ARP攻击导致思科7609CPU利用率过高问题处理案例

ARP攻击导致思科7609CPU利用率过高问题处理案例

        德州分公司  才红星

一、问题发生及处理过程

2009年1月21日上午,维护人员在进行设备监控时发现六局思科7609交换机CPU利用率过高,峰值达100%, Telnet登陆出现较慢的现象。检查设备流量正常,用户上网正常。

经过检查交换机进程,发现ARP Input进程占CPU资源80%左右,其他进程正常。ARP Input进程用于处理传入网络设备的地址解析协议( ARP )请求,该进程占CPU资源过高,表明交换机处理ARP请求超负荷,于是怀疑问题由ARP攻击造成。

由于ARP报文为广播包,通过观察某端口的广播包情况,可以判断该ARP攻击来自于某个端口。在观察广播包前,用clear counters命令将计数器清零,然后立刻通过show interface查看端口的广播包情况:

LIUJU-7609#show interfaces gigabitEthernet 8/24

GigabitEthernet8/24 is up, line protocol is up (connected)

Hardware is C6k 1000Mb 802.3, address is 001b.d520.6ccf (bia 001b.d520.6ccf)

Description: to-geliwang-2826-p25

……

81 packets input, 14068 bytes, 0 no buffer

Received 1 broadcasts (0 multicasts)

0 runts, 0 giants, 0 throttles

……

上例说明8/24口收到的广播包为1个。

通过查看各端口的广播包发现,大部分端口在瞬间接收的广播包都很少,相当一部分为零,但逻辑端口vlan1254在同期接收151025个包,其中广播包居然有145512个。

151025 packets input, 12839419 bytes, 0 no buffer

Received 145512 broadcasts (26 IP multicasts)

于是判定该逻辑端口可能存在ARP攻击现象,关闭该逻辑端口,设备CPU利用率立刻下降到10%左右。至此CPU利用率过高故障排除。

联系宽带维护人员联系用户杀毒后,放开该端口,用户使用正常。

二、原因分析

出现ARP攻击的原因有多种,常见的有病毒、网络成环、设备损坏、人为破坏等。本例就是因为用户端病毒引起。

通常针对ARP攻击需要上专门的流量清洗设备或者找专门的安全产品厂家(如绿盟),需要很大的投资且无法短时间内解决。本案例提供了一个短时间内较好的处理方法。

三、处理技巧

由于该交换机物理端口和逻辑端口非常多,近600个,如果在交换机上逐一查找非常费时费力,且效率较低。可将show interface结果保存到任意文字编辑程序内,通过查找“broadcast”字符来在最短的时间内连续浏览各端口广播包数量,从而查找到可疑端口。

请选择你看完该文章的感受:

0不错 0超赞 0无聊 0扯淡 0不解 0路过

随机文章:

下霾了
下霾了

宁夏中卫分公司通过圆形房包塔通信基站解决一系列难题
宁夏中卫分公司通过圆形房包塔通信基站解决一系列难题

怎么长这么大了
怎么长这么大了

绿萝
绿萝

襄阳分公司与公安部门联动迅速破获蓄电池被盗案
襄阳分公司与公安部门联动迅速破获蓄电池被盗案

忙碌的一天结束了
忙碌的一天结束了

发表评论