www国产亚洲精品久久小说,在线 | 一区二区三区四区,综合成人亚洲网友偷自拍,中文字幕人妻第一区,最近中文字幕mv

微思網(wǎng)絡(luò)
全國(guó)免費(fèi)電話:400-881-4699
當(dāng)前位置:首頁(yè)>微思動(dòng)態(tài) > >詳情
全國(guó)熱線電話 400-881-4699

在線留言

【華為】交換機(jī)受到特定的組播報(bào)文攻擊導(dǎo)致CPU占用率高

發(fā)布作者:微思網(wǎng)絡(luò)   發(fā)布時(shí)間:2025-04-24   瀏覽量:0

圖片

現(xiàn)象描述

部署了組播業(yè)務(wù)的交換機(jī)CPU占用率高,同時(shí)發(fā)現(xiàn)交換機(jī)上存在大量239.255.255.250的組播組的轉(zhuǎn)發(fā)表項(xiàng),占用了較多的轉(zhuǎn)發(fā)表項(xiàng)資源,而實(shí)際組播業(yè)務(wù)中并沒(méi)有規(guī)劃該組播組地址。
例如:某局點(diǎn)的一個(gè)用戶子網(wǎng)啟用IPTV業(yè)務(wù)后,交換機(jī)CPU占用率高,同時(shí)發(fā)現(xiàn)交換機(jī)上出現(xiàn)大量源IP地址為某品牌機(jī)頂盒的IP地址,組IP地址為239.255.255.250的組播路由表項(xiàng),并且這些組播表項(xiàng)擴(kuò)散到其他用戶子網(wǎng)絡(luò),設(shè)備上都可以查看到大量該組播組地址的轉(zhuǎn)發(fā)表項(xiàng)。


原因分析

239.255.255.250地址屬于SSDP(Simple Service Discovery Protocol)簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議使用的組播地址,因此當(dāng)網(wǎng)絡(luò)中存在服務(wù)器或者終端PC默認(rèn)啟用SSDP服務(wù)時(shí),便會(huì)發(fā)送對(duì)應(yīng)組播報(bào)文到交換機(jī)上。

由于239.255.255.250地址不屬于組播地址的永久組地址(永久組地址也稱為保留組地址,用于標(biāo)識(shí)一組特定的網(wǎng)絡(luò)設(shè)備,供路由協(xié)議、拓?fù)洳檎业仁褂茫挥糜诮M播轉(zhuǎn)發(fā))224.0.0.X范圍之內(nèi),交換機(jī)將該組播組地址作為一個(gè)正常普通的組播組來(lái)處理,因此會(huì)生成對(duì)應(yīng)的組播轉(zhuǎn)發(fā)表項(xiàng)。

本案例中,初步分析是這種品牌的機(jī)頂盒默認(rèn)啟用了SSDP服務(wù),會(huì)發(fā)送對(duì)應(yīng)“ssdp:discover”消息報(bào)文到源DR交換機(jī)觸發(fā)組播轉(zhuǎn)發(fā)表項(xiàng),同時(shí)向RP注冊(cè)成功后,其他用戶子網(wǎng)中的終端設(shè)備發(fā)送該組播組的Report報(bào)文,導(dǎo)致各子網(wǎng)交換機(jī)均出現(xiàn)大量不同源IP,相同組IP的組播轉(zhuǎn)發(fā)表項(xiàng)。

