Dit document beschrijft de "Code Red"-worm en de problemen die de worm kan veroorzaken in een Cisco-routingomgeving. Dit document beschrijft ook technieken om besmetting van de worm te voorkomen en bevat links naar gerelateerde adviezen waarin oplossingen voor wormgerelateerde problemen worden beschreven.
De worm "Code Red" maakt gebruik van een kwetsbaarheid in de indexservice van Microsoft Internet Information Server (IIS) versie 5.0. Wanneer de "Code Red" worm een host infecteert, veroorzaakt het de host om te onderzoeken en infecteren een willekeurige reeks IP-adressen, wat een scherpe toename van het netwerkverkeer veroorzaakt. Dit is met name een probleem als er redundante koppelingen in het netwerk zijn en/of Cisco Express Forwarding (CEF) niet wordt gebruikt om pakketten te switches.
Er zijn geen specifieke vereisten van toepassing op dit document.
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
De "Code Red" worm probeert verbinding te maken met willekeurig gegenereerde IP-adressen. Elke geïnfecteerde IIS-server kan proberen dezelfde set apparaten te infecteren. U kunt het IP-adres van de bron en de TCP-poort van de worm overtrekken omdat deze niet is gespoofd. Unicast Reverse Path Forwarding (URPF) kan een wormaanval niet onderdrukken omdat het bronadres legaal is.
Deze advisories beschrijven de "Code Red" worm en leggen uit hoe u de software kunt patchen die door de worm is aangetast:
Cisco Security Advisory: "Code Red" worm - gevolgen voor de klant
CERT? Adviserende CA-2001-19 "Code Red" Worm Exploiting Buffer Overflow in IIS Indexing Service DLL
Hier zijn enkele symptomen die erop wijzen dat een Cisco-router wordt beïnvloed door de "Code Red"-worm:
Groot aantal stromen in NAT- of PAT-tabellen (als u NAT of PAT gebruikt).
Groot aantal ARP verzoeken of ARP stormen in het netwerk (veroorzaakt door de IP adresscan).
Buitensporig geheugengebruik door IP Input, ARP Input, IP Cache Ager en CEF processen.
Hoog CPU-gebruik in ARP, IP-ingang, CEF en IPC.
Hoog CPU-gebruik op afschakelniveau bij lage verkeerssnelheden, of hoog CPU-gebruik op procesniveau in IP-invoer, als u NAT gebruikt.
Een lage geheugenvoorwaarde of een langdurig hoog CPU-gebruik (100 procent) op onderbrekingsniveau kan ervoor zorgen dat een Cisco IOS® router opnieuw wordt geladen. Het opnieuw laden wordt veroorzaakt door een proces dat zich door de stressomstandigheden slecht gedraagt.
Als u niet vermoedt dat apparaten in uw site besmet zijn door of het doelwit zijn van de "Code Red" worm, zie de sectie Verwante informatie voor aanvullende URL's over hoe u problemen kunt oplossen.
Gebruik flow switching om het IP-adres van de bron van het betreffende apparaat te identificeren. Configureer ip route-cache flow op alle interfaces om alle stromen te registreren die door de router worden geschakeld.
Na een paar minuten, geef het showip cachestroombevel uit om de opgenomen ingangen te bekijken. Tijdens de eerste fase van de "Code Red" worminfectie tracht de worm zichzelf te repliceren. De replicatie vindt plaats wanneer de worm HT-verzoeken naar willekeurige IP-adressen stuurt. Daarom moet u op zoek naar cachestroomgegevens met bestemmingshaven 80 (HT., 0050 in hex).
De cachestroom van de show ip | omvat 0050 bevel toont alle cacheingangen met een haven van TCP 80 (0050 in hexuitdraai):
Router#show ip cache flow | include 0050 ... scram scrappers dative DstIPaddress Pr SrcP DstP Pkts Vl1 193.23.45.35 Vl3 2.34.56.12 06 0F9F 0050 2 Vl1 211.101.189.208 Null 158.36.179.59 06 0457 0050 1 Vl1 193.23.45.35 Vl3 34.56.233.233 06 3000 0050 1 Vl1 61.146.138.212 Null 158.36.175.45 06 B301 0050 1 Vl1 193.23.45.35 Vl3 98.64.167.174 06 0EED 0050 1 Vl1 202.96.242.110 Null 158.36.171.82 06 0E71 0050 1 Vl1 193.23.45.35 Vl3 123.231.23.45 06 121F 0050 1 Vl1 193.23.45.35 Vl3 9.54.33.121 06 1000 0050 1 Vl1 193.23.45.35 Vl3 78.124.65.32 06 09B6 0050 1 Vl1 24.180.26.253 Null 158.36.179.166 06 1132 0050 1
Als u een abnormaal hoog aantal ingangen met het zelfde bronIP Adres, het willekeurige IP Adres1 van de bestemming, DstP = 0050 (HTTP), en Pr = 06 (TCP) vindt, hebt u waarschijnlijk een besmet apparaat gevestigd. In dit uitvoervoorbeeld is het IP-adres van de bron 193.23.45.35 en komt het van VLAN1.
