1,問題描述
客戶反饋園區辦公網存在間歇性的網速過慢、訪問網頁卡住、頁面無法顯示或顯示不全的現象;請園區網建造方華為派專家分析解決。
2,告警信息
無
3,處理過程
該問題由辦公終端病毒異常發包導致,建議解決方案如下:
1.將相應辦公終端隔離殺毒,從源頭上根除,清除終端上的局域網共享軟件,比如飛Q,飛鴿等,在接入交換機上封殺445,2425等端口。
2.為避免類似問題再次出現建議在接入交換機連接辦公終端的接口上增加相應的arp保護機制。
[Huawei]arp anti-attack rate-limit enable
[Huawei]arp anti-attack rate-limit 80 1
[Huawei]display arp anti-attack configuration arp-rate-limit
ARP rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
arp anti-attack rate-limit enable
arp anti-attack rate-limit 80 1
4,根因
使用辦公終端ping 網關或者服務器,發現正常情況下,延時小,在10ms以內,偶爾延時增大到100ms以上,並存在丟包現象。連線客戶端,每隔一段時間,會提示病毒庫過期,客戶端設置在每天16點至17點間,自動更新。具體丟包情況如下:
當客戶反饋計算機網速較慢或網頁卡住時段,登陸交換機查看狀態、分析ping包:
a)、 客戶終端Ping網關 56.0.160.98,ping包4033個,丟包39個。
b)、 客戶終端PingOA服務器 56.0.160.16,ping包4025個,丟包28個。
c)、在辦公終端 ping 網關或者服務器出現丟包的瞬間,發現S3700交換機的CPU 利用率非常高;進一步查看,發現是ARP報文的處理進程耗費CPU資源急劇上升。如下:
[Huawei]display cpu-usage
CPU Usage Stat. Cycle: 60 (Second)
CPU Usage : 85% Max: 100%
CPU Usage Stat. Time : 2014-03-12 14:32:15
CPU utilization for five seconds: 90%: one minute: 80%: five minutes: 70%.
查看S3700設備信息,發現存在arp攻擊告警。針對告警出現的多個mac地址,採取鏡像抓包,抓包10分鐘,發現這些個辦公終端在100ms之內,每個終端都發出了200個以上的arp請求報文。
2.經過查詢,園區辦公網的殺毒軟件自動更新時間全部都是16點至17點之間。大量的客戶端同時更新病毒庫,可能會有部分客戶端在下班前升級不成功,當未成功升級天數超出策略限制閾值時,客戶會收到不滿足安全策略的告警信息。在策略未滿足的前提下,訪問是受限的。這也是導致客戶園區網部分終端無法訪問某些網頁的原因。
3. 客戶部分終端主機硬件配置陳舊;開啟多任務時,物理內存幾乎耗盡,虛擬內存使用近一半,CPU利用率達到60%以上,存在性能瓶頸,因此會出現訪問網絡資源慢的問題。
綜合以上分析,向客戶解釋如下:園區網部分辦公終端中病毒(告知客戶這些終端的IP地址和MAC地址),導致這些辦公終端或是下一級的HUB,不定時的,在短的時間內(100ms內)發出數百個arp報文,導致接入交換機或核心交換機的CPU利用率瞬時升高,當CPU處理速度跟不上時,園區網的部分辦公終端出現網絡數據丟包現象,在用戶流量大,上傳下載頻繁的時間段尤其突出。
另分析,除了病毒造成的ARP攻擊之外,某些通信軟件也是元兇;比如飛Q、飛鴿等局域網共享軟件,某些專用的網絡測試軟件也能造成ARP泛洪。
5,建議與總結
在針對類似案例時,可以建議客戶加強辦公終端的防病毒能力,避免病毒在園區網內再次出現;爭取封掉短時間內大量發出ARP的端口,可能是端口下面連接有HUB和打印機,導致部分用戶收到牽連無法聯網辦公或打印機無法使用。在條件允許的情況下,建議員工提升終端配置,定期為員工清除系統垃圾,整理軟件,做好優化。
閱讀更多 王海軍老師 的文章
