H3C-S5800及S6800 受异常包攻击导致CPU高排查思路

最新推荐文章于 2024-06-23 13:19:36 发布
最新推荐文章于 2024-06-23 13:19:36 发布
阅读量870 收藏
点赞数
文章标签: 网络 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gcywinter/article/details/130515087
版权

H3C-S5800及S6800 受异常包攻击导致CPU高

排查思路如下:

多台设备出现CPU跑满的情况,经查看为SOCK进程和bRX1进程占用高,查看文档是IP报文调度和CPU收包使用的进程。

 

 

dis cpu-usage task 
 

 

 
 

 

 

进一步排查,发现CPU丢弃的包中,telnet和http非常多,大致可以判断设备接收相应协议的包过高导致cpu跑满。
 

 

en_diag
 

debug rxtx softcar show 1
 

 

 
 

 

 

随后进行了抓包排查,在多台设备中均抓取到异常的访问包,主要有两种:
 

 

1.外部使用80端口访问设备的23号端口
 

2.外部使用80端口访问设备的7547号端口
 

 

 
 

根据抓包情况可以看到,外部攻击的地址会随时发生变化,且访问网络设备的ip也不是固定的,所有公网可通的地址,包括客户的vrrp网关地址均有可能被访问,通过限制源地址或目的地址的方法很难全部阻隔。
 

 

经与H3C厂商沟通,给出解决方案如下:
 

 

方法一: 限制控制平面上 CPU TCP 访问23、7547 包数量,不影响业务平面转发业务
 

acl number 3998
 

rule 0 permit tcp destination-port eq telnet
 

rule 10 permit tcp destination-port eq 7547
 

 

traffic classifier copp operator and
 

if-match acl 3998
 

 

traffic behavior copp
 

car cir 8 cbs 512 ebs 512 green pass red discard yellow pass
 

 

qos policy copp
 

classifier copp behavior copp
 

 

control-plane slot 1
 

qos apply policy copp inbound
 

方法二: 限制TELNET  SSH 访问源地址,会限制登陆原地址,注意配置
 

acl number 3999
 

rule 0 permit ip source x.x.x.x 0
 

rule 10 permit ip source x.x.x.x x.x.x.x
 

 

telnet server acl 3999
 

ssh server acl 3999
 

 

真实网络中的配置脚本:
 

根据H3C提供的解决方案,在S5800的配置上进行了一些改造,由于我们大多数设备均需要通过telnet连接,如果将所有目的协议为23端口的包限速,就会导致正常登陆设备也受影响,所以分为两组限速。
 

由于之前的策略出现了所有穿越设备的流量均会被限速的问题,经过再次与华三沟通,需要再class处匹配出来相应的上CPU流量才可以实现,所以对脚本进行了一些修改。
 

1.常用telnet的源地址写成一个acl,qos策略限速1M
 

2.所有7547协议的包写成一组acl,qos限速策略8K
 

3.除白名单外ip所有telnet、ssh协议上CPU的包写成另一组acl,qos限速策略8K
 

acl number 3043
 

rule 0 permit tcp source X.X.X.X 0.0.0.255 destination-port eq telnet
 

rule 5 permit tcp source X.X.X.X 0 destination-port eq telnet
 

rule 10 permit tcp source X.X.X.X 0 destination-port eq telnet
 

rule 15 permit tcp source X.X.X.X 0 destination-port eq telnet
 

rule 20 permit tcp source X.X.X.X 0 destination-port eq telnet
 

rule 25 permit tcp source X.X.X.X 0 destination-port eq telnet
 

 

acl number 3044
 

rule 10 permit tcp destination-port eq 7547
 

 

traffic classifier 207-tcp-qos operator and
 

if-match acl 3043
 

 

traffic behavior 207-tcp-qos
 

car cir 1000 cbs 62500 ebs 512 green pass red discard yellow pass
 

 

traffic classifier tcp-qos operator and
 

if-match acl 3044
 

 

traffic classifier conp-index operator and
 

if-match system-index 61
 

 

traffic behavior tcp-qos
 

car cir 8 cbs 512 ebs 512 green pass red discard yellow pass
 

 

