更新时间:2024-06-13 GMT+08:00
分享

ALM-3276800104 攻击溯源丢弃报文

告警解释

SECE/4/STRACK_DENY: OID [OID] Some packets are dropped because an attack is detected. (Interface=[OCTET], SourceMAC=[OCTET], SourceIP=[OCTET], InnerVlan=[INTEGER], OuterVlan=[INTEGER])

当系统检测某个攻击源并且将该攻击源的报文丢弃时,会发出该告警。

告警属性

告警ID

告警级别

告警类型

3276800104

提示

securityServiceOrMechanismViolation(10)

告警参数

参数名称

参数含义

OID

该告警所对应的MIB节点的OID号。

Interface

攻击用户接入的接口。

SourceMAC

攻击用户的源MAC地址。

SourceIP

攻击用户的源IP地址。

InnerVlan

攻击用户的内层VLAN。

OuterVlan

攻击用户的外层VLAN。

对系统的影响

该告警表示设备检测到存在用户对CPU进行了攻击,并且已经将该用户发往CPU的报文丢弃了。

可能原因

用户向设备发送了大量的报文,报文数量超过了系统设定的攻击识别阈值。

处理步骤

  1. 执行display auto-defend attack-source detail命令,检查当前可能的用户攻击源,并确认该用户是否为合法用户。
  2. 如果该用户为非法用户,该攻击报文已经被设备自动丢弃,无须处理。到步骤6。
  3. 如果该用户为合法用户,可通过配置攻击溯源白名单使该用户不受攻击溯源检查。
  4. 如果发现有很多可能的攻击源存在,并且确认这些用户都是合法的,则可能是当前的攻击溯源的检查阈值太低(缺省为128pps),需要执行命令auto-defend threshold threshold将阈值放大到一个合适的值。到步骤6。
  5. 如果经过上述处理仍无法解决问题,请收集该设备的配置信息、告警信息和日志信息,并联系技术支持人员。
  6. 结束。

参考信息

相关文档