知

S7506X 收到大量arp导致 CPU高

2024-08-23 发表

0关注
0收藏 4440浏览

小王

小王四段

粉丝：0人关注：14人

组网及说明

设备做终端的网关

告警信息

ARP/5/ARP_PACKET_SPEEDLIMIT_ALARM: -MDC=1-Slot=0; ARP or ARP miss packets were sent at 802 pps, which exceeded the alarm threshold.

S7506X_OLT DRVPLAT/4/SOFTCAR DROP: -Slot=0;

PktType= ARP , srcMAC=0200-004a-67b2，Drop From Interface=Olt0/0/9 at Stage=7, StageCnt=381959, TotalCnt=1135172

问题描述

设备业务异常，终端不定时获取不到地址

slot0的cpu异常高，正常时不到10%

[OLT-probe]display cpu-usage

Slot 0 CPU 0 CPU usage:

70% in last 5 seconds

70% in last 1 minute

69% in last 5 minutes

Slot 1 CPU 0 CPU usage:

6% in last 5 seconds

7% in last 1 minute

8% in last 5 minutes

过程分析

[OLT]monitor process slot 0 //看到收包和arp相关进程高

290 processes; 318 threads; 593 fds

Thread states: 6 running, 312 sleeping, 0 stopped, 0 zombie

CPU states: 0.02% idle, 4.23% user, 77.96% kernel, 17.79% interrupt

Memory: 976M total, 344M available, page size 4K

JID PID PRI State FDs MEM HH:MM:SS CPU Name

187 187 120 R 0 0K 01:24:58 41.96% [T_RT]

206 206 115 R 0 0K 00:38:55 16.07% [bRX1]

346 346 115 R 0 0K 00:37:56 13.09% [karp/1]

270 270 120 R 22 12352K 00:06:35 6.39% diagd

198 198 111 D 0 0K 00:08:46 4.01% [SC_CORE]

34 34 100 D 0 0K 00:04:32 3.27% [RECV]

1 1 120 S 17 10432K 00:00:22 2.52% scmd

93 93 115 D 0 0K 00:03:15 2.08% [PRSC]

61 61 116 D 0 0K 00:01:53 1.63% [bLK0]

204 204 120 D 0 0K 00:02:30 1.63% [SCAR]

解决方法

debug rxtx softcar show slot 0 看上cpu是否有丢包

ID Type RcvPps Rcv_All DisPkt_All Pps Dyn Swi Hash ACLmax

29 ARP 1211 13623388 725999 750 S On SMAC 8

限速750pps ，每秒1211，导致超过限速丢包

cpu高主要是arp报文冲击cpu引起的。

Probe视图执行下述命令，看看arp报文主要从哪个端口上来的，看看是否存在arp攻击

debug rxtx softcar 29 portdetail slot 0

可以看出各个接口arp报文收到的速度，确认是哪个接口收到异常大量的arp

[_S7506X_OLT-probe]debug rxtx softcar 29 portdetail slot 0

Softcar Type ARP PortStatusFetchCnt=11112

Port Level Attkd_time Packet/s DisPkt/s Pack_tol DisP_tol Pps/P Proprtn

0 0 0 0 0 25077 0 750 0 1 0

1 1 0 101 0 6074272 166723 750 0 1 0

2 0 0 0 0 15999 0 750 0 1 0

3 0 0 0 0 0 0 750 0 1 0

4 0 0 0 0 783 0 750 0 1 0

5 0 0 0 0 0 0 750 0 1 0

6 0 0 0 0 4685 0 750 0 1 0

7 0 0 0 0 0 0 750 0 1 0

8 5 -9 475 0 7576769 564567 750 1 1 1

9 0 0 0 0 1866 0 750 0 1 0

10 0 0 0 0 0 0 750 0 1 0

Port 8对应port maping 的name ge8 对应olt0/0/9
Port1 对应 port maping的 name ge1 对应0/0/2

[RHWGY_CORE_S7506X_OLT-probe]debug port mapping slot 0

[Interface] [Unit] [Port] [Name] [Combo?] [Active?] [IfIndex] [MID] [Link]

===============================================================================

OLT0/0/1 0 1 ge0 no no 0x1 4 up

OLT0/0/2 0 2 ge1 no no 0x2 4 up

OLT0/0/3 0 3 ge2 no no 0x3 4 up

OLT0/0/4 0 4 ge3 no no 0x4 4 down

OLT0/0/5 0 5 ge4 no no 0x5 4 up

OLT0/0/6 0 6 ge5 no no 0x6 4 down

OLT0/0/7 0 7 ge6 no no 0x7 4 up

OLT0/0/8 0 8 ge7 no no 0x8 4 up

OLT0/0/9 0 9 ge8 no no 0x9 4 up

OLT0/0/10 0 10 ge9 no no 0xa 4 up

OLT0/0/11 0 11 ge10 no no 0xb 4 up

OLT0/0/12 0 12 ge11 no no 0xc 4 up

OLT0/0/13 0 13 ge12 no no 0xd 4 up

这两个接口收到大量arp导致cpu高

使用如下功能防护

源MAC地址固定的ARP攻击检测功能简介

本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计，在5秒内，如果收到同一源MAC地址（源MAC地址固定）的ARP报文超过一定的阈值，则认为存在攻击，系统会将此MAC地址添加到攻击检测表项中。当开启了ARP日志信息功能（配置arp source-mac log enable命令），且在该攻击检测表项老化之前，如果设置的检查模式为过滤模式，则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉，同时，还会将源/目的MAC地址为该MAC地址的数据报文也过滤掉；如果设置的检查模式为监控模式，则只打印日志信息，不会将该源MAC地址发送的ARP报文过滤掉。关于ARP日志信息功能的详细描述，请参见“三层技术-IP业务配置指导”中的“ARP”。

切换源MAC地址固定的ARP攻击检查模式时，如果从监控模式切换到过滤模式，过滤模式马上生效；如果从过滤模式切换到监控模式，已生成的攻击检测表项，到表项老化前还会继续按照过滤模式处理。

对于网关或一些重要的服务器，可能会发送大量ARP报文，为了使这些ARP报文不被过滤掉，可以将这类设备的MAC地址配置成保护MAC地址，这样，即使该设备存在攻击也不会被检测或过滤。

# 开启源MAC地址固定的ARP攻击检测功能，并选择filter检查模式。

<Sysname> system-view

[Sysname] arp source-mac filter

该案例对您是否有帮助：

您的评价：1

若您有关于案例的建议，请反馈：

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

S7506X 收到大量arp导致 CPU高

组网及说明

告警信息

问题描述

过程分析

解决方法

源MAC地址固定的ARP攻击检测功能简介

编辑评论

提出建议