ARP-miss报文过多导致业务缓慢问题

发布时间:  2015-09-11 浏览次数:  473 下载次数:  11
问题描述

业务卡顿容易掉线,由业务网关PING外网时延迟波动很大容易掉包,终端PING网关延迟波动大。

设备CPCAR ARP-MISS大量丢包

告警信息

[HX-9306] display cpu-defend statistics packet-type arp-miss slot 2

 Statistics on slot 2:

------------------------------------------------------------------------------------------------------------------

Packet Type         Pass(Bytes)  Drop(Bytes)   Pass(Packets)   Drop(Packets)

------------------------------------------------------------------------------------------------------------------

Arp-miss            151820        94758        7866            52600

------------------------------------------------------------------------------------------------------------------

处理过程

1.     通过Cpu-defend回显发现仅有arp-miss部分丢包特别多;

2.     通过调整arp-misscpcar值来缓解CPU过高问题: 

cpu-defend policy test 
car packet-type arp-miss cir 64 cbs 12032 

slot 2 
cpu-defend-policy test 

减少ARP-miss上送Cpu速度,。

3.     配置基于源IPARP Miss限速,抑制攻击源:

 [HX-9306] arp-miss speed-limit source-ip maximum 3 //一个源IP最多产生arp-miss速率为3pps,缺省为5pps 


4
,可以通过命令查看攻击源,知会客户攻击源,业务恢复:

[HX-9306]dis arp anti-attack arpmiss-record-info 
Interface IP address Attack time Block time Aging-time 
------------------------------------------------------------------------------- 
XGE0/0/1 125.65.113.47 2015-03-25 17:34:36 2015-03-25 17:34:36 5 
XGE1/0/3 198.2.221.198 2015-03-25 17:38:08 2015-03-25 17:38:08 5 
XGE0/0/4 122.226.163.131 2015-03-25 17:42:17 2015-03-25 17:42:17 5 
XGE1/0/4 142.4.110.38 2015-03-25 17:46:34 2015-03-25 17:46:35 5 
XGE1/0/4 139.209.174.27 2015-03-25 17:47:19 2015-03-25 17:47:20 5 
XGE1/0/2 137.175.63.197 2015-03-25 17:47:39 2015-03-25 17:47:41 5 
------------------------------------------------------------------------------- 
The number of record(s) in arp-miss table is 6 

 

根因

S9306使用公网IP直接接入互联网,不断的有攻击者扫描网段该网段,导致大量ARP-Miss

解决方案

1.     通过Cpu-defend回显发现仅有arp-miss部分丢包特别多;

2.     通过调整arp-misscpcar值来缓解CPU过高问题: 

3.     配置基于源IPARP Miss限速,抑制攻击源:


4
,可以通过命令查看攻击源,知会客户攻击源,业务恢复:

 

建议与总结

S9306前端部署防火墙以杜绝直接将业务暴露于公网。

END