NE40E-X8受到大量攻击导致设备丢包

发布时间:  2016-03-20 浏览次数:  517 下载次数:  0
问题描述

结构:NE40E-X8---------------其他设备。

NE40E-X8通过5号槽位的2号子卡连接其他设备,发现该子卡的所有接口都直连丢包,更换到其他子卡再测试就不丢包。将2号子卡上所有的线路拔掉,只连接一条线到内部的其他设备或者电脑又不再出现丢包的现象。

 

告警信息
处理过程

1. 检查互联接口的状态,是否有错误包统计等信息;

2. 检查接口流量,所有的接口均为万兆接口,而当前的流量约7G,因此流量算正常;

3. 查看设备的CPCAR信息,发现大量的ICMP报文,如下:

============================================================================== 
  ===============display cpu-defend all statistics slot 5===============
==============================================================================
Slot/Intf Attack-Type               Total-Packets Passed-Packets Dropped-Packets
--------------------------------------------------------------------------------
5         Application-Apperceive       2360701433     2337193468       23507965
-------------------------------------------------------------------------------

          ISIS                                  0              0              0
          ICMP                         2360616874     2337126908       23489966
          MSDP                                  7              7              0
          PIM                                   0              0              0

4. 进一步查看该单板的ICMP统计信息,显示如下:

该统计计数显示被丢掉的ICMP报文被大量的丢弃。

5. 在设备上配置攻击溯源检测,结果显示如下(以下列举部分的报文):

<NE40E---->display   attack-source-trace   slot     5  verbose

  Interface Name    : GigabitEthernet5/2/2
  PeVlanid          : 0
  CeVlanid          : 0
  Attack Type       : CPCAR
  Attack Packet Time: 2016-03-17 14:33:20

  L2 Type: Ethernet
    Source Mac     : e0-24-7f-04-4a-da
    Destination Mac: ac-85-3d-d8-0f-e5
    Ethernet type  : 0x0800

  L3 Type: IP                            
    Version        : 4
    Header Length  : 5
    Type Of Service: 0
    Total Length   : 64 (0x40)
    Identification : 65414
    Fragment Offset: 0
    TTL            : 1
    Protocol Num   : 1
    Checksum       : 64567
    Source Ip      : 125.88.173.76
    Dest Ip        : 115.182.xx.xx

  L4 Type: ICMP
    Source Port: 0
    Dest Port  : 0
    Type       : 8
    Code       : 0
Checksum   : 60482


  Interface Name    : GigabitEthernet5/2/2
  PeVlanid          : 0
  CeVlanid          : 0
  Attack Type       : CPCAR
  Attack Packet Time: 2016-03-17 14:33:17

  L2 Type: Ethernet
    Source Mac     : e0-24-7f-04-4a-da
    Destination Mac: ac-85-3d-d8-0f-e5
    Ethernet type  : 0x0800

  L3 Type: IP
    Version        : 4
    Header Length  : 5
    Type Of Service: 0
    Total Length   : 64 (0x40)
    Identification : 12628               
    Fragment Offset: 0
    TTL            : 1
    Protocol Num   : 1
    Checksum       : 51729
    Source Ip      : 125.88.173.76
    Dest Ip        : 115.182.xx.xx

  L4 Type: ICMP
    Source Port: 0
    Dest Port  : 0
    Type       : 8
    Code       : 0
Checksum   : 8771

  Interface Name    : GigabitEthernet5/2/2
  PeVlanid          : 0
  CeVlanid          : 0
  Attack Type       : CPCAR
  Attack Packet Time: 2016-03-17 14:33:15
                                         
  L2 Type: Ethernet
    Source Mac     : e0-24-7f-04-4a-da
    Destination Mac: ac-85-3d-d8-0f-e5
    Ethernet type  : 0x0800

  L3 Type: IP
    Version        : 4
    Header Length  : 5
    Type Of Service: 0
    Total Length   : 64 (0x40)
    Identification : 345
    Fragment Offset: 0
    TTL            : 1
    Protocol Num   : 1
    Checksum       : 34439
    Source Ip      : 183.136.230.251
    Dest Ip        : 115.182.xx.xx

  L4 Type: ICMP
    Source Port: 0
    Dest Port  : 0
    Type       : 8
    Code       : 0
    Checksum   : 57672

  Interface Name    : GigabitEthernet5/2/2
  PeVlanid          : 0
  CeVlanid          : 0
  Attack Type       : CPCAR
  Attack Packet Time: 2016-03-17 14:33:05

  L2 Type: Ethernet
    Source Mac     : e0-24-7f-04-4a-da
    Destination Mac: ac-85-3d-d8-0f-e5
    Ethernet type  : 0x0800
                                         
  L3 Type: IP
    Version        : 4
    Header Length  : 5
    Type Of Service: 0
    Total Length   : 64 (0x40)
    Identification : 34440
    Fragment Offset: 0
    TTL            : 1
    Protocol Num   : 1
    Checksum       : 55790
    Source Ip      : 122.228.75.9
    Dest Ip        : 115.182.xx.xx

  L4 Type: ICMP
    Source Port: 0
    Dest Port  : 0
    Type       : 8
    Code       : 0
    Checksum   : 9009

以上的信息通过5/2/2接口收到大量的ICMP报文,并且报文的TTL=1。

根因

Slot  5有收到大量的TTL=1的攻击报文,其中相当一部分为icmp报文,超过了icmp的上送带宽,导致正常的ping应答报文回包时也被丢弃,因此导致直连ping丢包。 查看设备的攻击溯源可以发现slot 5上有收到大量TTL=1的攻击报文,这些TTL=1的报文在slot 5上上送,且其中大部分来自G5/2/2口,其中相当一部分是ICMP报文。 而查看slot 5上的cpu-defend统计可以发现每秒有1000个左右的icmp报文上送,超过了单板的上送带宽,正常的icmp ping包也可能被丢弃。

解决方案
通过分析发现大量来自公网的TTL=1的报文,而该接口连接的公网,路由未见环路等异常,因此可以确认这是外网的攻击报文,通过在外网部署防攻击设备进行攻击阻断。

END