1Een andere versie van de "Code Red" worm, genaamd "Code Red II", kiest geen volledig willekeurig IP-adres van bestemming. In plaats daarvan houdt "Code Red II" het netwerkgedeelte van het IP-adres bij en kiest een willekeurig hostgedeelte van het IP-adres om zich te verspreiden. Hierdoor kan de worm zich sneller verspreiden binnen hetzelfde netwerk.
"Code Red II" gebruikt deze netwerken en maskers:
Mask Probability of Infection 0.0.0.0 12.5% (random) 255.0.0.0 50.0% (same class A) 255.255.0.0 37.5% (same class B)
DoelIP-adressen die niet zijn opgenomen, zijn 127.X.X.X en 224.X.X.X en geen octet mag 0 of 255 zijn. Bovendien probeert de gastheer niet zichzelf opnieuw te besmetten.
Voor meer informatie, zie Code Red (II).
Soms kunt u niet netflow uitvoeren om een "Code Red" poging te detecteren. Dit kan zijn omdat u een versie van code in werking stelt die geen netflow steunt, of omdat de router ontoereikend of bovenmatig gefragmenteerd geheugen heeft om netflow toe te laten. Cisco raadt u aan geen netflow in te schakelen wanneer er meerdere toegangsinterfaces en slechts één uitgangsinterface op de router zijn, omdat netflow-accounting wordt uitgevoerd op het toegangspad. In dit geval, is het beter om IP-accounting op de enige uitgang interface toe te laten.
Opmerking: DCEF wordt uitgeschakeld met de opdracht IP-accounting. Schakel IP-accounting niet in op elk platform waar u DCEF-switching wilt gebruiken.
Router(config)#interface vlan 1000 Router(config-if)#ip accounting Router#show ip accounting Source Destination Packets Bytes 20.1.145.49 75.246.253.88 2 96 20.1.145.43 17.152.178.57 1 48 20.1.145.49 20.1.49.132 1 48 20.1.104.194 169.187.190.170 2 96 20.1.196.207 20.1.1.11 3 213 20.1.145.43 43.129.220.118 1 48 20.1.25.73 43.209.226.231 1 48 20.1.104.194 169.45.103.230 2 96 20.1.25.73 223.179.8.154 2 96 20.1.104.194 169.85.92.164 2 96 20.1.81.88 20.1.1.11 3 204 20.1.104.194 169.252.106.60 2 96 20.1.145.43 126.60.86.19 2 96 20.1.145.49 43.134.116.199 2 96 20.1.104.194 169.234.36.102 2 96 20.1.145.49 15.159.146.29 2 96
In de show ip accounting opdrachtoutput, zoek naar bronadressen die proberen pakketten naar meerdere doeladressen te verzenden. Als de geïnfecteerde host zich in de scanfase bevindt, probeert deze HTTP-verbindingen met andere routers tot stand te brengen. Zo zult u pogingen zien om meerdere IP-adressen te bereiken. De meeste van deze verbindingspogingen mislukken gewoonlijk. Daarom ziet u slechts een klein aantal pakketten overgebracht, elk met een kleine byte telling. In dit voorbeeld is het waarschijnlijk dat 20.1.145.49 en 20.1.104.194 besmet zijn.
Wanneer u Multi-Layer Switching (MLS) op Catalyst 5000 Series en Catalyst 6000 Series uitvoert, moet u verschillende stappen ondernemen om NetFlow-accounting mogelijk te maken en de besmetting bij te houden. In een Cat6000-switch die is uitgerust met Supervisor 1 Multilayer Switch Feature Card (MSFC1) of SUP I/MSFC2, is netflow-gebaseerde MLS standaard ingeschakeld, maar de flow-mode is alleen doelmodus. Het IP-adres van de bron wordt daarom niet gecacheeerd. U kunt "full-flow" modus inschakelen om geïnfecteerde hosts op te sporen met behulp van de ingestelde mls flow full-opdracht op de supervisor.
Gebruik voor hybride modus de ingestelde mls flow full opdracht:
6500-sup(enable)set mls flow full Configured IP flowmask is set to full flow. Warning: Configuring more specific flow mask may dramatically increase the number of MLS entries.
Gebruik voor de Native IOS-modus de volledige opdracht mls flow ip:
Router(config)#mls flow ip full
Wanneer u de "full-flow" modus inschakelt, wordt een waarschuwing weergegeven om een drastische toename in MLS-waarden aan te geven. Het effect van de verhoogde MLS ingangen is voor een korte duur te rechtvaardigen als uw netwerk reeds met de worm "van het Rood van de Code"wordt besmet. De worm zorgt ervoor dat uw MLS-ingangen excessief en stijgend zijn.
Om de verzamelde informatie te bekijken, gebruikt u deze opdrachten:
Gebruik voor hybride modus de ingestelde mls flow full opdracht:
6500-sup(enable)set mls flow full Configured IP flowmask is set to full flow. Warning: Configuring more specific flow mask may dramatically increase the number of MLS entries.
