Los usuarios de VDSL de MA5300 adjuntos a MA5200F se desconectan de forma anormal debido a un ataque.
En un sitio, los usuarios de VDSL parciales de MA5300 conectados a MA5200F (con versión de 7127SP08) se desconectan de forma anormal.
Manejo del caso:
Cambie el modo de funcionamiento de MA5200F a Modelo simple y reinicie el sistema; Después de la observación por un tiempo, el problema no vuelve a ocurrir.
Causa principal:
El registro debe ser una solicitud de usuario de PPP si el usuario se desconecta normalmente;
Para los usuarios de PPP, los equipos de BAS deben trabajar junto con el cliente de PPP para administrar la información en línea de los usuarios a través de los paquetes de eco de PPP. Cuando MA5200F mantiene a un usuario en línea, enviará el paquete de PPP Echo cada 20 segundos de forma predeterminada, y se repetirá tres veces si no se recibe respuesta del cliente. Los usuarios se desconectan debido a PPP Echo Fail, como resultado de los siguientes hechos:
1. El cliente PPP se bloquea o el módem se apaga, por lo que el cliente PPP no puede responder a los paquetes de PPP Echo;
2. Los puertos VDSL se vuelven a sincronizar;
3. La red de la red layer2 conectada al puerto de MA5200F no es razonable, y varios usuarios comparten la misma VLAN en la que hay demasiados paquetes, lo que hace que los paquetes de eco de PPP enviados por MA5200F no puedan recibir respuesta en 60 segundos; el MA5300 en el sitio especifica una VLAN para un usuario;
4. Si el sistema MA5200F es atacado, y la tasa de ocupación de la CPU es demasiado alta, resultará en una escasez de recursos para mantener los paquetes de eco de PPP de los usuarios conectados. Desde el registro del sistema, el MA5200F recibe abundantes paquetes anormales desde el puerto 6 (conectado con el puerto del sitio con falla), con la siguiente información de alarma:
# [06/20/2005 23:12:06-] AAA-5-02042003: Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514 # [06/20/2005 23:04:39-] AAA-5-02042003: Host packet singular IP:221.238.4.45 MAC:0000-f082-ed49 Portvlan:FE6-342 # [06/20/2005 23:02:12-] AAA-5-02042003: Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514 # [06/20/2005 22:52:18-] AAA-5-02042003: Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514 # [06/20/2005 22:42:24-] AAA-5-02042003: Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514 # [06/20/2005 22:22:50-] AAA-5-02042003: Host packet singular IP:221.238.4.140 MAC:0005-5d86-7f58 Portvlan:FE6-180 # [06/20/2005 22:22:35-] AAA-5-02042003: Host packet singular IP:221.238.4.14 MAC:0008-0d9e-a715 Portvlan:FE6-514
Generalmente, si MA5200F se ejecuta en un modelo normal, una vez que es atacado por un virus de usuarios conectados, la tasa de ocupación de la CPU alcanzará los 80 - 90 %, lo que hará que los usuarios de VDSL accedidos a MA5300 se desconecten.
