H3C-S5800及S6800 受异常包攻击导致CPU高
排查思路如下:
多台设备出现CPU跑满的情况,经查看为SOCK进程和bRX1进程占用高,查看文档是IP报文调度和CPU收包使用的进程。
dis cpu-usage task
进一步排查,发现CPU丢弃的包中,telnet和http非常多,大致可以判断设备接收相应协议的包过高导致cpu跑满。
en_diag
debug rxtx softcar show 1
随后进行了抓包排查,在多台设备中均抓取到异常的访问包,主要有两种:
1.外部使用80端口访问设备的23