问题描述:
如何排查接口自动防御功能阻断掉的终端
%Mar 26 08:01:24:797 2026 Core-S10512X-G-H3C DRVPLAT/4/PORT_ATTACK_OCCUR: -Chassis=2-Slot=11; Auto port-defend started.SourceAttackInterface=Ten-GigabitEthernet2/11/0/35, AttackProtocol=IP_ROUTE
%Mar 26 08:00:59:652 2026 Core-S10512X-G-H3C DRVPLAT/4/PORT_ATTACK_OCCUR: -Chassis=2-Slot=11; Auto port-defend stopped.SourceAttackInterface=Ten-GigabitEthernet2/11/0/35, AttackProtocol=IP_ROUTE
%Mar 26 08:00:26:547 2026 Core-S10512X-G-H3C DRVPLAT/4/PORT_ATTACK_OCCUR: -Chassis=2-Slot=11; Auto port-defend started.SourceAttackInterface=Ten-GigabitEthernet2/11/0/35, AttackProtocol=IP_ROUTE
%Mar 26 07:58:45:455 2026 Core-S10512X-G-H3C DRVPLAT/4/PORT_ATTACK_OCCUR: -Chassis=2-Slot=11; Auto port-defend stopped.SourceAttackInterface=Ten-GigabitEthernet2/11/0/35, AttackProtocol=IP_ROUTE
%Mar 26 07:58:22:203 2026 Core-S10512X-G-H3C IFNET/4/IF_BOARD_EGRESS_DROP_RECOVER: -Chassis=2-Slot=13; Packet loss recovers on chassis 2 slot 13.
%Mar 26 07:58:22:176 2026 Core-S10512X-G-H3C IFNET/4/IF_EGRESS_DROP_RECOVER: -Chassis=2-Slot=13; Packet loss recovers in queue 2 of GigabitEthernet2/13/0/16.
%Mar 26 07:58:18:448 2026 Core-S10512X-G-H3C DRVPLAT/4/PORT_ATTACK_OCCUR: -Chassis=2-Slot=11; Auto port-defend started.SourceAttackInterface=Ten-GigabitEthernet2/11/0/35, AttackProtocol=IP_ROUTE
%Mar 26 07:57:20:600 2026 Core-S10512X-G-H3C IFNET/4/IF_BOARD_EGRESS_DROP: -Chassis=2-Slot=13; Packet loss occurs on chassis 2 slot 13.
%Mar 26 07:57:20:568 2026 Core-S10512X-G-H3C IFNET/4/IF_EGRESS_DROP: -Chassis=2-Slot=13; Packet loss occurs in queue 2 of GigabitEthernet2/13/0/16.
%Mar 26 07:56:16:193 2026 Core-S10512X-G-H3C DRVPLAT/4/PORT_ATTACK_OCCUR: -Chassis=2-Slot=11; Auto port-defend stopped.SourceAttackInterface=Ten-GigabitEthernet2/11/0/35, AttackProtocol=IP_ROUTE
%Mar 26 07:55:45:788 2026 Core-S10512X-G-H3C DRVPLAT/4/PORT_ATTACK_OCCUR: -Chassis=2-Slot=11; Auto port-defend started.SourceAttackInterface=Ten-GigabitEthernet2/11/0/35, AttackProtocol=IP_ROUTE
%Mar 26 07:51:13:883 2026 Core-S10512X-G-H3C ARP/6/DUPIFIP: -Chassis=1-Slot=13; Duplicate address 131.146.105.1 on interface Vlan-interface1005, sourced from 586a-d3a9-bfe7
组网及组网描述:
<Core-S10512X-G-H3C>dis version
H3C Comware Software, Version 7.1.070, Release 7755P03
Copyright (c) 2004-2024 New H3C Technologies Co., Ltd. All rights reserved.