問(wèn)題判斷方法


  1. 執(zhí)行display cpu-usage命令,查看交換機(jī)CPU占用率,發(fā)現(xiàn)CPU占用率在80%以上,并且查看CPU占用率較高的任務(wù),發(fā)現(xiàn)收包任務(wù)“bcmRx/FTS/VPR/SOCK”占用率最高。
  2. 使用display cpu-defend statistics命令查看上送CPU報(bào)文的統(tǒng)計(jì)信息,判斷是否存在過(guò)多IGMP協(xié)議報(bào)文。
    1. 執(zhí)行reset cpu-defend statistics命令,清除上送CPU報(bào)文的統(tǒng)計(jì)信息。
    2. 執(zhí)行display cpu-defend statistics packet-type igmp all命令,查看上送CPU的IGMP報(bào)文統(tǒng)計(jì)信息。
<HUAWEI> reset cpu-defend statistics
<HUAWEI> display cpu-defend statistics packet-type igmp all
 Statistics on mainboard:                                                       
--------------------------------------------------------------------------------
Packet Type          Pass(Packet/Byte)   Drop(Packet/Byte)  Last-dropping-time  
--------------------------------------------------------------------------------
igmp                             40800               35758  -                                                      
                                   NA                  NA                      
--------------------------------------------------------------------------------
 Statistics on slaveboard:                                                      
--------------------------------------------------------------------------------
Packet Type          Pass(Packet/Byte)   Drop(Packet/Byte)  Last-dropping-time  
--------------------------------------------------------------------------------
igmp                                 0                   0  -                   
                                    NA                  NA                      
--------------------------------------------------------------------------------


  1. 找出組播攻擊源。
可以通過(guò)以下三種方式來(lái)找出組播攻擊源:
    • 端口鏡像獲取報(bào)文信息
端口鏡像獲取報(bào)文信息是最直接的獲取報(bào)文詳細(xì)特征的方式,且對(duì)設(shè)備的CPU不會(huì)造成任何影響,建議在上送CPU的報(bào)文的入方向端口進(jìn)行鏡像。交換機(jī)端口鏡像配置方式請(qǐng)參考產(chǎn)品文檔的“配置指南-網(wǎng)絡(luò)管理與監(jiān)控配置-鏡像配置”章節(jié)。
    • 查看組播表項(xiàng)
    • 如果配置的二層組播,執(zhí)行display igmp-snooping port-info命令,會(huì)發(fā)現(xiàn)有不同主機(jī)端口都收到了239.255.255.250組播組的Report請(qǐng)求。
如果配置的三層組播,執(zhí)行display multicast forwarding-table命令,會(huì)發(fā)現(xiàn)存在較多不同源地址、相同組播地址239.255.255.250的組播轉(zhuǎn)發(fā)表項(xiàng)。
    • 配置基于攻擊溯源的本機(jī)防攻擊策略
[HUAWEI] cpu-defend policy policy1
[HUAWEI-cpu-defend-policy-policy1] auto-defend enable  //使能攻擊溯源功能(缺省情況下,未使能該功能)
[HUAWEI-cpu-defend-policy-policy1] undo auto-defend trace-type source-ip source-mac  //配置攻擊溯源的溯源模式為基于源接口+VLAN(缺省情況下,系統(tǒng)使用三種溯源模式)
[HUAWEI-cpu-defend-policy-policy1] undo auto-defend protocol 8021x arp dhcp icmp tcp telnet ttl-expired udp  //配置攻擊溯源防范的報(bào)文類型為IGMP(缺省情況下,系統(tǒng)對(duì)九種報(bào)文進(jìn)行攻擊溯源防范)
[HUAWEI-cpu-defend-policy-policy1] quit 
[HUAWEI] cpu-defend-policy policy1 global  //在所有接口板上應(yīng)用本機(jī)防攻擊策略(一般組播報(bào)文通過(guò)接口板上送到主控板,所以這里在所有接口板上應(yīng)用)此處以框式交換機(jī)舉例


執(zhí)行display auto-defend attack-sourcedisplay auto-defend attack-source slot slot-id命令,查看主控板和接口板的攻擊源信息。

  1. 通過(guò)以上方法,同時(shí)結(jié)合實(shí)際組播業(yè)務(wù)部署中沒(méi)有規(guī)劃239.255.255.250的組播組地址,確定設(shè)備受到239.255.255.250組播組報(bào)文攻擊。



