El primer paso en el troubleshooting del uso elevado de CPU ARP en un AR

74 0 0 0

Hola chicos,

El uso de la CPU es muy alto en algunas ocasiones y al tratar de encontrar las partes culpables puede quedar estupefacto con la sorpresa de que nuestro viejo amigo ARP podría ser la razón de ello. El Protocolo de resolución de direcciones (ARP) es fácil de usar pero no tiene mecanismos de seguridad y, debido a esto, los atacantes a menudo usan ARP para atacar dispositivos de red

Entonces, qué hacer cuando la salida del comando de visualización cpu-use le muestra un valor alto y obtiene una gran cantidad de registros que le indican que ARP es el principal sospechoso del caso.

Para confirmar nuestro temor y verificar las estadísticas sobre los paquetes de solicitud ARP enviados a la CPU con el comando de visualización de estadísticas cpu-defend.

Si los resultados están fuera de los gráficos, debe tomar algunas medidas y la primera debe ser:

1. 1. Reduzca la cantidad de paquetes que se envían a la CPU.

Puede hacer esto limitando la velocidad de los paquetes ARP con la configuración de defensa de ataque de CPU. Puede ejecutar el comando de configuración de visualización de la CPU para ver el límite de velocidad de los paquetes de solicitud ARP enviados a la CPU. De forma predeterminada, se muestra el límite de velocidad de los paquetes de solicitud ARP en la política predeterminada:

<Huawei> display cpu-defend configuration sru

Rate configurations on main board.                                             

-----------------------------------------------------------------              

Packet-type              Status        Rate-limit(PPS)  Priority               

arp-miss                  Enabled            64             2                  

arp-reply                 Enabled           128             2                  

arp-request               Enabled           128             2        

 

Después de verificar el límite de velocidad de los paquetes, puede reducir el valor. De esta manera limitas los paquetes enviados a la CPU.

Procedimiento de configuración:

cpu-defend policy arp_policy // Crea una cpu policy en el system view

 packet-type arp-request rate-limit 64  // limita the arp-request rate

cpu-defend-policy arp_policy  global  // Se aplica la politica en el system view

 

2. Averigua la fuente.

Para averiguar el origen de los mensajes de solicitud de arp, puede configurar el seguimiento del origen del ataque. Después de descubrir la fuente de los paquetes de arp, puede decidir qué tipo de medidas puede tomar en su contra.

Procedimiento de configuración:

 

cpu-defend policy discover_attack // crear política de defensa de cpu

  auto-defend enable // habilita el rastreo automático de la fuente de ataque

  auto-defend threshold threshold-value // el valor de umbral puede ser grande

  auto-defend trace-type { source-ip | source-mac |  source-portvlan } *

  auto-defend protocol arp // rastrea el origen de los paquetes ARP

  auto-defend alarm enable // el dispositivo genera alarmas cuando hay demasiados paquetes

cpu-defend-policy policy-name global // Se aplica la politica en el system view

 

3. Habilitar el aprendizaje estricto ARP

Para evitar problemas generados por la gran cantidad de paquetes ARP recibidos, configure la función de aprendizaje ARP estricta en la puerta de enlace. Esta función indica que el dispositivo solo aprende las entradas de ARP para los paquetes de respuesta de ARP en respuesta a los paquetes de solicitud de ARP enviados por sí mismo. De esta manera, el dispositivo puede defenderse contra la mayoría de los ataques ARP.

arp aprendizaje estricto

Hay más medidas que puede tomar contra el alto uso de CPU causado por ARP, pero las que se presentan aquí podrían ser de ayuda hasta que descubra la fuente o la causa del problema.

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje