文档首页/ 华为乾坤/ 更多文档/ 设备告警处理/ V200版本LSW设备告警/ ALM-3276800105 攻击溯源error down端口
更新时间:2024-06-13 GMT+08:00
分享

ALM-3276800105 攻击溯源error down端口

告警解释

SECE/4/STRACK_ERROR_DOWN: OID [OID] Interface's status is changed to error-down because an attack is detected, Interface [OCTET].

当系统检测某个攻击源并且把该攻击源来源的端口设置为error-down状态时,会发出该告警。

告警属性

告警ID

告警级别

告警类型

3276800105

提示

securityServiceOrMechanismViolation(10)

告警参数

参数名称

参数含义

OID

该告警所对应的MIB节点的OID号。

Interface

攻击用户接入的接口。

对系统的影响

该告警表示设备检测到了攻击并已经将该攻击来源的端口设置为error-down状态,该端口不能正常工作了。

可能原因

该告警表示设备检测到来自该端口的大量报文,报文数量超过了命令auto-defend threshold配置的攻击识别阈值,被识别为攻击源。缺省情况下,该阈值为60pps。

处理步骤

  1. 执行display auto-defend attack-source detail命令,检查当前可能的用户攻击源,并确认该用户是否为合法用户。
  2. 如果确定该端口异常攻击,若网络规划该端口下只有一个用户,那该用户的攻击已经被自动阻止,无须处理。到步骤5。
  3. 如果该端口下有多个用户,且有部分用户形成了攻击表项,请配置攻击溯源并且对攻击报文的处理动作为deny、或者配置流策略丢弃攻击报文。
  4. 如果只有端口表项或无法确定时,请收集该设备的配置信息、告警信息和日志信息,并联系技术支持人员。
  5. 结束。

参考信息

相关文档