解決方案


有兩種解法方法,一種是在交換機(jī)上過(guò)濾該組播組報(bào)文(推薦使用該方法),一種是在存在攻擊源的服務(wù)器或終端PC上關(guān)閉SSDP服務(wù)。
  • 在交換機(jī)上過(guò)濾該組播組報(bào)文。
    1. 過(guò)濾239.255.255.250的IGMP協(xié)議報(bào)文。
# 配置高級(jí)ACL,只過(guò)濾組播組239.255.255.250,同時(shí)允許其他IP。
[HUAWEI]acl number 3000
[HUAWEI-acl-adv-3000]rule 5 deny ip destination 239.255.255.250 0
[HUAWEI-acl-adv-3000]rule 10 permit ip
[HUAWEI-acl-adv-3000]quit
# 配置高級(jí)ACL,只過(guò)濾組播組239.255.255.250。
[HUAWEI]acl number 3100
[HUAWEI-acl-adv-3100]rule 10 deny igmp destination 239.255.255.250 0
[HUAWEI-acl-adv-3100]quit
# 過(guò)濾該三層組播報(bào)文。
[HUAWEI]interface vlanif100
[HUAWEI-Vlanif100]ip address 10.100.100.1 255.255.255.0
[HUAWEI-Vlanif100]pim sm  //在接口上使能PIM-SM
[HUAWEI-Vlanif100]igmp enable  //在接口上使能IGMP
[HUAWEI-Vlanif100]igmp group-policy 3000  //在接口上設(shè)置IGMP組播組的過(guò)濾器,限制主機(jī)能夠加入的組播組范圍
[HUAWEI-Vlanif100]quit
# 過(guò)濾該二層組播報(bào)文。
[HUAWEI]vlan 100
[HUAWEI-vlan100]igmp-snooping enable  //使能VLAN的IGMP Snooping功能。
[HUAWEI-vlan100]igmp-snooping group-policy 3000  //配置當(dāng)前VLAN的組播組過(guò)濾策略
[HUAWEI-Vlan100]qui
# 配置黑名單過(guò)濾該IGMP組播組報(bào)文,避免生成239.255.255.250組播組表項(xiàng)。
[HUAWEI]cpu-defend policy igmp-deny
[HUAWEI-cpu-defend-policy-igmp-deny]blacklist 1 acl 3100
[HUAWEI-cpu-defend-policy-igmp-deny]quit
[HUAWEI]cpu-defend-policy igmp-deny global  //(這里以框式交換機(jī)的接口板上存在IGMP報(bào)文攻擊為例)
# 配置組播源組策略過(guò)濾該組播組報(bào)文,避免生成239.255.255.250組播(S,G)表項(xiàng)
[HUAWEI]pim
[HUAWEI-pim]source-policy 3000
[HUAWEI-pim]quit
    1. 過(guò)濾239.255.255.250數(shù)據(jù)報(bào)文。
# 配置流分類,指定目的IP為239.255.255.250。
[HUAWEI]acl number 3200
[HUAWEI-acl-adv-3200]rule 5 permit ip destination 239.255.255.250 0
[HUAWEI-acl-adv-3200]quit
[HUAWEI]traffic classifier ssdp
[HUAWEI-classifier-ssdp]if-match acl 3200
[HUAWEI-classifier-ssdp]quit
# 配置流策略行為。
[HUAWEI]traffic behavior ssdp
[HUAWEI-behavior-ssdp]deny
[HUAWEI-behavior-ssdp]quit
# 配置流策略。
[HUAWEI]traffic policy ssdp
[HUAWEI-trafficpolicy-ssdp]classifier ssdp behavior ssdp
[HUAWEI-trafficpolicy-ssdp]quit
# 應(yīng)用流策略過(guò)濾端口入方向報(bào)文。
[HUAWEI-GigabitEthernet4/0/30]traffic-policy ssdp inbound
  • 在服務(wù)器或終端PC上關(guān)閉SSDP服務(wù)。
    1. 進(jìn)入“控制面板”,選擇“管理工具”,進(jìn)入后再選擇“服務(wù)”。
    2. 在列表中找到“SSDP Discovery Service”服務(wù),選擇并停止該項(xiàng)服務(wù)。

建議與總結(jié)


