NE40E遭受TCP攻击造成业务版CPU高

发布时间:  2009-05-27 浏览次数:  110 下载次数:  1
问题描述
NE40E版本:NE40E&80E V300R002C06B325
NE40E下挂专线业务上网速度慢,ping NE40E上的网关延时较大
NE40E 1号业务版CPU利用率高达93%,其中VPR,COCK进程利用率过高


处理过程
业务板CPU过高一般是由于网络攻击导致,在设备诊断模式下通过
efu qos cp-car cnt_show 1  clear命令查看上送cp丢弃的报文:
Excp ID :              Green :             Yellow :                Red
9 P :               0x00000899c       0x00053e         0x000052a6
   B:                0x0001d08c8       0x011b4c         0x00116f90
Excp_ID为9的报文有大量丢弃,通过Excp_ID对映表得知ID为9的报文是IPV4_TCP报文,由此可以断定是TCP攻击造成NE40E业务版CPU高
根因

TCP攻击

解决方案
在cp-car下做策略,将IPV4_TCP的报文deny掉,只留设备需要的ftp报文,命令如下:
acl number 3200--------除ftp外都过滤掉
 rule 5 permit tcp source-port eq ftp-data
 rule 10 permit tcp destination-port eq ftp-data
 rule 15 deny tcp
#
traffic classifier acl3200 operator or
 if-match acl 3200
traffic behavior acl3200
#
traffic policy acl3200
 classifier acl3200 behavior acl3200
#
cpcar slot 1 ipv4-tcp----应用策略
  traffic-policy acl3200
应用策略后NE40E业务版CPU下降到15%,业务恢复正常
建议与总结
业务版CPU高一般是由于攻击造成的,可以通过修改cp-car值的方法对CPU进行保护。
可以通过efu qos cp-car cnt_show 1  clear命令查看是何种报文的攻击

END