0 0 0 0 0 0 0
0 0 0 0 0 0 0
0 0 0
0 0 0 0 0 0 2 0 0 0 0 0 0
0 0 136 0 0
0 0 0
fib-hit arp-miss unknhopbyhop pppoe bpdu-tunnel
9000 17034 0 13717348 0 0 0
步骤三：业务恢复（在交换机上针对上述的三个网段的 ICMP 包进行黑名单处理） acl number 3100 rule 5 permit icmp source 132.103.145.0 0.0.0.255 rule 10 permit icmp source 132.103.147.0 0.0.0.255 rule 15 permit icmp source 132.103.146.0 0.0.0.255 # cpu-defend policy 1 blacklist 1 acl 3100 # slot 1 cpu-defend-policy 1 处理后，icmp 处理恢复正常，直连 ping 也不再丢包。并且观察了一天后，也正常。 因此，攻击源在鹤山本地。
mpls-ldp ttl-expired icmp eoam-3ah eoam-1ag mpls-ping mpls-ttl-expired ntp 8021x http ripng ospfv3 bgp4plus pimv6 hotlimit vrrp6 dhcpv6-request dhcpv6-reply mld icmpv6 hvrp telnet ssh ftp snmp radius hw-tacacs tcp mpls-fib-hit 0 0 143622
ospf bgp mpls-rsvp mpls-ldp ttl-expired icmp eoam-3ah mpls-ping mpls-ttl-expired ntp ripng ospfv3 bgp4plus pimv6 hotlimit vrrp6 mld icmpv6 telnet ssh ftp snmp radius hw-tacacs tcp mpls-fib-hit fib-hit arp-miss unknown-packet
14060 88257 0 0 0 118941948 0 0 0 0 0 0 0 0 0 0 13130 0 800735 0 0 0 0 0 14052 0 0 16302 0 0 0 0 0 0
0 0 0 0
132 1175 0 0 0 1828397 0 0 0 0 0 0 0 0 0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
------------------------------------------------------------------------------CPCAR on slot 1 ------------------------------------------------------------------------------Packet Type arp-request arp-reply stp smart-link ldt lacp lldp dldp vrrp mpls-oam isis dhcp-client dhcp-server igmp pim rip ospf bgp bfd mpls-rsvp 0 0 0 0 0 0 2122962 91561 0 0 Pass(Bytes) Drop(Bytes) 11968 4420 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 22963 1175 0 0 0 0 Pass(Packets) 176 66 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 Drop(Packets) 0 0 0 0 0 0 0 0 0 0
处理过程信息 LOG 编号 文件名 说明
1
LOG 文件应包含设备的软件版本信息、硬件配置信息、处 理过程日志等内容。
根本原因分析 1、华为 9300 系列交换默认隐藏模式下有针对各种报文的 QOS 限速机制，当对应的报文超出设定的速率 值时，由 CPU-DEFENSE 将后续的包进行丢弃，如 ICMP，后续的包就表现为丢包现象。
0 0 0 0 0 0 0
90 207 0 166654 0 0 0
0 0 0 0 0 0 0
从上述很容易看出：大量的 ICMP 经交换机处理不过来从而丢弃。
步骤二：在交换机 9306 上开启 ICMP 的 debug 信息找出具体的攻击源。 通过在交换机上执行 debugging ip icmp，发现从鹤山上来的主要有 132.103.145.0/24、 132.103.146.0/24、 132.103.147.0/24 三个网段的源进行大量的 icmp 包。于是建议客户要求鹤山本地关注这些网段的终端进行病毒扫描处理。
0 0
0
0 1453 2626569 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 135 0 0 12553 0 0 0 0 0 0 180 0 0
0 0 9079349 0 0 0
180788146 0 0 0
622068196 0 0 0 0
0 0 0 0 0 0 0 0 0 0 0 13670 0 0 853955 0 0 0 0 0 13392 0 0
华为 9306 交换机 ICMP 包攻击导致直连丢包但业务不受影响 故障处理故报告
故障现象描述与说明 故障现象： Ping 华为 9306 交换机的任何直连地址会丢包，经过交换机的业务数据不受影响。 现状、拓扑与配置
网络情况： 华为 9303 交换机 华为 9306 交换机
故障现象及处理
步骤一：1、在交换机 9306-B 上通过命令 display logbuffer 查看 Apr 23 2012 14:25:16 JM-SN5L-DCN-9306-2 %%01QOSE/4/CPCAR_DROP_LPU(l): Some packets are dropped by cpcar on the LPU in slot 1. (Protocol=icmp, Drop-Count=0529546) Apr 23 2012 14:25:16 JM-SN5L-DCN-9306-2 %%01QOSE/4/CPCAR_DROP_MPU(l): Some packets are dropped by cpcar on the MPU. (Protocol=icmp, Drop-Count=049663) Apr 23 2012 14:15:16 JM-SN5L-DCN-9306-2 %%01QOSE/4/CPCAR_DROP_LPU(l): Some packets are dropped by cpcar on the LPU in slot 1. (Protocol=icmp, Drop-Count=0489843) Apr 23 2012 14:15:16 JM-SN5L-DCN-9306-2 %%01QOSE/4/CPCAR_DROP_MPU(l): Some packets are dropped by cpcar on the MPU. (Protocol=icmp, Drop-Count=049826) Apr 23 2012 14:09:39 JM-SN5L-DCN-9306-2 %%01HWCM/4/EXIT(l): Exit from configure mode. Apr 23 2012 14:05:16 JM-SN5L-DCN-9306-2 %%01QOSE/4/CPCAR_DROP_LPU(l): Some packets are dropped by cpcar on the LPU in slot 1. (Protocol=icmp, Drop-Count=0483657) 大量的 icmp 包到达设备后由主引擎和 slot1 的 CPCAR 进行丢弃。 2、在交换机 9306-B 上通过命令 display cpu-defend statistics all 查看 CPCAR on mainboard ------------------------------------------------------------------------------Packet Type stp smart-link ldt lacp lldp dldp vrrp isis igmp pim rip Pass(Bytes) Drop(Bytes) 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 Pass(Packets) 0 0 0 0 0 0 0 0 0 0 0 Drop(Packets) 0 0 0 0 0 0 0 0 0 0 0
0 0 0 0
52491134 0 0
807336 0 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0 0 0 0 0 0
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
135 0 12506 0 0
0 0 198 0 0
0 0
207 0
hopbyhop pppoe bpdu-tunnel rrpp udp-helper