Los usuarios de VDSL de MA5300 adjuntos a MA5200F se desconectan de forma anormal debido a un ataque.
En un sitio, los usuarios de VDSL parciales de MA5300 conectados a MA5200F (con versión de 7127SP08) se desconectan de forma anormal.
Manejo del caso:
Cambie el modo de funcionamiento de MA5200F a Modelo simple y reinicie el sistema; Después de la observación por un tiempo, el problema no vuelve a ocurrir.
Causa principal
El registro debe ser una solicitud de usuario de PPP si el usuario se desconecta normalmente;
Para los usuarios de PPP, los equipos de BAS deben trabajar junto con el cliente de PPP para administrar la información en línea de los usuarios a través de los paquetes de eco de PPP. Cuando MA5200F mantiene a un usuario en línea, enviará el paquete de PPP Echo cada 20 segundos de forma predeterminada, y se repetirá tres veces si no se recibe respuesta del cliente. Los usuarios se desconectan debido a PPP Echo Fail, como resultado de los siguientes hechos:
1. El cliente PPP se bloquea o el módem se apaga, por lo que el cliente PPP no puede responder a los paquetes de PPP Echo;
2. Los puertos VDSL se vuelven a sincronizar;
3. La red de la red layer2 conectada al puerto de MA5200F no es razonable, y varios usuarios comparten la misma VLAN en la que hay demasiados paquetes, lo que hace que los paquetes de eco de PPP enviados por MA5200F no puedan recibir respuesta en 60 segundos; el MA5300 en el sitio especifica una VLAN para un usuario;
4. Si el sistema MA5200F es atacado, y la tasa de ocupación de la CPU es demasiado alta, resultará en una escasez de recursos para mantener los paquetes de eco de PPP de los usuarios conectados. Desde el registro del sistema, el MA5200F recibe abundantes paquetes anormales desde el puerto 6 (conectado con el puerto del sitio con falla), con la siguiente información de alarma:
# [06/20/2005 23:12:06-] AAA-5-02042003:
Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514
# [06/20/2005 23:04:39-] AAA-5-02042003:
Host packet singular IP:221.238.4.45 MAC:0000-f082-ed49 Portvlan:FE6-342
# [06/20/2005 23:02:12-] AAA-5-02042003:
Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514
# [06/20/2005 22:52:18-] AAA-5-02042003:
Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514
# [06/20/2005 22:42:24-] AAA-5-02042003:
Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514
# [06/20/2005 22:22:50-] AAA-5-02042003:
Host packet singular IP:221.238.4.140 MAC:0005-5d86-7f58 Portvlan:FE6-180
# [06/20/2005 22:22:35-] AAA-5-02042003:
Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514
Generalmente, si MA5200F se ejecuta en un modelo normal, una vez que es atacado por un virus de usuarios conectados, la tasa de ocupación de la CPU alcanzará los 80 - 90 %, lo que hará que los usuarios de VDSL accedidos a MA5300 se desconecten.
