更新时间:2024-06-13 GMT+08:00
ALM-3276800104 攻击溯源丢弃报文
告警解释
SECE/4/STRACK_DENY: OID [OID] Some packets are dropped because an attack is detected. (Interface=[OCTET], SourceMAC=[OCTET], SourceIP=[OCTET], InnerVlan=[INTEGER], OuterVlan=[INTEGER])
当系统检测某个攻击源并且将该攻击源的报文丢弃时,会发出该告警。
告警属性
|
告警ID |
告警级别 |
告警类型 |
|---|---|---|
|
3276800104 |
提示 |
securityServiceOrMechanismViolation(10) |
告警参数
|
参数名称 |
参数含义 |
|---|---|
|
OID |
该告警所对应的MIB节点的OID号。 |
|
Interface |
攻击用户接入的接口。 |
|
SourceMAC |
攻击用户的源MAC地址。 |
|
SourceIP |
攻击用户的源IP地址。 |
|
InnerVlan |
攻击用户的内层VLAN。 |
|
OuterVlan |
攻击用户的外层VLAN。 |
对系统的影响
该告警表示设备检测到存在用户对CPU进行了攻击,并且已经将该用户发往CPU的报文丢弃了。
可能原因
用户向设备发送了大量的报文,报文数量超过了系统设定的攻击识别阈值。
处理步骤
- 执行display auto-defend attack-source detail命令,检查当前可能的用户攻击源,并确认该用户是否为合法用户。
- 如果该用户为非法用户,该攻击报文已经被设备自动丢弃,无须处理。到步骤6。
- 如果该用户为合法用户,可通过配置攻击溯源白名单使该用户不受攻击溯源检查。
- 如果发现有很多可能的攻击源存在,并且确认这些用户都是合法的,则可能是当前的攻击溯源的检查阈值太低(缺省为128pps),需要执行命令auto-defend threshold threshold将阈值放大到一个合适的值。到步骤6。
- 如果经过上述处理仍无法解决问题,请收集该设备的配置信息、告警信息和日志信息,并联系技术支持人员。
- 结束。
参考信息
无
父主题: V200版本LSW设备告警
