本文分析了交换机CPU占用率高的问题,问题源自于239.255.255.250的SSDP组播报文攻击。通过端口镜像、组播表项检查和攻击源识别,确定了SSDP服务为攻击源。解决方案包括在交换机上过滤该组播组报文或在源头设备上关闭SSDP服务。此外,文中还讨论了其他如ARP、STP震荡和OSPF震荡引起CPU高的问题及其解决办法。
问题现象描述
部署了组播业务的交换机CPU占用率高,同时发现交换机上存在大量239.255.255.250的组播组的转发表项,占用了较多的转发表项资源,而实际组播业务中并没有规划该组播组地址。
例如:某局点的一个用户子网启用IPTV业务后,交换机CPU占用率高,同时发现交换机上出现大量源IP地址为某品牌机顶盒的IP地址,组IP地址为239.255.255.250的组播路由表项,并且这些组播表项扩散到其他用户子网络,设备上都可以查看到大量该组播组地址的转发表项。
问题根因说明
239.255.255.250地址属于SSDP(Simple Service Discovery Protocol)简单服务发现协议使用的组播地址,因此当网络中存在服务器或者终端PC默认启用SSDP服务时,便会发送对应组播报文到交换机上。
由于239.255.255.250地址不属于组播地址的永久组地址(永久组地址也称为保留组地址,用于标识一组特定的网络设备,供路由协议、拓扑查找等使用,不用于组播转发)224.0.0.X范围之内,交换机将该组播组地址作为一个正常普通的组播组来处理,因此会生成对应的组播转发表项。
本案例中,初步分析是这种品牌的机顶盒默认启用了SSDP服务,会发送对应“ssdp:discover”消息报文到源DR交换机触发组播转发表项,同时向RP注册成功后,其他用户子网中的终端设备发送该组播组的Report报文,导致各子网交换机均出现大量不同源IP,相同组IP的组播转发表项。
问题判断方法
1.执行display cpu-usage命令,查看交换机CPU占用率,发现CPU占用率在80%以上,并且查看CPU占用率较高的任务,发现收包任务“bcmRx/FTS/VPR/SOCK”占用率最高。
2.使用display cpu-defend statistics命令查看上送CPU报文的统计信息,判断是否存在过多IGMP协议报文。
a.执行reset cpu-defend statistics命令,清除上送CPU报文的统计信息。
b.执行display cpu-defend statistics packet-type igmp all命令,查看上送CPU的IGMP报文统计信息。
3.找出组播攻击源。
可以通过以下三种方式来找出组播攻击源:
−端口镜像获取报文信息
端口镜像获取报文信息是最直接的获取报文详细特征的方式,且对设备的CPU不会造成任何影响,建议在上送CPU的报文的入方向端口进行镜像。交换机端口镜像配置方式请参考产品文档的“配置指南-网络管理与监控配置-镜像配置”章节。
−查看组播表项
n如果配置的二层组播,执行display igmp-snooping port-info命令,会发现有不同主机端口都收到了239.255.255.250组播组的Report请求。
如果配置的三层组播,执行display multicast forwarding-table命令,会发现存在较多不同源地址、相同组播地址239.255.255.250的组播转发表项。
−配置基于攻击溯源的本机防攻击策略
执行display auto-defend attack-source和display auto-defend attack-source slot slot-id命令,查看主控板和接口板的攻击源信息。
4.通过以上方法,同时结合实际组播业务部署中没有规划239.255.255.250的组播组地址,确定设备受到239.255.255.
最低0.47元/天 解锁文章
扫一扫
490
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
