Los usuarios de VDSL de MA5300 adjuntos a MA5200F se desconectan de forma anormal debido a un ataque.

En un sitio, los usuarios de VDSL parciales de MA5300 conectados a MA5200F (con versión de 7127SP08) se desconectan de forma anormal.

Manejo del caso:

Cambie el modo de funcionamiento de MA5200F a Modelo simple y reinicie el sistema; Después de la observación por un tiempo, el problema no vuelve a ocurrir.

Causa principal

  El registro debe ser una solicitud de usuario de PPP si el usuario se desconecta normalmente;

Para los usuarios de PPP, los equipos de BAS deben trabajar junto con el cliente de PPP para administrar la información en línea de los usuarios a través de los paquetes de eco de PPP. Cuando MA5200F mantiene a un usuario en línea, enviará el paquete de PPP Echo cada 20 segundos de forma predeterminada, y se repetirá tres veces si no se recibe respuesta del cliente. Los usuarios se desconectan debido a PPP Echo Fail, como resultado de los siguientes hechos:

1. El cliente PPP se bloquea o el módem se apaga, por lo que el cliente PPP no puede responder a los paquetes de PPP Echo;

2. Los puertos VDSL se vuelven a sincronizar;

3. La red de la red layer2 conectada al puerto de MA5200F no es razonable, y varios usuarios comparten la misma VLAN en la que hay demasiados paquetes, lo que hace que los paquetes de eco de PPP enviados por MA5200F no puedan recibir respuesta en 60 segundos; el MA5300 en el sitio especifica una VLAN para un usuario;

4. Si el sistema MA5200F es atacado, y la tasa de ocupación de la CPU es demasiado alta, resultará en una escasez de recursos para mantener los paquetes de eco de PPP de los usuarios conectados. Desde el registro del sistema, el MA5200F recibe abundantes paquetes anormales desde el puerto 6 (conectado con el puerto del sitio con falla), con la siguiente información de alarma:

# [06/20/2005 23:12:06-] AAA-5-02042003:
Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514
# [06/20/2005 23:04:39-] AAA-5-02042003:
Host packet singular IP:221.238.4.45 MAC:0000-f082-ed49 Portvlan:FE6-342
# [06/20/2005 23:02:12-] AAA-5-02042003:
Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514
# [06/20/2005 22:52:18-] AAA-5-02042003:
Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514
# [06/20/2005 22:42:24-] AAA-5-02042003:
Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514
# [06/20/2005 22:22:50-] AAA-5-02042003:
Host packet singular IP:221.238.4.140 MAC:0005-5d86-7f58 Portvlan:FE6-180
# [06/20/2005 22:22:35-] AAA-5-02042003:
Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514

Generalmente, si MA5200F se ejecuta en un modelo normal, una vez que es atacado por un virus de usuarios conectados, la tasa de ocupación de la CPU alcanzará los 80 － 90 ％, lo que hará que los usuarios de VDSL accedidos a MA5300 se desconecten.

Solución

Sugerencias

1. En caso de que no se utilicen los servicios NAT, etc., se sugiere cambiar el modo de ejecución del MA5200F al modelo Simple para disminuir la tasa de ocupación de la CPU; el método es ejecutar el comando bootload simple-version en la vista del sistema, y el sistema podría ejecutarse en modo Simple tan pronto como el sistema se reinicie después de la configuración;

2. Después de cambiar el modo del sistema a Simple, se sugiere configurar una ACL a prueba de virus en MA5200F para disminuir el impacto del virus en el sistema, con las configuraciones detalladas de la siguiente manera:

