所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

S7700大量DHCP攻击报文使终端无法获取IP

发布时间:  2019-03-16  |   浏览次数:  165  |   下载次数:  0  |   作者:  lWX463319  |   文档编号: EKB1100008168

目录

问题描述

S7700大量DHCP攻击报文使终端无法获取IP

告警信息

组网:

DHCP客户端---S9300---DHCP服务器

业务:

S9300配置DHCP snooping或者DHCP relay业务。

现象:

设备CPU高,DHCP任务消耗CPU较多,终端无法获取IP。

处理过程

1. 查看CPCAR,发现设备收到大量DHCP报文,CPCAR存在大量DHCP丢包



2. 清除CPCAR计数,再次查看计数,发现DHCP报文主要来自6号板

3. 查看消息队列,DHCP任务出现队列拥塞,DHCP任务已经不能及时处理报文



4. 开启DHCP debug,查看收到的DHCP报文特征,发现从eth6/0/5收到来自同一客户端286e-d488-d830的大量重复DHCP报文


5. 在接口板上禁止该用户的DHCP报文,等待DHCP消息队列的使用率为0%时,设备可以实时处理DHCP报文,DHCP业务恢复正常



根因

DHCP业务处理未知单播DHCP报文性能较低,大量未知单播DHCP报文上送CPU容易造成DHCP队列拥塞。


解决方案

遇到DHCP业务冲高CPU问题,通常是大量重复DHCP报文上送CPU导致,通过DHCP debug找到攻击源、禁用攻击源可以快速解决问题;