S9700 CPU占用率高,telnet和consle口无法登陆

发布时间:  2015-10-19 浏览次数:  265 下载次数:  0
问题描述

客户反应S9700CPU占用率高,Telnet和Console口无法登录,设备打印大量telnet登陆失败的日志。

告警信息

客户反应S9700CPU占用率高,Telnet和Console口无法登录,设备打印大量telnet登陆失败的日志。

处理过程

1,配置黑名单限制telnet和ftp的接入,只允许特定IP接入。

[Quidway-acl-adv-3000]display this

acl number 3000

rule 5 permit tcp source 10.1.0.2 0 destination-port eq telnet

[Quidway-cpu-defend-policy-1]display this

cpu-defend policy 1

blacklist 1 acl 3000

return

[Quidway-slot-2]display this

slot 2

cpu-defend-policy 1

return

2、对于Telnet控制层面的安全,建议在user-interface vty接口下配置ACL,并使用AAA对Telnet用户进行权限控制

根因

1. 清除上送CPU的Telnet报文统计计数

< Quidway >reset cpu-defend statistics packet-type telnet all

2. 等待一段时间(1分钟),查看这段时间内上送CPU的Telnet数量

[Quidway]display cpu-defend statistics packet-type telnet slot 2

Statistics on slot 2:

----------------------------------------------------------------------

Packet Type         Pass(Bytes)  Drop(Bytes)   Pass(Packets)   Drop(Packets)

----------------------------------------------------------------------

Telnet              40800      3576800      600           52600----限速丢弃较多

----------------------------------------------------------------------

3. 查看通过和丢弃的报文数量,如果上送或丢弃的报文数量较大,则可认为是Telnet攻击

建议与总结

Telnet攻击是攻击者发送大量非法的Telnet请求到设备,使设备CPU一直忙于处理Telnet请求,并不断写入硬盘日志记录异常请求信息,无法处理其它业务,同时正常的Telnet请求无法被响应,导致设备托管。

END