AntiDdos 8030产生攻击日志时间与系统时间不一致

发布时间:  2017-03-08 浏览次数:  67 下载次数:  0
问题描述
AntiDdos 8030产生攻击日志时间与系统时间不一致


告警信息

处理过程


日志里面的两个时间是不同的板卡上记录的。
如下图所示:
第一个是主控板(MPU)的时间;
第二个是业务板(SPU)的时间;
二者在系统启动的时候,会同步,保持一致。并以主控板(MPU)的时间为准。
缺省情况下,SPU检测到攻击后,会记录下攻击日志,日志时间是SPU的时间;并且SPU每30秒上报一次日志给MPU,
然后MPU打印出日志。例如:10:13:47的时候SPU发现攻击,这时SPU会记录下攻击日志,Begin time为10:13:47,
当30秒上报日志的定时器触发后就会上送日志给MPU,假设上报时间为10:14:09,则日志如下。
Oct 21 2012 10:14:09+08:00 AntiDDoS %%01SEC/4/ATCKDF(l)[0]:VSYS=public; AttackType: Large ICMP attack; slot: 3; 
cpu: 2; Receive Interface: GigabitEthernet1/0/0; from: 218.15.245.13; to: 58.251.152.228; 
begin time: 2012-10-21 10:13:47end time: 2012-10-21 10:14:09; total packets: 5;

因此,正常情况下,日志中MPU的时间大于SPU的时间。
根因

手工修改主控板的时间(改慢)导致此问题,主控板的时间比业务板的时间慢。相同操作实验室可以复现,结果如下。

Feb 20 2012 10:20:29+08:00 AntiDDoS %%01SEC/4/ATCKDF(l)[21]:VSYS=public; AttackType: Large ICMP attack; 

slot: 3; cpu: 2; Receive Interface: GigabitEthernet1/0/0; from: 218.15.245.13; to: 58.251.152.228; 

begin time: 2012-10-21 10:24:13; end time: 2012-10-21 10:24:41; total packets: 6;


解决方案

主控板的时间比业务板的时间慢导致日志时间不对应 ,重启业务板保证主控板和业务板时间一致即可解决。

<AntiDDoS>display ddos slot
11:24:39  2012/02/20
Slot ID  CPU Number  Config  Register      Status
-----------------------------------------------------
2        4           detect  Registered    Loaded
3        4           clean   Registered    Loaded
-----------------------------------------------------

<AntiDDoS>reset slot  3
11:24:43  2012/02/20
Info: Caution!!! Confirm to reset slot 3! Continue?[Y/N]
建议与总结

END