内网服务器中毒导致USG6600下服务器ping网关丢包

发布时间:  2014-12-04 浏览次数:  518 下载次数:  0
问题描述
网络拓扑:

用户内网有很多服务器,S7706作为汇聚交换机,S7706上联USG6600,S7706和USG6600都是作为2层,服务器网关在出口路由器上。外网访问服务器很慢,然后用户从服务器ping公网,发现丢包;从服务器ping网关也丢包
告警信息
S7706发现攻击日志:
2014/12/2 16:56:10 Quidway %%01SECE/4/ARPMISS(l)[447]:发生了攻击.(攻击类型=Arp Miss 攻击,攻击源接口=GigabitEthernet3/0/46,攻击源地址=125.76.251.4,攻击报文个数=99报文/每秒)
2014/12/2 16:55:47 Quidway %%01IFPDT/4/IF_STATE(l)[448]:接口 GigabitEthernet3/0/12 状态变为 DOWN。
2014/12/2 16:55:05 Quidway %%01SECE/4/ARPMISS(l)[449]:发生了攻击.(攻击类型=Arp Miss 攻击,攻击源接口=GigabitEthernet3/0/46,攻击源地址=211.144.71.4,攻击报文个数=99报文/每秒)
2014/12/2 16:54:22 Quidway %%01SECE/4/ARPMISS(l)[450]:发生了攻击.(攻击类型=Arp Miss 攻击,攻击源接口=GigabitEthernet3/0/46,攻击源地址=113.105.244.4,攻击报文个数=98报文/每秒)
2014/12/2 16:53:27 Quidway %%01SECE/4/ARPMISS(l)[451]:发生了攻击.(攻击类型=Arp Miss 攻击,攻击源接口=GigabitEthernet3/0/46,攻击源地址=58.215.123.4,攻击报文个数=98报文/每秒)
2014/12/2 16:52:46 Quidway %%01SECE/4/ICMP_INTF_RATELIMIT(l)[452]:接口上的ICMP报文速率超过限制值(源接口=GigabitEthernet3/0/46, 报文阈值=100报文/每秒).
2014/12/2 16:52:46 Quidway %%01SECE/4/ICMP_GLOBAL_RATELIMIT(l)[453]:全局ICMP报文速率超过限制值(报文阈值=100报文/每秒).
2014/12/2 16:52:37 Quidway %%01SECE/4/ARPMISS(l)[454]:发生了攻击.(攻击类型=Arp Miss 攻击,攻击源接口=GigabitEthernet3/0/46,攻击源地址=124.95.170.4,攻击报文个数=98报文/每秒)
2014/12/2 16:52:08 Quidway %%01SECE/4/ARPMISS(l)[455]:发生了攻击.(攻击类型=Arp Miss 攻击,攻击源接口=GigabitEthernet3/0/46,攻击源地址=171.111.156.4,攻击报文个数=99报文/每秒)
2014/12/2 16:51:59 Quidway %%01SECE/4/ARPMISS(l)[456]:发生了攻击.(攻击类型=Arp Miss 攻击,攻击源接口=GigabitEthernet3/0/46,攻击源地址=111.13.13.202,攻击报文个数=98报文/每秒)
2014/12/2 16:50:51 Quidway %%01SECE/4/ARPMISS(l)[457]:发生了攻击.(攻击类型=Arp Miss 攻击,攻击源接口=GigabitEthernet3/0/46,攻击源地址=123.125.67.6,攻击报文个数=48报文/每秒)
2014/12/2 16:50:45 Quidway %%01SECE/4/ARPMISS(l)[458]:发生了攻击.(攻击类型=Arp Miss 攻击,攻击源接口=GigabitEthernet3/0/46,攻击源地址=59.53.69.4,攻击报文个数=97报文/每秒)
2014/12/2 16:49:41 Quidway %%01SECE/4/ARPMISS(l)[459]:发生了攻击.(攻击类型=Arp Miss 攻击,攻击源接口=GigabitEthernet3/0/46,攻击源地址=122.143.13.4,攻击报文个数=95报文/每秒)
处理过程
根因
用户某台服务器中毒,以前也发生过类似的状况。
解决方案
1. 防火墙防护参考:
firewall defend ip-sweep enable
firewall defend port-scan enable
firewall defend arp-spoofing enable
firewall defend arp-flood
2. S7706防护参考:
系统视图下配置ARP Miss消息速率抑制功能
system-view  //进入系统视图。
arp-miss anti-attack rate-limit enable //全局使能ARP Miss消息速率抑制功能。 缺省情况下,全局未使能ARP Miss消息速率抑制功能。
arp-miss anti-attack rate-limit packet-number [ interval-value ] //在系统视图下配置ARP Miss消息的限速时间和限速值。缺省情况下,ARP Miss消息的限速值是100,限速时间是1秒。
arp-miss anti-attack rate-limit alarm enable //全局使能ARP Miss消息限速丢弃告警功能。缺省情况下,未使能ARP Miss消息限速丢弃告警功能。
执行命令arp-miss anti-attack rate-limit alarm threshold threshold //在系统视图下配置ARP Miss消息限速丢弃告警阈值。缺省情况下,ARP Miss消息限速丢弃告警阈值为100。
3. 建议客户对服务器进行杀毒

END