qos policy tcp-qos
 

classifier 207-tcp-qos behavior 207-tcp-qos
 

classifier tcp-qos behavior tcp-qos
 

classifier conp-index behavior tcp-qos
 

 

control-plane slot 1
 

qos apply policy tcp-qos inbound
 

S6800由于我们初配已经有了telnet限制,仅需要核查是否都配置了acl,这种方式的acl配置可以保护上到CPU的包,所以可以不再做其他加固。
 

acl basic 2044
 

description telnet-acl 
 

rule 0 permit source X.X.X.X 0
 

rule 5 permit source X.X.X.X 0
 

rule 10 permit source X.X.X.X 0
 

rule 15 permit source X.X.X.X 0
 

rule 20 permit source X.X.X.X 0
 

rule 25 permit source X.X.X.X 0.0.0.255
 

 

telnet server enable
 

telnet server acl 2044

                

        

        

    




    

      

        

            

              
                
                  gcywinter
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
H3C-S5800实现IRF功能详细配置过程.doc

				
			

			

				

					08-08
				

			

		

		

			
				
H3C S5800系列交换机中,IRF功能的配置是构建效、稳定网络的关键步骤。以下是详细的配置过程:  1. **初始化配置**  在配置IRF前,首先要明确两台设备的成员编号和优先级。优先级较的设备将成为主设备,负责...

			
		

	



                

              
                



	

		

			

				
					
H3C-Server 查看CPU、内存、磁盘空间

				
			

			

				

					网络工程技术小白
				

				

					04-13
					
					3723
					
				

			

		

		

			
				
【代码】H3C-Server 查看CPU、内存、磁盘空间。

			
		

	



                


  
              

                


	

		

			

				
					
运营商设备常见维护命令,华为篇

				
			

			

				

					s85225的博客
				

				

					07-12
					
					4990
					
				

			

		

		

			
				
华为篇:针对NE40E ME60 NE5000E的一些常用查询命令

dis int 端口名 查看端口

dis device 查看板卡

dis device pic 查看子卡

discpu-usage 查看CPU

display memory-usage 查看内存

displaycurrent-configuration 查看配置

displaylogbuffer 查看日志

dis trapbuffer 查看重要告警

dis access-user username 账号 verb...

			
		

	





	

		

			

				
					
安全领域常见&端口大全

					
最新发布

				
			

			

				

					qq_35075142的博客
				

				

					06-23
					
					447
					
				

			

		

		

			
				
1. **HTTP (80)**: 超文本传输协议使用的端口,用于网页浏览。2. **HTTPS (443)**: 安全的HTTP,使用SSL/TLS加密数据传输。3. **FTP (21)**: 文件传输协议,用于文件的上传和下载。4. **SSH (22)**: 安全外壳协议,用于安全地访问远程服务器。5. **Telnet (23)**: 远程登录协议,不推荐使用,因为它不加密传输的数据。6. **SMTP (25)**: 简单邮件传输协议,用于发送电子邮件。

			
		

	



		

			
		



	

		

			

				
					
H3C交换机】cpu各个进程的详细说明

				
			

			

				

					weixin_33693070的博客
				

				

					08-01
					
					1797
					
				

			

		

		

			
				
 display cpu-usage命令用来查看设备CPU占用率的统计信息,以及各个进程的cpu占用率。
各个进程详细说明如下,不同软件版本、盒式和框式的cpu进程略有不同,详细信息可以查看手册中的命令参考,有关display cpu-usage命令的介绍。


BUFM:输出调试信息的任务
1731:实现Y1731协议栈,管理协议状态机,维护协议相关的数据库
_EXC:系统异常事件处理任务
_T...

