更新时间:2024-06-13 GMT+08:00
ALM-3276800105 攻击溯源error down端口
告警解释
SECE/4/STRACK_ERROR_DOWN: OID [OID] Interface's status is changed to error-down because an attack is detected, Interface [OCTET].
当系统检测某个攻击源并且把该攻击源来源的端口设置为error-down状态时,会发出该告警。
告警属性
告警ID |
告警级别 |
告警类型 |
|---|---|---|
3276800105 |
提示 |
securityServiceOrMechanismViolation(10) |
告警参数
参数名称 |
参数含义 |
|---|---|
OID |
该告警所对应的MIB节点的OID号。 |
Interface |
攻击用户接入的接口。 |
对系统的影响
该告警表示设备检测到了攻击并已经将该攻击来源的端口设置为error-down状态,该端口不能正常工作了。
可能原因
该告警表示设备检测到来自该端口的大量报文,报文数量超过了命令auto-defend threshold配置的攻击识别阈值,被识别为攻击源。缺省情况下,该阈值为60pps。
处理步骤
- 执行display auto-defend attack-source detail命令,检查当前可能的用户攻击源,并确认该用户是否为合法用户。
- 如果确定该端口异常攻击,若网络规划该端口下只有一个用户,那该用户的攻击已经被自动阻止,无须处理。到步骤5。
- 如果该端口下有多个用户,且有部分用户形成了攻击表项,请配置攻击溯源并且对攻击报文的处理动作为deny、或者配置流策略丢弃攻击报文。
- 如果只有端口表项或无法确定时,请收集该设备的配置信息、告警信息和日志信息,并联系技术支持人员。
- 结束。
参考信息
无
父主题: V200版本LSW设备告警
