第一步 show process cpu 如顯示IP input process is using a lot of CPU resources檢查以下情況
一Fast switching
在大流量的外出接口上是否被disabled可以用 show interfaces switching 命令察看接口流量然後在接口上重新 Reenable fast switching 記住 fast switching是配置在output 接口
二 Fast switching on the same interface是否被disabled 如一個接口配有多個網段(secondary addresses )並且在這些網段間流量很大時 路由器工作在processswitches方式 這種情況下要在接口上enable ip routecache sameinterface
三不能被fast switched的包有switching cache沒有entry的包目的地是路由器的包需要協議轉換的包做了policy routing的包X encapsulation的包Multilink PPP壓縮和加密的包目的地是router的包
舉例:路由更新信息(取決於路由協議)過快的更新值顯示網絡不穩定並增加了CPU utilization 可以用show ip route檢查路由表
其它人登錄運行命令導致大量log輸出
Spoof 攻擊用show ip traffic 命令確認可發現大量到本地的包
第二步 用 show interfaces 和show interfaces switching命令識別大量包進出的端口;一旦你確認進入端口後打開 ip accounting on the outgoing interface看其特征如果是攻擊源地址會不斷變化但是目的地址不變可以用access list暫時解決此類問題 (最好在接近攻擊源的設備上配置) 最終解決辦法是停止攻擊源
一需policy routing的包在 Cisco IOS version 以前 policyrouted packets不能被 fast switched IOS version 以後允許 policyrouted packets to be fast switched使用接口命令ip routecache policy
二通過X封裝的包因為有 flow control on the second Open System Interconnection (OSI) layerCompressed traffic如沒有Compression Service Adapter (CSA) in the router compressed packets must be processswitchedEncrypted traffic 如沒有 Encryption Service Adapter (ESA) in the router encrypted packets must be processswitched
三大量的User Datagram Protocol (UDP) 流量 可以用解決 spoof attack的步驟解決
四 大量組播流穿越路由器可以enable fast switching of multicast packets using the ip mroutecache interface configuration command (fast switching of multicast packets is off by default)
五大量廣播包 Check the number of broadcast packets in the show interfaces command output
六路由器被 overused 不能處理amount of traffic 可以用 load among other routers 或者 考慮另購買highend router
七 路由器配置了IP NAT (Network Address Translation)並且有很多 DNS (Domain Name System) 包穿越 router UDP or TCP packets with source and/or destination port (DNS) are always punted to process level by NAT
無論是什麼原因導致high CPU utilization in the IP Input process 都可以用 debugging IP packets察看因為 CPU utilization已經較高 debugging產生的許多信息只能通過 logging buffered而不能 Logging to a console debugging過程不要超過 秒如果發現可疑的源可以斷掉其設備的連接或者用ACL過濾到目的地的包
From:http://tw.wingwit.com/Article/Common/201311/6197.html