www国产亚洲精品久久小说,在线 | 一区二区三区四区,综合成人亚洲网友偷自拍,中文字幕人妻第一区,最近中文字幕mv

微思網(wǎng)絡
全國免費電話:400-881-4699
當前位置:首頁>微思動態(tài) > >詳情
全國熱線電話 400-881-4699

在線留言

【華為】交換機受到特定的組播報文攻擊導致CPU占用率高

發(fā)布作者:微思網(wǎng)絡   發(fā)布時間:2025-04-24   瀏覽量:0

圖片

現(xiàn)象描述

部署了組播業(yè)務的交換機CPU占用率高,同時發(fā)現(xiàn)交換機上存在大量239.255.255.250的組播組的轉發(fā)表項,占用了較多的轉發(fā)表項資源,而實際組播業(yè)務中并沒有規(guī)劃該組播組地址。
例如:某局點的一個用戶子網(wǎng)啟用IPTV業(yè)務后,交換機CPU占用率高,同時發(fā)現(xiàn)交換機上出現(xiàn)大量源IP地址為某品牌機頂盒的IP地址,組IP地址為239.255.255.250的組播路由表項,并且這些組播表項擴散到其他用戶子網(wǎng)絡,設備上都可以查看到大量該組播組地址的轉發(fā)表項。


原因分析

239.255.255.250地址屬于SSDP(Simple Service Discovery Protocol)簡單服務發(fā)現(xiàn)協(xié)議使用的組播地址,因此當網(wǎng)絡中存在服務器或者終端PC默認啟用SSDP服務時,便會發(fā)送對應組播報文到交換機上。

由于239.255.255.250地址不屬于組播地址的永久組地址(永久組地址也稱為保留組地址,用于標識一組特定的網(wǎng)絡設備,供路由協(xié)議、拓撲查找等使用,不用于組播轉發(fā))224.0.0.X范圍之內,交換機將該組播組地址作為一個正常普通的組播組來處理,因此會生成對應的組播轉發(fā)表項。

本案例中,初步分析是這種品牌的機頂盒默認啟用了SSDP服務,會發(fā)送對應“ssdp:discover”消息報文到源DR交換機觸發(fā)組播轉發(fā)表項,同時向RP注冊成功后,其他用戶子網(wǎng)中的終端設備發(fā)送該組播組的Report報文,導致各子網(wǎng)交換機均出現(xiàn)大量不同源IP,相同組IP的組播轉發(fā)表項。

問題判斷方法


  1. 執(zhí)行display cpu-usage命令,查看交換機CPU占用率,發(fā)現(xiàn)CPU占用率在80%以上,并且查看CPU占用率較高的任務,發(fā)現(xiàn)收包任務“bcmRx/FTS/VPR/SOCK”占用率最高。
  2. 使用display cpu-defend statistics命令查看上送CPU報文的統(tǒng)計信息,判斷是否存在過多IGMP協(xié)議報文。
    1. 執(zhí)行reset cpu-defend statistics命令,清除上送CPU報文的統(tǒng)計信息。
    2. 執(zhí)行display cpu-defend statistics packet-type igmp all命令,查看上送CPU的IGMP報文統(tǒng)計信息。
<HUAWEI> reset cpu-defend statistics
<HUAWEI> display cpu-defend statistics packet-type igmp all
 Statistics on mainboard:                                                       
--------------------------------------------------------------------------------
Packet Type          Pass(Packet/Byte)   Drop(Packet/Byte)  Last-dropping-time  
--------------------------------------------------------------------------------
igmp                             40800               35758  -                                                      
                                   NA                  NA                      
--------------------------------------------------------------------------------
 Statistics on slaveboard:                                                      
--------------------------------------------------------------------------------
Packet Type          Pass(Packet/Byte)   Drop(Packet/Byte)  Last-dropping-time  
--------------------------------------------------------------------------------
igmp                                 0                   0  -                   
                                    NA                  NA                      
--------------------------------------------------------------------------------