			
		

	





	

		

			

				
					
华为路由交换查arp攻击源的方法

				
			

			

				

					IT技术
				

				

					01-04
					
					8083
					
				

			

		

		

			
				
常用命令:1.执行display cpu-usage命令,查看交换机CPU占用率,发现CPU占用率在80%以上,并且查看CPU占用率较的任务,查找占用率。
常用命令:2.使用display cpu-defend statistics命令查看上送CPU报文的统计信息,判断是否存在过多各种协议报文。
常用命令:3.执行reset cpu-defend statistics命令,清除上送CPU报文的统计信息。
常用命令:4.执行display cpu-defend statistics packet-type

			
		

	





	

		

			

				
					
H3C S5800交换机频繁出现CPU利用率的解决方法

				
			

			

				

					Bicction
				

				

					04-23
					
					7385
					
				

			

		

		

			
				
一客户反馈S5800设备使用过程中,CPU利用率突然上升到100%,之后客户业务马上到影响,登录设备查看进程发现arp占79%,但过了几分钟后CPU又回到原来水平了。该故障情况不定时出现,每次出现持续一段时间。

  原因分析

  1、根据诊断信息,可以确定占用CPU最多的进程是ARP任务。现场通过抓确认,CPU时,设备收到较多ARP报文。

  2、查看设备配置,发现配置了arp det...

			
		

	





	

		

			

				
					
华为交换机常用查看命令

					
热门推荐

				
			

			

				

					qq_31146399的博客
				

				

					03-01
					
					1万+
					
				

			

		

		

			
				
save config.cfg 保存配置文件
display mac-address flapping record 查看MAC地址漂移记录
display ip routing-table 查看路由表
dis version 收集版本信息
dis device 设备信息
dis environment 温度
display power 电源状态
display fan 风扇状态信息
display cpu CPU利用率
dis cpu-usage history 最近60条记录的CPU占用率统计值
dis

			
		

	





	

		

			

				
					
H3C S5800-EI系列以太网交换机 产品文档-R71xx-6W100-整本手册

				
			

			

				

					11-25
				

			

		

		

			
				
H3C S5800-EI系列以太网交换机是H3C公司推出的一款性能、密度的接入和汇聚层交换机,主要用于企业、数据中心及云计算环境。这款交换机具备丰富的功能特性,旨在提供稳定、效且可扩展的网络解决方案。其R71xx-6...

			
		

	





	

		

			

				
					
H3C_S5800-20170523163059351.xls

				
			

			

				

					11-17
				

			

		

		

			
				
H3C_S5800-20170523163059351

			
		

	





	

		

			

				
					
交换机CPU使用率故障处理.zip

				
			

			

				

					02-01
				

			

		

		

			
				
交换机CPU使用率故障处理

			
		

	





	

		

			

				
					
H3C S5820X&S5800; 00 配置指导导读

				
			

			

				

					11-01
				

			

		

		

			
				
H3C S5820X&S5800;配置文档系列 第00章节 配置指导导读

			
		

	





	

		

			

				
					
防止同网段ARP欺骗攻击的配置方法

				
			

			

				

					xiaohua327的专栏
				

				

					12-15
					
					572
					
				

			

		

		

			
				
防止同网段ARP欺骗攻击的配置方法二层交换机实现仿冒网关的ARP防攻击:一、组网需求:1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图:   图1二层交换机防ARP攻击组网S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999

			
		

	





	

		

			

				
					
华为设备状态那么多,掌握这17个命令就能随意拿捏!

				
			

			

				

					网络技术联盟站
				

				

					08-11
					
					1468
					
				

			

		

		

			
				
查看设备的序列号ESN(Equipment Serial Number)一键式采集并查看设备当前的诊断信息或将诊断信息存储在指定压缩文件。查看设备上部件的序列号SN(Serial Number)查看当前VRP进程内存占用率的统计信息。查看设备系统功率和单板功率等信息。查看设备CPU占用率的统计信息。查看设备CPU占用率的配置信息。查看设备的部件类型及状态信息。查看指定模块申请内存的情况。查看设备接口上的光模块信息。查看设备的内存占用率信息。查看设备的内存占用率阈值。查看设备的电子标签信息。

			
		

	





	

		

			

				
					
华为交换机部分进程说明 dis cpu-usage

				
			

			

				

					weixin_33979745的博客
				

				

					08-19
					
					1991
					
				

			

		

		

			
				
1   DARP   Arp任务2   CFSN   Snmp set执行任务3   DHCC   DHCP客户端主任务4   DHCP   DHCP和DHCP中继主任务5   DLSW  DLSW主任务6   vtxx    EXEC配置任务7   FP**    ftp写flash任务8   FTPS  ...

