简单服务发现协议SSDP(Simple Service Discovery Protocol)是一种应用层协议,其构成UPnP(通用即插即用)技术的核心协议之一 。它为网络客户端(network client)提供了一种发现网络服务(network services)的机制,采用基于通知和发现路由的组播方式实现 。
SSDP协议一般使用组播地址239.255.255.250:1900(IPv4),FF0x::C(IPv6)来传送相关消息 。
按照协议的规定,当一个控制点(客户端)接入网络的时候,它可以向一个特定的组播地址的SSDP端口使用M-SEARCH方法发送“ssdp:discover”消息 。当设备监听到这个保留的组播地址上由控制点发送的消息的时候,设备会分析控制点请求的服务,如果自身提供了控制点请求的服务,设备将通过单播的方式直接响应控制点的请求 。
SSDP的UDP数据报文和IGMP Report报文分别如图6-1和图6-2所示 。
图6-1 SSDP的UDP数据报文
文章插图
图6-2 SSDP的IGMP Report报文
文章插图
6.2 交换机受到ARP报文攻击
问题现象描述
如图6-3所示,Switch为网关,Switch_1(框式交换机)经常脱管,且Switch_1下用户存在上网掉线,Ping网关存在时延、不通等现象,而Switch_2下联业务正常,Ping网关正常 。
图6-3 故障组网图
文章插图
问题根因说明
Switch_1上存在源mac固定的ARP攻击导致用户无法进行正常ARP交互 。
问题判断方法
在Switch_1上执行以下操作:
步骤 1查看设备CPU占用率,判断CPU占用率较高 。
文章插图
发现CPU占用率达到82% 。
步骤 2查看存在临时ARP表项,初步判断设备的ARP表项学习存在问题 。
文章插图
发现有两条ARP表项的“MAC ADDRESS”字段为“Incomplete”即为临时表项,表示有ARP表项学习不到 。
步骤 3判断设备正遭受ARP攻击 。
1.由于有未学习到的ARP表项,查看上送CPU的ARP-Request报文统计信息 。
文章插图
发现交换机的4号单板上存在大量ARP-Request报文丢包 。
2.配置攻击溯源识别攻击源 。
文章插图
3.查看攻击源信息 。
文章插图
发现攻击源的MAC地址为0000-0000-00db,位于GigabitEthernet2/0/22端口 。
如果该MAC有对应ARP,还可以执行命令display arp | include 0000-0000-00db查询对应的IP 。
----结束
解决方案
l配置黑名单 。
文章插图
l配置攻击溯源的惩罚功能 。
文章插图
6.3 STP震荡引起CPU占用率高
问题现象描述
一台盒式交换机的CPU占用率过高,交换机输出大量的ARP报文超过CPCAR后丢弃的日志,同时采集端口信息时,发现所有使能STP的端口接收的TC报文计数均在增长 。
问题根因说明
端口收到大量的TC报文引起STP震荡,触发大量MAC表项删除、ARP表项刷新,使交换机需要处理大量ARP-Miss、ARP-Request和ARP-Reply报文,导致CPU占用率升高 。
问题判断方法
1.查看日志,设备上出现CPU占用率过高的日志信息 。
文章插图
2.查看日志,设备上还有大量的ARP报文超过CPCAR后丢弃的日志记录 。
文章插图
3.采集端口TC(Topology Change)报文收***况 。
隔几秒执行一次display stp tc-bpdu statistics命令,查看端口TC/TCN报文收发计数,发现所有使能STP的端口,接收的TC报文计数均在增长 。
解决方案
1.系统视图下执行stp tc-protection命令,打开TC保护的告警开关 。
打开TC保护告警开关后,可以保证设备频繁收到TC报文时,每2秒周期内最多只处理1次表项刷新,从而减少MAC、ARP表项频繁刷新对设备造成的CPU处理任务过多 。
推荐阅读
- 进程/线程上下文切换会用掉你多少CPU?
- Netflix 如何正确计算docker中containers的CPU分配
- 线上服务器CPU占用率高如何排查定位问题?
- 三层交换机如何配置?如何实现不同vlan间的通信?
- 如何正确选购CPU?
- CPU散热器应该怎么选?
- 华为S5700交换机设置IP-MAC绑定功能
- AMD|3A平台遭殃!AMD显卡驱动被指绕过用户擅自修改CPU设置
- telnet远程登录华为交换机
- top命令详解:CPU,内存,进程信息统计