• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

mer5200路由器日志模块ATK

5小时前提问
  • 0关注
  • 0收藏,28浏览
粉丝:0人 关注:0人

问题描述:

mer5200路由器日志大量ATK模块日志,详细内容是 SubModule(1127)=SINGLE; IcmpType(1062)=3; RcvIfName(1023)=GigabitEthernet0/0; SrcIPAddr(1003)=27.186.199.26; SndDSLiteTunnelPeer(1041)=--; DstIPAddr(1007)=60.2.137.50; RcvVPNInstance(1042)=; Action(1053)=logging,drop; BeginTime_c(1011)=20250902171323; EndTime_c(1012)=20250902171823; AtkTimes(1054)=3.,请问是什么意思

3 个回答
粉丝:120人 关注:9人

出口的话是正常的,lan口的话追一下源设备 

暂无评论

粉丝:112人 关注:0人

这条日志的核心是:MER5200 的 ATK 模块在 G0/0 接口,5 分钟内检测到 3 次来自 27.186.199.26、发往 60.2.137.50 的 “ICMP 目的不可达报文”,判定其为异常攻击流量,执行了 “记录日志 + 丢弃报文” 的防御动作

暂无评论

粉丝:40人 关注:6人

设备检测到ICMP目的不可达报文攻击(Destination Unreachable Attack)
具体日志解析如下:

| 字段 | 参数值/含义 | 说明 |
|------------------------|----------------------------------------|--------------------------------------------------------------------------|
| SubModule(1127) | SINGLE | 子模块名称:单包攻击检测模块 |
| IcmpType(1062) | 3 | ICMP类型为3(目的不可达) |
| RcvIfName(1023) | GigabitEthernet0/0 | 入接口名称:GigabitEthernet0/0 |
| SrcIPAddr(1003) | 27.186.199.26 | 源IP地址:27.186.199.26 |
| DstIPAddr(1007) | 60.2.137.50 | 目的IP地址:60.2.137.50 |
| Action(1053) | logging,drop | 动作类型:记录日志并丢弃报文 |
| BeginTime_c(1011) | 20250902171323 | 攻击开始时间:2025年9月2日17:13:23 |
| EndTime_c(1012) | 20250902171823 | 攻击结束时间:2025年9月2日17:18:23 |
| AtkTimes(1054) | 3 | 攻击次数:检测到3次此类攻击 |


关键信息总结:

  1. 攻击类型
    ICMP Type=3(目的不可达报文攻击),属于单包攻击类型。

  2. 防御动作
    设备已执行 logging(记录日志)和 drop(丢弃报文),符合单包攻击防范策略的推荐配置。

  3. 影响与处理建议

    • 影响:需结合实际流量分析判断是否对系统造成实质性影响。
    • 处理建议
      • 确认已配置 单包攻击防范策略 并启用 报文丢弃 动作(配置方法参考《攻击检测与防范配置指导》)。
      • 若问题持续,请收集以下信息并联系技术支持:
        ✅ 设备配置文件
        ✅ 完整日志信息
        ✅ 相关告警信息

:日志中的 SndDSLiteTunnelPeer(1041)=--RcvVPNInstance(1042)= 表示未涉及DS-Lite隧道对端和VPN实例,属常规攻击检测场景。


暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明