acl number 3000 match-order auto 
   rule 0 deny tcp destination-port eq 445
   rule 24 deny tcp destination-port eq 5800 
   rule 28 deny tcp destination-port eq 5900 
   rule 32 deny tcp destination-port eq 1000
   rule 36 deny tcp destination-port eq 9995 
   rule 40 deny tcp destination-port eq 9996 
   rule 44 deny tcp destination-port eq 5554 
   rule 48 deny tcp destination-port eq 1068 
   rule 52 deny udp destination-port eq netbios-ns 
   rule 56 deny udp destination-port eq netbios-dgm 
   rule 60 deny udp destination-port eq netbios-ssn 
   rule 64 deny tcp destination-port eq 539 
   rule 68 deny udp destination-port eq 445 
   rule 72 deny udp destination-port eq tftp 
   rule 76 deny tcp destination-port eq 4444 
   rule 80 deny udp destination-port eq 6667 
   rule 84 deny tcp destination-port eq 1025 
   rule 88 deny tcp destination-port eq 1418 
   rule 8 deny tcp destination-port eq 136 
   rule 12 deny tcp destination-port eq 137 
   rule 16 deny tcp destination-port eq 138 
   rule 25 net-user deny tcp source-port eq 5800 
   rule 29 net-user deny tcp source-port eq 5900 
   rule 1 net-user deny tcp destination-port eq 445 
   rule 33 net-user deny tcp destination-port eq 1000 
   rule 37 net-user deny tcp destination-port eq 9995 
   rule 41 net-user deny tcp destination-port eq 9996 
   rule 45 net-user deny tcp destination-port eq 5554 
   rule 49 net-user deny tcp destination-port eq 1068 
   rule 53 net-user deny udp destination-port eq netbios-ns 
   rule 57 net-user deny udp destination-port eq netbios-dgm 
   rule 61 net-user deny udp destination-port eq netbios-ssn 
   rule 65 net-user deny tcp destination-port eq 539 
   rule 69 net-user deny udp destination-port eq 445 
   rule 73 net-user deny udp destination-port eq tftp 
   rule 77 net-user deny tcp destination-port eq 4444 
   rule 81 net-user deny udp destination-port eq 6667 
   rule 85 net-user deny tcp destination-port eq 1025 
   rule 89 net-user deny tcp destination-port eq 1418 
   rule 9 net-user deny tcp destination-port eq 136 
   rule 13 net-user deny tcp destination-port eq 137 
   rule 17 net-user deny tcp destination-port eq 138 
   rule 2 user-net deny tcp destination-port eq 445 
   rule 26 user-net deny tcp destination-port eq 5800 
   rule 30 user-net deny tcp destination-port eq 5900 
   rule 34 user-net deny tcp destination-port eq 1000 
   rule 38 user-net deny tcp destination-port eq 9995 
   rule 42 user-net deny tcp destination-port eq 9996 
   rule 46 user-net deny tcp destination-port eq 5554 
   rule 50 user-net deny tcp destination-port eq 1068 
   rule 54 user-net deny udp destination-port eq netbios-ns 
   rule 58 user-net deny udp destination-port eq netbios-dgm 
   rule 62 user-net deny udp destination-port eq netbios-ssn 
   rule 66 user-net deny tcp destination-port eq 539 
   rule 70 user-net deny udp destination-port eq 445 
   rule 74 user-net deny udp destination-port eq tftp 
   rule 78 user-net deny tcp destination-port eq 4444 
   rule 82 user-net deny udp destination-port eq 6667 
   rule 86 user-net deny tcp destination-port eq 1025 
   rule 90 user-net deny tcp destination-port eq 1418 
   rule 10 user-net deny tcp destination-port eq 136 
   rule 14 user-net deny tcp destination-port eq 137 
   rule 18 user-net deny tcp destination-port eq 138 
   rule 3 user-user deny tcp destination-port eq 445
   rule 27 user-user deny tcp destination-port eq 5800  
   rule 31 user-user deny tcp destination-port eq 5900 
   rule 35 user-user deny tcp destination-port eq 1000 
   rule 39 user-user deny tcp destination-port eq 9995 
   rule 43 user-user deny tcp destination-port eq 9996 
   rule 47 user-user deny tcp destination-port eq 5554 
   rule 51 user-user deny tcp destination-port eq 1068 
   rule 55 user-user deny udp destination-port eq netbios-ns 
   rule 59 user-user deny udp destination-port eq netbios-dgm 
   rule 63 user-user deny udp destination-port eq netbios-ssn 
   rule 67 user-user deny tcp destination-port eq 539
   rule 71 user-user deny udp destination-port eq 445 
   rule 75 user-user deny udp destination-port eq tftp 
   rule 79 user-user deny tcp destination-port eq 4444 
   rule 83 user-user deny udp destination-port eq 6667 
   rule 87 user-user deny tcp destination-port eq 1025 
   rule 91 user-user deny tcp destination-port eq 1418
   rule 15 user-user deny tcp destination-port eq 137 
   rule 19 user-user deny tcp destination-port eq 138 
   rule 11 user-user deny tcp destination-port eq 136