MA5200G下挂的S3026C发送的ICMP报文,MA5200G不需要上送CPU处理而只需直接转发,所以NE40向S3026C发送的ICMP报文得到了响应。
3、修改MA5200G的默认用户侧host-car为128K后,故障消除。
      
根因
VLAN host-car 默认值比较大,当有环路或攻击时送到 CPU 处理的报文太多导致MA5200G CPU 占用率高,用户掉线或无法上网。
      
建议与总结
      MA5200G 目前默认每个端口同一 VLAN host-car (限制用户到主机的报文 CAR )为1 M,这个默认值比较大,在网络有环路或攻击的时候,仍然会造成设备 CPU 占用率比较高导致用户掉线或无法上线等问题。如果同一端口同一 VLAN 下的用户数少于200,可以将 vlan host-car 修改为128 k;如果同一 VLAN 下用户数更多,每增加200, vlan host-car 增加128 k。简单计算为:同一 VLAN 用户数除以200后进位取整×128 k。修改命令为:
[MA5200G]host-car 0 128 1024

END