239.255.255.250組地址屬SSDP服務(wù)所有,一般Windows服務(wù)器默認(rèn)會(huì)開(kāi)啟該服務(wù),因此網(wǎng)絡(luò)中出現(xiàn)該組地址的表項(xiàng)是較為常見(jiàn)的。
對(duì)于交換機(jī)而言,這只是一個(gè)普通的組播組,如果發(fā)現(xiàn)CPU占用率高,并且判斷是受到未在業(yè)務(wù)規(guī)劃內(nèi)的239.255.255.250的報(bào)文攻擊,可以在交換機(jī)上進(jìn)行相關(guān)的過(guò)濾配置或者在服務(wù)器或終端設(shè)備上關(guān)閉該服務(wù),避免交換機(jī)上大量生成該組播組的轉(zhuǎn)發(fā)表項(xiàng)。


相關(guān)介紹


簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議SSDP(Simple Service Discovery Protocol)是一種應(yīng)用層協(xié)議,其構(gòu)成UPnP(通用即插即用)技術(shù)的核心協(xié)議之一。它為網(wǎng)絡(luò)客戶端(network client)提供了一種發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)(network services)的機(jī)制,采用基于通知和發(fā)現(xiàn)路由的組播方式實(shí)現(xiàn)。
SSDP協(xié)議一般使用組播地址239.255.255.250:1900(IPv4),F(xiàn)F0x::C(IPv6)來(lái)傳送相關(guān)消息。
按照協(xié)議的規(guī)定,當(dāng)一個(gè)控制點(diǎn)(客戶端)接入網(wǎng)絡(luò)的時(shí)候,它可以向一個(gè)特定的組播地址的SSDP端口使用M-SEARCH方法發(fā)送“ssdp:discover”消息。當(dāng)設(shè)備發(fā)現(xiàn)這個(gè)保留的組播地址上由控制點(diǎn)發(fā)送的消息的時(shí)候,設(shè)備會(huì)分析控制點(diǎn)請(qǐng)求的服務(wù),如果自身提供了控制點(diǎn)請(qǐng)求的服務(wù),設(shè)備將通過(guò)單播的方式直接響應(yīng)控制點(diǎn)的請(qǐng)求。
SSDP的UDP數(shù)據(jù)報(bào)文和IGMP Report報(bào)文分別如圖17-8圖17-9所示。
圖17-8 SSDP的UDP數(shù)據(jù)報(bào)文
圖片
圖17-9 SSDP的IGMP Report報(bào)文
圖片

圖片





【華為】大量TC報(bào)文導(dǎo)致CPU高怎么解決
【華為五張圖教你快速掌握設(shè)備CPU占用率高相關(guān)知識(shí)
【華為】生成樹(shù)MSTP環(huán)網(wǎng)設(shè)備CPU使用率高的故障處理
【華為】交換機(jī)CPU占用率高怎么解決
【華為】OSPF震蕩引起CPU占用率高怎么解決?
【華為】環(huán)路引起交換機(jī)CPU占用率高的業(yè)務(wù)時(shí)通時(shí)不通問(wèn)題
更多關(guān)注專欄→【網(wǎng)絡(luò)技術(shù)】



END

1微思網(wǎng)絡(luò),始于2002年

專業(yè)IT認(rèn)證培訓(xùn)23年,面向全國(guó)招生!



點(diǎn)擊查看更多【培訓(xùn)課程目錄】

微思-主要課程有:

*網(wǎng)絡(luò)技術(shù):華為HCIA/ HCIP/HCIE;思科CCNA/CCNP/CCIE

*Linux技術(shù):紅帽 RHCE/RHCA

*K8S&容器:CKA/CKS

*數(shù)據(jù)庫(kù):ORACLE OCP/ OCM ;MySQL ;達(dá)夢(mèng)數(shù)據(jù)庫(kù)

*虛擬化:VMware VCP/VCAP

*安全認(rèn)證:CISP體系/CISSP/ CISA;CCSK;CISAW體系

*管理類:PMP 項(xiàng)目管理;軟考中/高項(xiàng);ITIL體系;Togaf

其他課程如:ACP;Azure...


?
返回頂部