  1. 找出組播攻擊源。
可以通過以下三種方式來找出組播攻擊源:
    • 端口鏡像獲取報文信息
端口鏡像獲取報文信息是最直接的獲取報文詳細特征的方式,且對設備的CPU不會造成任何影響,建議在上送CPU的報文的入方向端口進行鏡像。交換機端口鏡像配置方式請參考產(chǎn)品文檔的“配置指南-網(wǎng)絡管理與監(jiān)控配置-鏡像配置”章節(jié)。
    • 查看組播表項
    • 如果配置的二層組播,執(zhí)行display igmp-snooping port-info命令,會發(fā)現(xiàn)有不同主機端口都收到了239.255.255.250組播組的Report請求。
如果配置的三層組播,執(zhí)行display multicast forwarding-table命令,會發(fā)現(xiàn)存在較多不同源地址、相同組播地址239.255.255.250的組播轉發(fā)表項。
    • 配置基于攻擊溯源的本機防攻擊策略
[HUAWEI] cpu-defend policy policy1
[HUAWEI-cpu-defend-policy-policy1] auto-defend enable  //使能攻擊溯源功能(缺省情況下,未使能該功能)
[HUAWEI-cpu-defend-policy-policy1] undo auto-defend trace-type source-ip source-mac  //配置攻擊溯源的溯源模式為基于源接口+VLAN(缺省情況下,系統(tǒng)使用三種溯源模式)
[HUAWEI-cpu-defend-policy-policy1] undo auto-defend protocol 8021x arp dhcp icmp tcp telnet ttl-expired udp  //配置攻擊溯源防范的報文類型為IGMP(缺省情況下,系統(tǒng)對九種報文進行攻擊溯源防范)
[HUAWEI-cpu-defend-policy-policy1] quit 
[HUAWEI] cpu-defend-policy policy1 global  //在所有接口板上應用本機防攻擊策略(一般組播報文通過接口板上送到主控板,所以這里在所有接口板上應用)此處以框式交換機舉例


執(zhí)行display auto-defend attack-sourcedisplay auto-defend attack-source slot slot-id命令,查看主控板和接口板的攻擊源信息。

  1. 通過以上方法,同時結合實際組播業(yè)務部署中沒有規(guī)劃239.255.255.250的組播組地址,確定設備受到239.255.255.250組播組報文攻擊。



解決方案


有兩種解法方法,一種是在交換機上過濾該組播組報文(推薦使用該方法),一種是在存在攻擊源的服務器或終端PC上關閉SSDP服務。
  • 在交換機上過濾該組播組報文。
    1. 過濾239.255.255.250的IGMP協(xié)議報文。
# 配置高級ACL,只過濾組播組239.255.255.250,同時允許其他IP。
[HUAWEI]acl number 3000
[HUAWEI-acl-adv-3000]rule 5 deny ip destination 239.255.255.250 0
[HUAWEI-acl-adv-3000]rule 10 permit ip
[HUAWEI-acl-adv-3000]quit
# 配置高級ACL,只過濾組播組239.255.255.250。
[HUAWEI]acl number 3100
[HUAWEI-acl-adv-3100]rule 10 deny igmp destination 239.255.255.250 0
[HUAWEI-acl-adv-3100]quit
# 過濾該三層組播報文。
[HUAWEI]interface vlanif100
[HUAWEI-Vlanif100]ip address 10.100.100.1 255.255.255.0
[HUAWEI-Vlanif100]pim sm  //在接口上使能PIM-SM
[HUAWEI-Vlanif100]igmp enable  //在接口上使能IGMP
[HUAWEI-Vlanif100]igmp group-policy 3000  //在接口上設置IGMP組播組的過濾器,限制主機能夠加入的組播組范圍
[HUAWEI-Vlanif100]quit
# 過濾該二層組播報文。
[HUAWEI]vlan 100
[HUAWEI-vlan100]igmp-snooping enable  //使能VLAN的IGMP Snooping功能。
[HUAWEI-vlan100]igmp-snooping group-policy 3000  //配置當前VLAN的組播組過濾策略
[HUAWEI-Vlan100]qui
# 配置黑名單過濾該IGMP組播組報文,避免生成239.255.255.250組播組表項。
[HUAWEI]cpu-defend policy igmp-deny
[HUAWEI-cpu-defend-policy-igmp-deny]blacklist 1 acl 3100
[HUAWEI-cpu-defend-policy-igmp-deny]quit
[HUAWEI]cpu-defend-policy igmp-deny global  //(這里以框式交換機的接口板上存在IGMP報文攻擊為例)
# 配置組播源組策略過濾該組播組報文,避免生成239.255.255.250組播(S,G)表項
[HUAWEI]pim
[HUAWEI-pim]source-policy 3000
[HUAWEI-pim]quit
    1. 過濾239.255.255.250數(shù)據(jù)報文。
# 配置流分類,指定目的IP為239.255.255.250。
[HUAWEI]acl number 3200
[HUAWEI-acl-adv-3200]rule 5 permit ip destination 239.255.255.250 0
[HUAWEI-acl-adv-3200]quit
[HUAWEI]traffic classifier ssdp
[HUAWEI-classifier-ssdp]if-match acl 3200
[HUAWEI-classifier-ssdp]quit
# 配置流策略行為。
[HUAWEI]traffic behavior ssdp
[HUAWEI-behavior-ssdp]deny
[HUAWEI-behavior-ssdp]quit
# 配置流策略。
[HUAWEI]traffic policy ssdp
[HUAWEI-trafficpolicy-ssdp]classifier ssdp behavior ssdp
[HUAWEI-trafficpolicy-ssdp]quit
# 應用流策略過濾端口入方向報文。
[HUAWEI-GigabitEthernet4/0/30]traffic-policy ssdp inbound
  • 在服務器或終端PC上關閉SSDP服務。
    1. 進入“控制面板”,選擇“管理工具”,進入后再選擇“服務”。
    2. 在列表中找到“SSDP Discovery Service”服務,選擇并停止該項服務。

