S12510-F+报错咨询

如下日志打印：
%Aug 30 23:46:13:101 2017 JS-NJ-CLL-SDNSW.CHINANET.S12510-F SOCKET/6/TCP_SYNFLOOD: -Chassis=2-Slot=0; atckType(1016)=(05)SYN-flood;srcIPAddr(1017)=;destIPAddr(1019)=61.160.136.70;atckSpeed(1047)=300;atckTime_cn(1048)=20170830234613

日志说明：

设备支持建立TCP连接，TCP报文目的地址若是我们的设备IP地址，则会上CPU进行处理，若是一秒收到的TCP报文超过300个，则会报告这条打印。

TCP SYN FLOOD攻击说明：

一般情况下，TCP连接的建立需要经过三次握手，即：
(1)     TCP连接请求的发起者向目标服务器发送SYN报文；
(2)     目标服务器收到SYN报文后，建立处于SYN_RECEIVED状态的TCP半连接，并向发起者回复SYN ACK报文，等待发起者的回应；
(3)     发起者收到SYN ACK报文后，回应ACK报文，这样TCP连接就建立起来了。

利用TCP连接的建立过程，一些恶意的攻击者可以进行SYN Flood攻击。攻击者向服务器发送大量请求建立TCP连接的SYN报文，而不回应服务器的SYN ACK报文，导致服务器上建立了大量的TCP半连接。从而，达到耗费服务器资源，使服务器无法处理正常业务的目的。可以配置tcp syn-COOKIE enable命令来防攻击。
该SYN COOKIE功能用来防止SYN Flood攻击。在服务器上配置此功能后，当服务器收到TCP连接请求时，不建立TCP半连接，而直接向发起者回复SYN ACK报文。服务器接收到发起者回应的ACK报文后，建立连接，并进入ESTABLISHED状态。通过这种方式，可以避免在服务器上建立大量的TCP半连接，防止服务器受到SYN Flood攻击。

命令说明：
防攻击命令行tcp syn-COOKIE enable，这个命令行是用来防tcp syn-flood攻击的，但此命令是CPU处理，报文还会上CPU处理(若是攻击导致CPU高的情况会有一定的缓解)，因为大量报文来了之后都要CPU按照正常流程进行处理，配置该防攻击的效果是不建立半连接，不会出现大量占用设备内存的情况。
现场版本不支持打印TCP攻击源的打印，也可以使用packet-filter或者mqc把tcp攻击报文丢掉
打开平台设备debug开关，acl为目的ip(设备自己，这个log打印有)，协议类型是tcp

<h3c> debugging ip packet acl <acl>
    <h3c> terminal debugging
    <h3c> terminal monitor

打开t d, t m后，会打印出tcp报文，报文特征显示出来后确认是非正常连接的TCP的源IP，在全局下发MQC过滤，把此种源IP的报文过滤掉即可。