CPU-Defend Policy本机防攻击 本机防攻击可保护CPU,解决CPU因处理大量正常上送CPU的报文或者恶意攻击报文造成的业务中断问题。 安全策略介绍 本机防攻击包括CPU防攻击、攻击溯源两部分功能。 CPU防攻击可以针对上送CPU的报文进行限制和约束,使单位时间内上送CPU报文的数量限制在一定的范围之内,从而保护CPU的安全,保证...
1. 执行display auto-defend attack-source命令,检查当前可能的端口攻击源,根据表项中的报文增长速率来判断是否存在异常。 如果是,则请执行步骤2。 如果不是,则请执行步骤7。 2. 检查存在攻击表项的端口下的用户数量。 如果只有一个用户,则请执行步骤3。 如果有多个用户,则请执行步骤5。 3. 判断是否由该用户...
02 检查是否上送CPU的报文太多 执行命令display cpu-defend statistics,查看上送CPU报文的统计信息,关注丢弃计数。 <Huawei> display cpu-defend statistics all --- Packet Type Pass Packets Drop Packets --- 8021X 0 0 arp-miss 1 0 arp-reply 5 0 arp-request 1450113 25597 bfd 0 0bgp0 0 dhcp-clie...
All rights reserved. We use cookies on this site, in order for the site to work properly and to analyse traffic, offer enhanced functionality and personalise content. Learn more . Accept CookiesReject Cookies The system is abnormal.
display cpu-defend statistics 对于报文冲击导致CPU高的情形,可进一步通过cpu-defend统计查询功能确认具体的协议类型。 协议上送过多判断标准:该协议对应的Drop列有大量计数,且相对于Pass计数占比较高,例如上表中的arp-request类型。 display logbuffer CPU使用率高往往还伴有告警、日志出现,可以通过查看日志缓冲区的历史...
display cpu-defend statistics 对于报文冲击导致CPU高的情形,可进一步通过cpu-defend统计查询功能确认具体的协议类型。 协议上送过多判断标准:该协议对应的Drop列有大量计数,且相对于Pass计数占比较高,例如上表中的arp-request类型。 display logbuffer CPU使用率高往往还伴有告警、日志出现,可以通过查看日志缓冲区的历史...
如上图2所示,框式交换机每个芯片/逻辑的限速主要分为三类:基于协议的限速、基于队列的限速、基于端口的所有报文统一限速。如下以V200R007版本S9300非X1E系列的业务板为例,介绍CPU限速等的缺省情况(其他款型、其他版本可以通过命令display cpu-defend configuration all查看)。
如图2-2所示,每个芯片/逻辑的限速主要分为三类:基于协议的限速、基于队列的限速、基于端口的所有报文统一限速。如下以V200R007版本S9300非X1E系列的业务板为例,介绍CPU限速等的缺省情况(其他款型、其他版本可以通过命令display cpu-defend configuration all查看)。
[HUAWEI-cpu-defend-policy-policy1] auto-defend action deny timer 300 //(缺省情况下,未使能攻击溯源的惩罚功能) 配置本机防攻击策略的黑名单,直接丢弃黑名单用户上送的报文。 如果判断攻击源为特定用户的恶意报文(假设攻击源为1.1.1.0/24)攻击,可以通过ACL把符合特定特征的用户纳入到黑名单中,被纳入黑名单的...
执行命令display cpu-defend statistics,查看上送CPU报文的统计信息,关注丢弃计数。 如果某种类型报文“Drop”计数较大,且对应上一步中占用的CPU使用率较高,可以判断为发生了报文攻击。 如果没有发现有流量过大的报文,请执行步骤3。 03检查是否TC报文过多 ...