			
		

	





	

		

			

				
					
ACS 主动发起连接 相关事件和注意事项(TR069协议翻译)

				
			

			

				

					xiaopang_yan的博客
				

				

					12-03
					
					7392
					
				

			

		

		

			
				
本文翻译取自TR-069_Amendment-5.pdf  section 3.2.2
     ACS 可以在任意时间利用连接请求机制发起连接,CPE支持该机制,ACS建议支持该机制。
      该机制依赖于ACS拥有可到达CPE的IP,如果CPE在防火墙后面,或者在ACS与CPE之间有NAT设备,ACS 便不能访问CPE,Annex k 定义了一种机制,该机制允许ACS访问CPE 但是不

			
		

	





	

		

			

				
					
华为交换机常用display命令

				
			

			

				

					weixin_57417760的博客
				

				

					03-20
					
					1337
					
				

			

		

		

			
				
dis bgp vpnv4 all routing-table peer 66.1.1.1 advertised-routes #查看通告给邻居66.1.1.1的vpnv4路由。dis temperature all #查看设备温度,各模块当前的温度应该在上下限之间,即“Current”的值在“Lower”和“Upper”之间。dis cpu-usage #查看cpu状态。dis mac-vlan mac-address all #查看基于MAC划分VLAN的配置,同一个端口依不同设备划分不同VLAN。

			
		

	





	

		

			

				
					
eve-ng的h3c镜像对照表

				
			

			

				

					06-25
				

			

		

		

			
				
### 回答1:
eve-ng是一个网络虚拟化平台,它的h3c镜像对照表是指在eve-ng平台中可用的h3c设备镜像清单。

根据eve-ng平台的要求,每个h3c镜像都需要对应相应的设备类型和版本号,以保证模拟环境与真实环境一致。h3c镜像对照表中的设备类型括了h3c的多个系列,如S系列、A系列、H系列等,而版本号则描述了镜像的具体版本信息。

在eve-ng的h3c镜像对照表中,我们可以找到各种常用的h3c设备类型对应的镜像文件。例如,对于h3c S5500系列交换机,可以使用以下镜像文件进行模拟:

s5500-cmw520-r3122.bin

s5500-cmw520-r5320.bin

s5500-cmw520-r6208.bin

s5500-cmw520-r7223.bin

s5500-cmw520-r7318.bin

s5500_cmw520_r2606.bin

在eve-ng中选择正确的h3c镜像是非常重要的,它决定了模拟环境的可靠性和准确性。因此,在选择镜像时,需要根据实际需求和设备型号,仔细核对镜像对照表中的信息,以确保选择了正确的镜像文件。  

### 回答2:
eve-ng是一种用于搭建虚拟网络实验环境的软件,可以模拟各种网络设备和拓扑结构,支持H3C镜像的导入和使用,下面是eve-ng的h3c镜像对照表。

1. H3C Comware 7 Switch

对应的eve-ng镜像文件为:h3c-comware7.qcow2

2. H3C MSR Router

对应的eve-ng镜像文件为:h3c-msr.qcow2

3. H3C S3100V2 Switch

对应的eve-ng镜像文件为:h3c-s3100v2.qcow2

4. H3C S5120EI Switch

对应的eve-ng镜像文件为:h3c-s5120ei.qcow2

5. H3C S5500EI Switch

对应的eve-ng镜像文件为:h3c-s5500ei.qcow2

6. H3C S5800 Switch

对应的eve-ng镜像文件为:h3c-s5800.qcow2

除上述列出的H3C镜像,eve-ng还支持其他型号和版本的H3C设备,可根据实际需要选择合适的镜像进行导入使用。

导入H3C镜像至eve-ng的操作非常简单,可通过web界面直接导入,也可通过SSH连接到eve-ng服务器上通过命令行方式导入。使用H3C镜像搭建虚拟网络实验环境,可以让网络工程师在实验环境中进行网络方案的设计、配置和调试,提网络运维和维护的效率和准确性。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值