Solución
Sugerencias
1. En caso de que no se utilicen los servicios NAT, etc., se sugiere cambiar el modo de ejecución del MA5200F al modelo Simple para disminuir la tasa de ocupación de la CPU; el método es ejecutar el comando bootload simple-version en la vista del sistema, y el sistema podría ejecutarse en modo Simple tan pronto como el sistema se reinicie después de la configuración;
2. Después de cambiar el modo del sistema a Simple, se sugiere configurar una ACL a prueba de virus en MA5200F para disminuir el impacto del virus en el sistema, con las configuraciones detalladas de la siguiente manera:
acl number 3000 match-order auto rule 0 deny tcp destination-port eq 445 rule 24 deny tcp destination-port eq 5800 rule 28 deny tcp destination-port eq 5900 rule 32 deny tcp destination-port eq 1000 rule 36 deny tcp destination-port eq 9995 rule 40 deny tcp destination-port eq 9996 rule 44 deny tcp destination-port eq 5554 rule 48 deny tcp destination-port eq 1068 rule 52 deny udp destination-port eq netbios-ns rule 56 deny udp destination-port eq netbios-dgm rule 60 deny udp destination-port eq netbios-ssn rule 64 deny tcp destination-port eq 539 rule 68 deny udp destination-port eq 445 rule 72 deny udp destination-port eq tftp rule 76 deny tcp destination-port eq 4444 rule 80 deny udp destination-port eq 6667 rule 84 deny tcp destination-port eq 1025 rule 88 deny tcp destination-port eq 1418 rule 8 deny tcp destination-port eq 136 rule 12 deny tcp destination-port eq 137 rule 16 deny tcp destination-port eq 138 rule 25 net-user deny tcp source-port eq 5800 rule 29 net-user deny tcp source-port eq 5900 rule 1 net-user deny tcp destination-port eq 445 rule 33 net-user deny tcp destination-port eq 1000 rule 37 net-user deny tcp destination-port eq 9995 rule 41 net-user deny tcp destination-port eq 9996 rule 45 net-user deny tcp destination-port eq 5554 rule 49 net-user deny tcp destination-port eq 1068 rule 53 net-user deny udp destination-port eq netbios-ns rule 57 net-user deny udp destination-port eq netbios-dgm rule 61 net-user deny udp destination-port eq netbios-ssn rule 65 net-user deny tcp destination-port eq 539 rule 69 net-user deny udp destination-port eq 445 rule 73 net-user deny udp destination-port eq tftp rule 77 net-user deny tcp destination-port eq 4444 rule 81 net-user deny udp destination-port eq 6667 rule 85 net-user deny tcp destination-port eq 1025 rule 89 net-user deny tcp destination-port eq 1418 rule 9 net-user deny tcp destination-port eq 136 rule 13 net-user deny tcp destination-port eq 137 rule 17 net-user deny tcp destination-port eq 138 rule 2 user-net deny tcp destination-port eq 445 rule 26 user-net deny tcp destination-port eq 5800 rule 30 user-net deny tcp destination-port eq 5900 rule 34 user-net deny tcp destination-port eq 1000 rule 38 user-net deny tcp destination-port eq 9995 rule 42 user-net deny tcp destination-port eq 9996 rule 46 user-net deny tcp destination-port eq 5554 rule 50 user-net deny tcp destination-port eq 1068 rule 54 user-net deny udp destination-port eq netbios-ns rule 58 user-net deny udp destination-port eq netbios-dgm rule 62 user-net deny udp destination-port eq netbios-ssn rule 66 user-net deny tcp destination-port eq 539 rule 70 user-net deny udp destination-port eq 445 rule 74 user-net deny udp destination-port eq tftp rule 78 user-net deny tcp destination-port eq 4444 rule 82 user-net deny udp destination-port eq 6667 rule 86 user-net deny tcp destination-port eq 1025 rule 90 user-net deny tcp destination-port eq 1418 rule 10 user-net deny tcp destination-port eq 136 rule 14 user-net deny tcp destination-port eq 137 rule 18 user-net deny tcp destination-port eq 138 rule 3 user-user deny tcp destination-port eq 445 rule 27 user-user deny tcp destination-port eq 5800 rule 31 user-user deny tcp destination-port eq 5900 rule 35 user-user deny tcp destination-port eq 1000 rule 39 user-user deny tcp destination-port eq 9995 rule 43 user-user deny tcp destination-port eq 9996 rule 47 user-user deny tcp destination-port eq 5554 rule 51 user-user deny tcp destination-port eq 1068 rule 55 user-user deny udp destination-port eq netbios-ns rule 59 user-user deny udp destination-port eq netbios-dgm rule 63 user-user deny udp destination-port eq netbios-ssn rule 67 user-user deny tcp destination-port eq 539 rule 71 user-user deny udp destination-port eq 445 rule 75 user-user deny udp destination-port eq tftp rule 79 user-user deny tcp destination-port eq 4444 rule 83 user-user deny udp destination-port eq 6667 rule 87 user-user deny tcp destination-port eq 1025 rule 91 user-user deny tcp destination-port eq 1418 rule 15 user-user deny tcp destination-port eq 137 rule 19 user-user deny tcp destination-port eq 138 rule 11 user-user deny tcp destination-port eq 136