H3C S10512X-G uptime is 42 weeks, 0 days, 23 hours, 47 minutes
Last reboot reason : USER reboot
Boot image: flash:/S10500XG-CMW710-BOOT-R7755P03.bin
Boot image version: 7.1.070, Release 7755P03
Compiled Jan 08 2024 16:00:00
System image: flash:/S10500XG-CMW710-SYSTEM-R7755P03.bin
System image version: 7.1.070, Release 7755P03
Compiled Jan 08 2024 16:00:00
Feature image(s) list:
flash:/S10500XG-CMW710-FREERADIUS-R7755P03.bin, version: 7.1.070, Release 7755P03
Compiled Jan 08 2024 16:00:00
Patch image(s) list:
flash:/S10500XG-CMW710-SYSTEM-R7755P03HS10.bin, version: R7755P03HS10
Compiled Feb 07 2025 11:00:00
排查步骤:
1. 查看当前被阻断的会话:
`display port-defend attack-source interface Ten-GigabitEthernet2/11/0/35`
此命令会列出该接口上被自动防御功能阻断的攻击源IP地址和阻断状态。
2. 查看历史攻击日志(可选):
`display port-defend attack-history interface Ten-GigabitEthernet2/11/0/35`
此命令显示该接口上发生过的攻击事件历史记录,包括攻击源、协议、时间等。
3. 定位终端:
根据第1步查到的攻击源IP地址,在DHCP服务器或核心交换机上通过`display arp | include x.x.x.x` 或 `display dhcp server ip-in-use` 等命令,结合接入交换机的MAC地址转发表(`display mac-address`),定位到具体的物理端口和终端。
4. 处理与恢复:
* 临时恢复: 如果确认是误报或临时故障,可手动清除阻断条目:`reset port-defend attack-source interface Ten-GigabitEthernet2/11/0/35`。
* 永久调整: 若需调整防御阈值,进入接口视图:`interface Ten-GigabitEthernet2/11/0/35`,使用 `port-defend` 相关命令修改,例如 `port-defend ip-route packet-type { ttl | loop } threshold`。修改前请确认影响并备份配置。
补充信息建议:
如果以上步骤无法定位,请提供 `display port-defend attack-source` 的详细输出。
没有display port-defend 。。。这条命令
Ten-GigabitEthernet2/11/0/35 接口上的设备。- 攻击源接口 (SourceAttackInterface):
Ten-GigabitEthernet2/11/0/35 - 攻击协议 (AttackProtocol):
IP_ROUTE
IP_ROUTE 攻击通常意味着该接口收到了大量发往设备本身(本交换机)的、需要CPU进行路由转发的IP报文,超过了设备设定的阈值,从而触发了CP保护(Control Plane Protection)机制。排查与定位步骤
1. 定位终端设备
Ten-GigabitEthernet2/11/0/35 接口上的具体是哪台设备。- 查看MAC地址表: 执行以下命令,查看该接口学习到的MAC地址。根据查到的MAC地址,您就可以在资产列表中定位到具体的服务器或终端。
1display mac-address interface Ten-GigabitEthernet2/11/0/35
2. 分析攻击流量
IP_ROUTE 攻击流量。常见原因包括:- 配置错误: 终端设备的默认网关配置错误,指向了交换机的管理IP或其他非网关IP。
- 扫描行为: 终端正在运行网络扫描工具,对网关或整个网段进行端口扫描或路由追踪(traceroute)。
- 病毒或蠕虫: 终端可能感染了病毒或蠕虫,正在尝试通过网络进行传播。
- 异常应用: 某些P2P下载软件或网络应用可能会产生大量异常连接。
3. 查看更详细的防御统计信息
- 查看端口防御的全局状态和统计:这个命令可以显示各类协议(包括
ip-route)被丢弃的报文数量,可以验证攻击是否持续。 - display cpu-defend statistics
- 查看端口的安全状态(如果配置了端口安全):display port-security interface Ten-GigabitEthernet2/11/0/35如果启用了端口安全,这个命令可以显示是否因MAC地址违规导致端口被限制。
解决方案建议
- 隔离问题终端: 立即将
Ten-GigabitEthernet2/11/0/35接口 shutdown,或者将该终端从网络中断开,以消除对核心交换机CPU的冲击。1 interface Ten-GigabitEthernet2/11/0/35 2 shutdown - 检查终端配置: 检查该终端的IP地址、子网掩码和默认网关配置是否正确。
- 查杀病毒: 对该终端进行全面的病毒和恶意软件扫描。
- 调整防御阈值(可选): 如果确认该终端的某些业务是合法的,但流量较大,可以考虑在评估风险后,适当调整
ip-route协议的防御阈值,但这需要非常谨慎。1cpu-defend policy <policy-name> 2 protocol ip-route car cir <new-value>
%Mar 26 07:51:13:883 ... ARP/6/DUPIFIP: ... Duplicate address 131.146.105.1 on interface Vlan-interface1005, sourced from 586a-d3a9-bfe7131.146.105.1 同时被 Vlan-interface1005(通常是网关接口)和MAC地址为 586a-d3a9-bfe7 的终端使用。编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
没有display port-defend 。。。这条命令