交换机产品S9300 CPU占用率高,telnet和consle口无法登陆

发布时间:  2013-12-27 浏览次数:  277 下载次数:  0
问题描述
局点反应S9300CPU占用率高,Telnet和Console口无法登录,设备打印大量telnet登陆失败的日志。
告警信息
局点反应S9300CPU占用率高,Telnet和Console口无法登录,设备打印大量telnet登陆失败的日志。
处理过程
1,配置黑名单限制telnet和ftp的接入,只允许特定IP接入。
[Quidway-acl-adv-3000]display this
#
acl number 3000
rule 5 permit tcp source 10.1.0.2 0 destination-port eq telnet
#

[Quidway-cpu-defend-policy-1]display this
#
cpu-defend policy 1
blacklist 1 acl 3000
#
return

[Quidway-slot-2]display this
#
slot 2
cpu-defend-policy 1
#
return
2、对于Telnet控制层面的安全,建议在user-interface vty接口下配置ACL,并使用AAA对Telnet用户进行权限控制
根因
1. 清除上送CPU的Telnet报文统计计数
< Quidway >reset cpu-defend statistics packet-type telnet all
2. 等待一段时间(1分钟),查看这段时间内上送CPU的Telnet数量
[Quidway]display cpu-defend statistics packet-type telnet slot 2
Statistics on slot 2:
----------------------------------------------------------------------
Packet Type         Pass(Bytes)  Drop(Bytes)   Pass(Packets)   Drop(Packets)
----------------------------------------------------------------------
Telnet              40800      3576800      600           52600----限速丢弃较多
----------------------------------------------------------------------
3. 查看通过和丢弃的报文数量,如果上送或丢弃的报文数量较大,则可认为是Telnet攻击
建议与总结
Telnet攻击是攻击者发送大量非法的Telnet请求到设备,使设备CPU一直忙于处理Telnet请求,并不断写入硬盘日志记录异常请求信息,无法处理其它业务,同时正常的Telnet请求无法被响应,导致设备托管。

END