建議與總結


239.255.255.250組地址屬SSDP服務所有,一般Windows服務器默認會開啟該服務,因此網(wǎng)絡中出現(xiàn)該組地址的表項是較為常見的。
對于交換機而言,這只是一個普通的組播組,如果發(fā)現(xiàn)CPU占用率高,并且判斷是受到未在業(yè)務規(guī)劃內的239.255.255.250的報文攻擊,可以在交換機上進行相關的過濾配置或者在服務器或終端設備上關閉該服務,避免交換機上大量生成該組播組的轉發(fā)表項。


相關介紹


簡單服務發(fā)現(xiàn)協(xié)議SSDP(Simple Service Discovery Protocol)是一種應用層協(xié)議,其構成UPnP(通用即插即用)技術的核心協(xié)議之一。它為網(wǎng)絡客戶端(network client)提供了一種發(fā)現(xiàn)網(wǎng)絡服務(network services)的機制,采用基于通知和發(fā)現(xiàn)路由的組播方式實現(xiàn)。
SSDP協(xié)議一般使用組播地址239.255.255.250:1900(IPv4),F(xiàn)F0x::C(IPv6)來傳送相關消息。
按照協(xié)議的規(guī)定,當一個控制點(客戶端)接入網(wǎng)絡的時候,它可以向一個特定的組播地址的SSDP端口使用M-SEARCH方法發(fā)送“ssdp:discover”消息。當設備發(fā)現(xiàn)這個保留的組播地址上由控制點發(fā)送的消息的時候,設備會分析控制點請求的服務,如果自身提供了控制點請求的服務,設備將通過單播的方式直接響應控制點的請求。
SSDP的UDP數(shù)據(jù)報文和IGMP Report報文分別如圖17-8圖17-9所示。
圖17-8 SSDP的UDP數(shù)據(jù)報文
圖片
圖17-9 SSDP的IGMP Report報文
圖片

圖片





【華為】大量TC報文導致CPU高怎么解決
【華為五張圖教你快速掌握設備CPU占用率高相關知識
【華為】生成樹MSTP環(huán)網(wǎng)設備CPU使用率高的故障處理
【華為】交換機CPU占用率高怎么解決
【華為】OSPF震蕩引起CPU占用率高怎么解決?
【華為】環(huán)路引起交換機CPU占用率高的業(yè)務時通時不通問題
更多關注專欄→【網(wǎng)絡技術】



END

1微思網(wǎng)絡,始于2002年

專業(yè)IT認證培訓23年,面向全國招生!



點擊查看更多【培訓課程目錄】

微思-主要課程有:

*網(wǎng)絡技術:華為HCIA/ HCIP/HCIE;思科CCNA/CCNP/CCIE

*Linux技術:紅帽 RHCE/RHCA

*K8S&容器:CKA/CKS

*數(shù)據(jù)庫:ORACLE OCP/ OCM ;MySQL ;達夢數(shù)據(jù)庫

*虛擬化:VMware VCP/VCAP

*安全認證:CISP體系/CISSP/ CISA;CCSK;CISAW體系

*管理類:PMP 項目管理;軟考中/高項;ITIL體系;Togaf

其他課程如:ACP;Azure...


?
返回頂部