MA5200F受ICMP报文攻击,CPU利用率高

发布时间:  2012-07-26 浏览次数:  95 下载次数:  0
问题描述
组网情况:PC-->二层交换机-->MA5200F---GSR
MA5200F下挂3台S2403H交换机,MA5200F的CPU利用率高达80%,而且一直都居高不下,内存利用率正常。
      
告警信息

处理过程
1、查看了端口的流量,发现都不是很大。
2、查看了告警信息,没有关于ARP的告警。
3、查看ARP探测时间,30秒,正常。
4、查看use-host-car,为10K,正常。
5、查看各任务CPU占用率和TS模块统计,发现是SOCK任务占到了40%的CPU利用率,判断确实为报文攻击。
在MA5200F下挂的交换机上行口上抓包,发现有两个静态用户一直向其网关发送ICMP报文,该报文的数目占到总数的30%,把相应的用户删除后,MA5200F的CPU利用率降到20%,恢复正常。
如何查看各任务CPU占用率和TS模块统计,请看案例 SC0000151042 。
根因
1、端口流量大造成的。
2、是否ARP攻击,看有无ARP攻击告警。
3、ARP探测时间过短。
4、use-host-car设置过大。
5、受到其他的攻击。
建议与总结
查看各任务CPU占用率和TS模块统计,如果发行是SOCK任务很高,正常一般为2%,可以判断为攻击造成,可以通过抓包来发现攻击源。

END