漏桶問題的處理與預防措施
2015-12-31 00:00:00李春竹
中國新通信 2015年14期
【摘要】 通過漏桶上送的報文一般都是與網關有交互,根據實際情況,考慮配置以下漏桶,對丟棄頻繁的漏桶進行限流配置。
【關鍵詞】 漏桶 攻擊 配置
一、引言
松原局s8016設備曾被病毒惡意攻擊過,經過認真核實,訪問列表等都已經設置了,但是CPU的占用率為100%,這顯然是不正常的現象,為了有效遏制病毒攻擊,我們及時與華為工程師溝通,采取了有效的措施及時地進行障礙診斷處理,對該設備的漏桶進行重新設置。因為通過漏桶上傳的報文一般都是與網關有交互,需要到MPU處理的協議報文或者ping網關及telnet、FTP等報文,根據實際情況,考慮配置以下漏桶,對丟棄頻繁的漏桶進行限流配置。
二、故障現象描述:
首先查看漏桶:
[8016]display system-bucket 1
****Token information****
#The slot number: 1 /*板號*/
#The token ID: 1 /*漏桶號*/
The time of the last packets arrive:36403113 /*上次報文到來的時間ms*/
The number of present tokens: 32716 /*當前剩余的令牌*/
The traffic rate of the token: 32K /*漏桶通道大小*/
The height of the token bucket:32768 /*漏桶深度*/
The number of the discarded packets: 0 /*丟棄報文數*/
三、障礙處理過程
根據網上設備運行經驗:如果單板ARP數小于100個,則漏桶可以配置為2K;如果單板的ARP數小于500個,對于ARP攻擊建議將漏桶配置成4K;如果大于500個,建議漏桶配置值為8K。通過上述的配置,在一般情況或者攻擊很少的情況對正常業務影響不大。具體配置如下:
apply system-bucket 1 22 traffic-rate 4/*將1號板的22號漏桶ARP配置為4K*/每個漏桶的報文類型可以通過?命令查看“display system-bucket
<156>display system-bucket 7 ?
1 Default bucket,any packet not list here use this bucket
缺省類型,也就是表中沒有列出的其他類型報文都公用這一個桶
2 ARP Miss message,use it to form ARP entry
ARP MISS 消息(請求下一跳的ARP)
3 FIB Miss Message,use it to form host route entry
FIB MISS消息(掃描網段時經常發生,上送觸發ARP請求)
4 PPP protocol control frame
PPP控制報文
5 Packet MFIB Miss ,use it to form (S,G) route
組播路由MISS后導致的上送消息
6 ARP response packet
回應S8016的ARP應答報文
8 ISIS protocol packet
ISIS報文
9 IP multicast packet which destIP address is 224.0.0.2(used by IGMP, LDP
etc)
224.0.0.2:所有組播路由器,應用的協議:IGMP、LDP
10 IP multicast packet which destIP address is 224.0.0.5(used by OSPF) 224.0.0.5:OSPF路由器
11 IP multicast packet which destIP address is 224.0.0.6(used by OSPF) 224.0.0.6:OSPF指定路由器
12 IP multicast packet which destIP address is 224.0.0.9(used by RIP2) 224.0.0.9:RIP2路由器
14 IP multicast packet which destIP address is 224.0.0.13(used by PIM)
15 Other IP multicast packet which destIP address is in
224.0.0.0-224.0.0.255(excluded.2 .5 .6 .9 .10 .13 .18)
其他組播報文應用不多,本參數應該可以滿足
16 HGMP protocol packet
HGMP報文上送
17 GVRP protocol packet
GVRP報文上送
19 BPDU protocol packet
BPDU報文上送
21 Packet length exceed MTU and DF flag is set,it is used by host to discover the MTU in the route
MTU超值且DF置位上送
22 ARP request packet send by all the host,use it to learning host route
ARP 請求報文,一般用戶發出或者下級設備發出
23 DHCP protocol packet
DHCP報文
24 Arp request packet witch destIP is in NAT pool
NAT地址池的ARP請求報文,應用很少
25 Register packet used in PIM SIM protocol
組播注冊報文
27 Packet which destIP is ip address of gateway, exclude ICMP and TCP
目的地址為網關的報文,不報括ICMP和TCP,通常為UDP報文等
28 ICMP request packet witch destIP is webswitch’s VIP
和CLPU板相關,應用很少
30 IP multicast packet which destIP address is 224.0.0.18(used by VRRP) VRRP組播報文,如果有VRRP配置時會有
31 ICMP packet which destIP is ip address of gateway, for example, ping packet
目的地址為網關的ICMP報文,典型的為ping
32 TCP packet which destIP is ip address of gateway, for example, FTP, BGP peer, LDP session
目的地址為網關的的TCP報文,如果沒有BGP和LDP,注意此漏桶的攻擊,默認帶寬較大,有256K
33 RIP1 protocol packet
RIP協議報文
A:想查看8016的CPU占用率,只需要在系統視圖下輸入display cpu命令。
四、故障總結
通過本次故障處理,讓我更進一步了解了S8016的性能,掌握了交換機受攻擊的處理流程,學習到了以前不了解的知識,在今后的維護工作中一定會有所幫助。