Solución
Sugerencias
1. En caso de que no se utilicen los servicios NAT, etc., se sugiere cambiar el modo de ejecución del MA5200F al modelo Simple para disminuir la tasa de ocupación de la CPU; el método es ejecutar el comando bootload simple-version en la vista del sistema, y el sistema podría ejecutarse en modo Simple tan pronto como el sistema se reinicie después de la configuración;
2. Después de cambiar el modo del sistema a Simple, se sugiere configurar una ACL a prueba de virus en MA5200F para disminuir el impacto del virus en el sistema, con las configuraciones detalladas de la siguiente manera:
acl number 3000 match-order auto
rule 0 deny tcp destination-port eq 445
rule 24 deny tcp destination-port eq 5800
rule 28 deny tcp destination-port eq 5900
rule 32 deny tcp destination-port eq 1000
rule 36 deny tcp destination-port eq 9995
rule 40 deny tcp destination-port eq 9996
rule 44 deny tcp destination-port eq 5554
rule 48 deny tcp destination-port eq 1068
rule 52 deny udp destination-port eq netbios-ns
rule 56 deny udp destination-port eq netbios-dgm
rule 60 deny udp destination-port eq netbios-ssn
rule 64 deny tcp destination-port eq 539
rule 68 deny udp destination-port eq 445
rule 72 deny udp destination-port eq tftp
rule 76 deny tcp destination-port eq 4444
rule 80 deny udp destination-port eq 6667
rule 84 deny tcp destination-port eq 1025
rule 88 deny tcp destination-port eq 1418
rule 8 deny tcp destination-port eq 136
rule 12 deny tcp destination-port eq 137
rule 16 deny tcp destination-port eq 138
rule 25 net-user deny tcp source-port eq 5800
rule 29 net-user deny tcp source-port eq 5900
rule 1 net-user deny tcp destination-port eq 445
rule 33 net-user deny tcp destination-port eq 1000
rule 37 net-user deny tcp destination-port eq 9995
rule 41 net-user deny tcp destination-port eq 9996
rule 45 net-user deny tcp destination-port eq 5554
rule 49 net-user deny tcp destination-port eq 1068
rule 53 net-user deny udp destination-port eq netbios-ns
rule 57 net-user deny udp destination-port eq netbios-dgm
rule 61 net-user deny udp destination-port eq netbios-ssn
rule 65 net-user deny tcp destination-port eq 539
rule 69 net-user deny udp destination-port eq 445
rule 73 net-user deny udp destination-port eq tftp
rule 77 net-user deny tcp destination-port eq 4444
rule 81 net-user deny udp destination-port eq 6667
rule 85 net-user deny tcp destination-port eq 1025
rule 89 net-user deny tcp destination-port eq 1418
rule 9 net-user deny tcp destination-port eq 136
rule 13 net-user deny tcp destination-port eq 137
rule 17 net-user deny tcp destination-port eq 138
rule 2 user-net deny tcp destination-port eq 445
rule 26 user-net deny tcp destination-port eq 5800
rule 30 user-net deny tcp destination-port eq 5900
rule 34 user-net deny tcp destination-port eq 1000
rule 38 user-net deny tcp destination-port eq 9995
rule 42 user-net deny tcp destination-port eq 9996
rule 46 user-net deny tcp destination-port eq 5554
rule 50 user-net deny tcp destination-port eq 1068
rule 54 user-net deny udp destination-port eq netbios-ns
rule 58 user-net deny udp destination-port eq netbios-dgm
rule 62 user-net deny udp destination-port eq netbios-ssn
rule 66 user-net deny tcp destination-port eq 539
rule 70 user-net deny udp destination-port eq 445
rule 74 user-net deny udp destination-port eq tftp
rule 78 user-net deny tcp destination-port eq 4444
rule 82 user-net deny udp destination-port eq 6667
rule 86 user-net deny tcp destination-port eq 1025
rule 90 user-net deny tcp destination-port eq 1418
rule 10 user-net deny tcp destination-port eq 136
rule 14 user-net deny tcp destination-port eq 137
rule 18 user-net deny tcp destination-port eq 138
rule 3 user-user deny tcp destination-port eq 445
rule 27 user-user deny tcp destination-port eq 5800
rule 31 user-user deny tcp destination-port eq 5900
rule 35 user-user deny tcp destination-port eq 1000
rule 39 user-user deny tcp destination-port eq 9995
rule 43 user-user deny tcp destination-port eq 9996
rule 47 user-user deny tcp destination-port eq 5554
rule 51 user-user deny tcp destination-port eq 1068
rule 55 user-user deny udp destination-port eq netbios-ns
rule 59 user-user deny udp destination-port eq netbios-dgm
rule 63 user-user deny udp destination-port eq netbios-ssn
rule 67 user-user deny tcp destination-port eq 539
rule 71 user-user deny udp destination-port eq 445
rule 75 user-user deny udp destination-port eq tftp
rule 79 user-user deny tcp destination-port eq 4444
rule 83 user-user deny udp destination-port eq 6667
rule 87 user-user deny tcp destination-port eq 1025
rule 91 user-user deny tcp destination-port eq 1418
rule 15 user-user deny tcp destination-port eq 137
rule 19 user-user deny tcp destination-port eq 138
rule 11 user-user deny tcp destination-port eq 136
