mer5200路由器日志模块ATK

出口的话是正常的，lan口的话追一下源设备 

这条日志的核心是：MER5200 的 ATK 模块在 G0/0 接口，5 分钟内检测到 3 次来自 27.186.199.26、发往 60.2.137.50 的 “ICMP 目的不可达报文”，判定其为异常攻击流量，执行了 “记录日志 + 丢弃报文” 的防御动作。

设备检测到ICMP目的不可达报文攻击（Destination Unreachable Attack）
具体日志解析如下：

| 字段 | 参数值/含义 | 说明 |
|------------------------|----------------------------------------|--------------------------------------------------------------------------|
| SubModule(1127) | SINGLE | 子模块名称：单包攻击检测模块 |
| IcmpType(1062) | 3 | ICMP类型为3（目的不可达） |
| RcvIfName(1023) | GigabitEthernet0/0 | 入接口名称：GigabitEthernet0/0 |
| SrcIPAddr(1003) | 27.186.199.26 | 源IP地址：27.186.199.26 |
| DstIPAddr(1007) | 60.2.137.50 | 目的IP地址：60.2.137.50 |
| Action(1053) | logging,drop | 动作类型：记录日志并丢弃报文 |
| BeginTime_c(1011) | 20250902171323 | 攻击开始时间：2025年9月2日17:13:23 |
| EndTime_c(1012) | 20250902171823 | 攻击结束时间：2025年9月2日17:18:23 |
| AtkTimes(1054) | 3 | 攻击次数：检测到3次此类攻击 |

关键信息总结：

1. 攻击类型
   ICMP Type=3（目的不可达报文攻击），属于单包攻击类型。

2. 防御动作
   设备已执行 logging（记录日志）和 drop（丢弃报文），符合单包攻击防范策略的推荐配置。

3. 影响与处理建议

   • 影响：需结合实际流量分析判断是否对系统造成实质性影响。
   • 处理建议：
     • 确认已配置 单包攻击防范策略 并启用 报文丢弃 动作（配置方法参考《攻击检测与防范配置指导》）。
     • 若问题持续，请收集以下信息并联系技术支持：
       ✅ 设备配置文件
       ✅ 完整日志信息
       ✅ 相关告警信息

注：日志中的 SndDSLiteTunnelPeer(1041)=-- 和 RcvVPNInstance(1042)= 表示未涉及DS-Lite隧道对端和VPN实例，属常规攻击检测场景。