更新时间:2024-06-13 GMT+08:00
ALM-3276800092 端口攻击
告警解释
SECE/4/STRACKPORT: OID [OID] An attack occurred. (Interface=[OCTET], InnerVlan=[INTEGER], OuterVlan=[INTEGER], EndTime=[OCTET], TotalPackets=[INTEGER])
当系统检测某个端口发生攻击事件时,会发出告警。
告警属性
|
告警ID |
告警级别 |
告警类型 |
|---|---|---|
|
3276800092 |
提示 |
securityServiceOrMechanismViolation(10) |
告警参数
|
参数名称 |
参数含义 |
|---|---|
|
OID |
该告警所对应的MIB节点的OID号。 |
|
Interface |
攻击用户接入的接口。 |
|
InnerVlan |
攻击用户的内层VLAN。 |
|
OuterVlan |
攻击用户的外层VLAN。 |
|
EndTime |
攻击的最后时间。 |
|
TotalPackets |
收到攻击用户的报文数目。 |
对系统的影响
该告警表示CPU可能会由于忙于处理攻击报文,占用率过高,导致一些正常的业务报文无法得到及时的处理,甚至被丢弃。
可能原因
某端口+VLAN下上送CPU的报文超过了命令auto-defend threshold配置的告警阈值。缺省情况,该阈值为60pps。
处理步骤
- 执行display auto-defend attack-source detail命令,检查当前可能的端口攻击源,根据表项中的报文增长速率来判断是否异常。
- 如果确定该端口异常攻击,若网络规划该端口下只有一个用户,并且是由该用户产生的攻击,则可以shutdown该端口,观察是否正常。
- 如该端口下有多个用户,且有部分用户形成了攻击表项,请配置攻击溯源并且对攻击报文的处理动作为deny、或者配置流策略丢弃攻击报文。
- 如果只有端口表项或无法确定时,请收集该设备的配置信息、告警信息和日志信息,并联系技术支持人员。
- 结束。
参考信息
无
父主题: V200版本LSW设备告警
