交换机攻击查询篇

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了交换机攻击查询篇相关的知识,希望对你有一定的参考价值。

如何确定攻击类型

当设备遭受攻击时,通常伴随着如下现象:

  1. 用户无法获取ARP。

  2. 用户上线成功率较低。

  3. 用户无法访问网络。

  4. l严重时可能导致设备上所有用户都无法正常访问网络。

当大量用户或固定某个端口下的所有用户出现上述现象时,可以先通过如下定位手段分析是否为攻击问题。

步骤 1     执行命令display cpu-usage查看设备CPU占用率的统计信息,CPU Usage表示的是CPU占用率,TaskName表示的是设备当前正在运行的任务名称。

<HUAWEI> display cpu-usage
CPU Usage Stat. Cycle: 60 (Second)
CPU Usage            : 11% Max: 94% 
CPU Usage Stat. Time : 2017-06-19  15:18:54 
CPU utilization for five seconds: 11%: one minute: 11%: five minutes: 11%       
Max CPU Usage Stat. Time : 2017-06-06 14:57:05.  
 
TaskName        CPU  Runtime(CPU Tick High/Tick Low)  Task Explanation          
VIDL                 89%         e/eb7733fe      DOPRA IDLE
OS                    8%         1/57529fff         Operation System
bcmRX             20%         0/  17a14c       bcmRX
FTS                  20%         0/   ff707          FTS
SOCK               20%         0/  26ac89       SOCKPacket sched
                                                                 ule and process
VPR                   0%         0/ 16e3600       VPR VP Receive

       如果CPU利用率持续较高,并且bcmRX、FTS、SOCK或者VPR任务过高(通常协议报文攻击会导致这些任务过高),则较大可能是收到的报文过多,接下来需要执行步骤2继续判断设备收到的报文类型。

步骤 2     执行命令display cpu-defend statistics all查看相关协议是否有CPCAR丢包、丢包是否多,并确认现网设备是否放大相关协议的CPCAR值。如果CPCAR存在大量丢包,就基本可以确认现网存在攻击,根据丢包的协议,采用相关防攻击措施。

<HUAWEI> display cpu-defend statistics all
 Statistics on mainboard:
--------------------------------------------------------------------------------
Packet Type          Pass(Packet/Byte)   Drop(Packet/Byte)  Last-dropping-time
--------------------------------------------------------------------------------
arp-mff                         0                   0    -
                                     0                   0
arp-miss                       0                   0    -
                                     0                   0
arp-reply                      0                   0    -
                                     0                   0
arp-request                  8423            1284    2017-05-10 14:23:10

丢包协议以及相应的防攻击部署手段

技术分享

以上是关于交换机攻击查询篇的主要内容,如果未能解决你的问题,请参考以下文章

如何判断交换机是不是受到ARP攻击以及处理方式

从交换机安全配置,看常见局域网攻击

交换机防范欺骗攻击

Kali Linux—eNSP模拟交换机MAC地址泛洪攻击

zimbra memecache遭攻击

计算机网络笔试题附解析 ——每天学一点,天天都进步