适用于由于路由器遭受攻击造成处理端口上的输入数据包时耗尽资源的情况。
1、检查路由器的利用率
router#show process cpu
看到cpu利用率99%,检查是那一项占用率最高,一般IP Input比较高,说明是输入数据包过多。
2、判断出故障端口所在
router#show interface fastethernet x/y
看一下端口的数据量,输入输出的包数,输入输出的错误数,输入队列中被0drop掉的包数等,分析一下是否有异常。
例如:
Input queue: 0/75/223681684/0 (size/max/0drops/flushes). Total output 0drops: 0
Queueing strategy: fifo
Output queue :0/40 (size/max)
5 minute input rate 444000 bits/sec, 183 packets/sec
5 minute output rate 708000 bits/sec, 139 packets/sec
43289439 packets input, 4150615869 bytes
Received 9225 broadcasts, 0 runts, 0 giants, 0 throttles
3645805 input errors, 0 CRC, 0 frame, 3645805 overrun, 0 ignored |
当然,最快的方法,是排除法,把端口逐个断开,观察cpu利用率,很快就能找出故障的端口。或者进一步用排除发找出网络分支上的故障点。
3、判断故障原因
原理上,是在路由器上创建一个permit ip any any的access-list(访问列表),然后,把这个acl应用到故障端口上,打开ip包的debug,分析故障原因。例子如下:
3.1创建一个access-list ,允许ip包通过
route(config)# access-list 120 permit ip any any
3.2把此acl应用的故障端口上
route((config-if)#ip access-group 120 in
这样做的目的是因为,下面要打开debug,就是要根据这个acl,来抓通过这个端口的包。
3.3打开debug进行抓包
route#debug ip packet 120
debug应该在console上进行
3.4停止debug
route#no debug all
注意debug可能会把路由器冲死,所以应该尽快停止。
相关文章
ICMP攻击和基于ICMP的路由欺骗
CiscoIO ervice的10个子命令
解决cisco路由器cpu占用率100%问题
澳大利亚华人论坛
考好网
日本华人论坛
华人移民留学论坛
英国华人论坛