【华为】交换机受到特定的组播报文攻击导致CPU占用率高
发布作者:微思网络 发布时间:2025-04-24 浏览量:0次
现象描述
原因分析
239.255.255.250地址属于SSDP(Simple Service Discovery Protocol)简单服务发现协议使用的组播地址,因此当网络中存在服务器或者终端PC默认启用SSDP服务时,便会发送对应组播报文到交换机上。
由于239.255.255.250地址不属于组播地址的永久组地址(永久组地址也称为保留组地址,用于标识一组特定的网络设备,供路由协议、拓扑查找等使用,不用于组播转发)224.0.0.X范围之内,交换机将该组播组地址作为一个正常普通的组播组来处理,因此会生成对应的组播转发表项。
本案例中,初步分析是这种品牌的机顶盒默认启用了SSDP服务,会发送对应“ssdp:discover”消息报文到源DR交换机触发组播转发表项,同时向RP注册成功后,其他用户子网中的终端设备发送该组播组的Report报文,导致各子网交换机均出现大量不同源IP,相同组IP的组播转发表项。
问题判断方法
执行display cpu-usage命令,查看交换机CPU占用率,发现CPU占用率在80%以上,并且查看CPU占用率较高的任务,发现收包任务“bcmRx/FTS/VPR/SOCK”占用率最高。 使用display cpu-defend statistics命令查看上送CPU报文的统计信息,判断是否存在过多IGMP协议报文。
执行reset cpu-defend statistics命令,清除上送CPU报文的统计信息。 执行display cpu-defend statistics packet-type igmp all命令,查看上送CPU的IGMP报文统计信息。
<HUAWEI> reset cpu-defend statistics
<HUAWEI> display cpu-defend statistics packet-type igmp all
Statistics on mainboard:
--------------------------------------------------------------------------------
Packet Type Pass(Packet/Byte) Drop(Packet/Byte) Last-dropping-time
--------------------------------------------------------------------------------
igmp 40800 35758 -
NA NA
--------------------------------------------------------------------------------
Statistics on slaveboard:
--------------------------------------------------------------------------------
Packet Type Pass(Packet/Byte) Drop(Packet/Byte) Last-dropping-time
--------------------------------------------------------------------------------
igmp 0 0 -
NA NA
--------------------------------------------------------------------------------找出组播攻击源。
端口镜像获取报文信息
查看组播表项 如果配置的二层组播,执行display igmp-snooping port-info命令,会发现有不同主机端口都收到了239.255.255.250组播组的Report请求。
配置基于攻击溯源的本机防攻击策略
[HUAWEI] cpu-defend policy policy1
[HUAWEI-cpu-defend-policy-policy1] auto-defend enable //使能攻击溯源功能(缺省情况下,未使能该功能)
[HUAWEI-cpu-defend-policy-policy1] undo auto-defend trace-type source-ip source-mac //配置攻击溯源的溯源模式为基于源接口+VLAN(缺省情况下,系统使用三种溯源模式)
[HUAWEI-cpu-defend-policy-policy1] undo auto-defend protocol 8021x arp dhcp icmp tcp telnet ttl-expired udp //配置攻击溯源防范的报文类型为IGMP(缺省情况下,系统对九种报文进行攻击溯源防范)
[HUAWEI-cpu-defend-policy-policy1] quit
[HUAWEI] cpu-defend-policy policy1 global //在所有接口板上应用本机防攻击策略(一般组播报文通过接口板上送到主控板,所以这里在所有接口板上应用)此处以框式交换机举例
执行display auto-defend attack-source和display auto-defend attack-source slot slot-id命令,查看主控板和接口板的攻击源信息。
通过以上方法,同时结合实际组播业务部署中没有规划239.255.255.250的组播组地址,确定设备受到239.255.255.250组播组报文攻击。
解决方案
在交换机上过滤该组播组报文。
过滤239.255.255.250的IGMP协议报文。
[HUAWEI]acl number 3000
[HUAWEI-acl-adv-3000]rule 5 deny ip destination 239.255.255.250 0
[HUAWEI-acl-adv-3000]rule 10 permit ip
[HUAWEI-acl-adv-3000]quit
[HUAWEI]acl number 3100
[HUAWEI-acl-adv-3100]rule 10 deny igmp destination 239.255.255.250 0
[HUAWEI-acl-adv-3100]quit[HUAWEI]interface vlanif100
[HUAWEI-Vlanif100]ip address 10.100.100.1 255.255.255.0
[HUAWEI-Vlanif100]pim sm //在接口上使能PIM-SM
[HUAWEI-Vlanif100]igmp enable //在接口上使能IGMP
[HUAWEI-Vlanif100]igmp group-policy 3000 //在接口上设置IGMP组播组的过滤器,限制主机能够加入的组播组范围
[HUAWEI-Vlanif100]quit[HUAWEI]vlan 100
[HUAWEI-vlan100]igmp-snooping enable //使能VLAN的IGMP Snooping功能。
[HUAWEI-vlan100]igmp-snooping group-policy 3000 //配置当前VLAN的组播组过滤策略
[HUAWEI-Vlan100]qui
[HUAWEI]cpu-defend policy igmp-deny
[HUAWEI-cpu-defend-policy-igmp-deny]blacklist 1 acl 3100
[HUAWEI-cpu-defend-policy-igmp-deny]quit
[HUAWEI]cpu-defend-policy igmp-deny global //(这里以框式交换机的接口板上存在IGMP报文攻击为例)
[HUAWEI]pim
[HUAWEI-pim]source-policy 3000
[HUAWEI-pim]quit
过滤239.255.255.250数据报文。
[HUAWEI]acl number 3200
[HUAWEI-acl-adv-3200]rule 5 permit ip destination 239.255.255.250 0
[HUAWEI-acl-adv-3200]quit
[HUAWEI]traffic classifier ssdp
[HUAWEI-classifier-ssdp]if-match acl 3200
[HUAWEI-classifier-ssdp]quit
[HUAWEI]traffic behavior ssdp
[HUAWEI-behavior-ssdp]deny
[HUAWEI-behavior-ssdp]quit
[HUAWEI]traffic policy ssdp
[HUAWEI-trafficpolicy-ssdp]classifier ssdp behavior ssdp
[HUAWEI-trafficpolicy-ssdp]quit
[HUAWEI-GigabitEthernet4/0/30]traffic-policy ssdp inbound
在服务器或终端PC上关闭SSDP服务。
进入“控制面板”,选择“管理工具”,进入后再选择“服务”。 在列表中找到“SSDP Discovery Service”服务,选择并停止该项服务。
建议与总结
相关介绍
END 1微思网络,始于2002年 专业IT认证培训23年,面向全国招生! 点击查看更多【培训课程目录】 微思-主要课程有: *网络技术:华为HCIA/ HCIP/HCIE;思科CCNA/CCNP/CCIE *Linux技术:红帽 RHCE/RHCA *K8S&容器:CKA/CKS *数据库:ORACLE OCP/ OCM ;MySQL ;达梦数据库 *虚拟化:VMware VCP/VCAP *安全认证:CISP体系/CISSP/ CISA;CCSK;CISAW体系 *管理类:PMP 项目管理;软考中/高项;ITIL体系;Togaf 其他课程如:ACP;Azure...
