JS-华为9306交换机ICMP包攻击导致直连丢包但业务不受影响故障处(2)

fib-hit 9000 0 90 0 arp-miss 17034 0 207 0 unknown-packet 0 0 0 0 unknown-multicast 13717348 0 166654 0 hopbyhop 0 0 0 0 pppoe 0 0 0 0 bpdu-tunnel 0 0 0 0 从上述很容易看出：大量的ICMP经交换机处理不过来从而丢弃。 步骤二：在交换机9306上开启ICMP的debug信息找出具体的攻击源。 通过在交换机上执行debugging ip icmp，发现从鹤山上来的主要有132.103.145.0/24、 132.103.146.0/24、 132.103.147.0/24三个网段的源进行大量的icmp包。于是建议客户要求鹤山本地关注这些网段的终端进行病毒扫描处理。 步骤三：业务恢复（在交换机上针对上述的三个网段的ICMP包进行黑名单处理） acl number 3100 rule 5 permit icmp source 132.103.145.0 0.0.0.255 rule 10 permit icmp source 132.103.147.0 0.0.0.255 rule 15 permit icmp source 132.103.146.0 0.0.0.255 # cpu-defend policy 1 blacklist 1 acl 3100 # slot 1 cpu-defend-policy 1 处理后，icmp处理恢复正常，直连ping 也不再丢包。并且观察了一天后，也正常。 因此，攻击源在鹤山本地。 处理过程信息LOG 编号 文件名 说明 1 LOG文件应包含设备的软件版本信息、硬件配置信息、处 理过程日志等内容。 根本原因分析 1、华为9300系列交换默认隐藏模式下有针对各种报文的QOS限速机制，当对应的报文超出设定的速率值时，由CPU-DEFENSE将后续的包进行丢弃，如ICMP，后续的包就表现为丢包现象。