Gebruik voor de Native IOS-modus de volledige opdracht mls flow ip:
Router(config)#mls flow ip full
Wanneer u de "full-flow" modus inschakelt, wordt een waarschuwing weergegeven om een drastische toename in MLS-waarden aan te geven. Het effect van de verhoogde MLS ingangen is voor een korte duur te rechtvaardigen als uw netwerk reeds met de worm "van het Rood van de Code"wordt besmet. De worm zorgt ervoor dat uw MLS-ingangen excessief en stijgend zijn.
Om de verzamelde informatie te bekijken, gebruikt u deze opdrachten:
Voor Hybride modus, gebruik de show mnt opdracht:
6500-sup(enable)show mls ent Destination-IP Source-IP Prot DstPrt SrcPrt Destination-Mac Vlan EDst ESrc DPort SPort Stat-Pkts Stat-Bytes Uptime Age -------------- --------------- ----- ------ ------ ----------------- ---- ---- ---- --------- --------- ---------- ----------- -------- --------
Opmerking: al deze velden zijn ingevuld als ze in de volledige-stroommodus staan.
Gebruik voor de Native IOS-modus de opdracht MLS ip:
Router#show mls ip DstIP SrcIP Prot:SrcPort:DstPort Dst i/f:DstMAC -------------------------------------------------------------------- Pkts Bytes SrcDstPorts SrcDstEncap Age LastSeen --------------------------------------------------------------------
Wanneer u het IP-bronadres en de bestemmingshaven bepaalt die bij de aanval betrokken is, kunt u MLS weer instellen op de modus "alleen bestemming".
Gebruik voor hybride modi de ingestelde mls flow-bestemmingsopdracht:
6500-sup(enable) set mls flow destination Usage: set mls flow <destination|destination-source|full>
Gebruik voor de Native IOS-modus de opdracht MLS Flow IP-bestemming:
Router(config)#mls flow ip destination
De Supervisor (SUP) II/MSFC2-combinatie is beschermd tegen aanvallen omdat CEF-switching wordt uitgevoerd in de hardware, en de netflow-statistieken worden onderhouden. Dus zelfs tijdens een "Code Red" aanval, als u de full-flow modus inschakelt, wordt de router niet overspoeld, vanwege het snellere schakelmechanisme. De opdrachten voor het inschakelen van de volledige-stroommodus en het weergeven van de statistieken zijn hetzelfde op zowel de SUP I/MFSC1 als de SUP II/MSFC2.
Gebruik de technieken die in deze sectie worden vermeld om het effect van de worm "Code Red" op de router te minimaliseren.
Als het in uw netwerk haalbaar is, is de eenvoudigste manier om de "Code Red" aanval te voorkomen het blokkeren van al het verkeer naar poort 80, de bekende poort voor WWW. Bouw een toegangslijst om IP-pakketten die bestemd zijn voor poort 80 te ontkennen en pas deze inbound toe op de interface met de infectiebron.
ARP-ingang gebruikt grote hoeveelheden geheugen wanneer een statische route naar een broadcast-interface wijst, zoals dit:
ip route 0.0.0.0 0.0.0.0 Vlan3
Elk pakket voor de standaardroute wordt verzonden naar VLAN3. Er is echter geen volgende hop IP adres opgegeven, en zo, de router stuurt een ARP verzoek om het bestemming IP adres. De volgende hop router voor die bestemming antwoordt met zijn eigen adres van MAC, tenzij Proxy ARP is uitgeschakeld. Het antwoord van de router leidt tot een extra ingang in de ARP lijst waar het bestemmingsIP adres van het pakket aan het volgende-hopMAC adres in kaart wordt gebracht. De "Code Red" worm verstuurt pakketten naar willekeurige IP-adressen, wat een nieuwe ARP-ingang toevoegt voor elk willekeurig doeladres. Elke nieuwe ARP ingang verbruikt meer en meer geheugen onder het ARP Invoerproces.
Creeer geen statische standaardroute aan een interface, vooral als de interface uitzending (Ethernet/Fast Ethernet/GE/SMDS) of multipoint (Frame Relay/ATM) is. Om het even welke statische standaardroute moet aan het IP adres van de volgende hoprouter richten. Nadat u de standaardroute hebt veranderd in punt naar het volgende hopIP-adres, gebruikt u de opdracht clear arp-cache om alle ARP-vermeldingen te wissen. Met deze opdracht wordt het probleem met het geheugengebruik opgelost.
Om het CPU-gebruik op een IOS-router te verlagen, wijzigt u van Fast/Optimum/NetFlow-switching in CEF-switching. Er zijn een paar voorbehouden om CEF mogelijk te maken. In de volgende paragraaf wordt het verschil tussen CEF en snelle switching besproken en wordt de implicaties uitgelegd als u CEF inschakelt.
CEF in staat stellen de toegenomen verkeersbelasting als gevolg van de "Code Red" worm te verminderen. Cisco IOS®-softwarereleases 11.1(2)CC, 12.0 en hoger ondersteunen CEF op de Cisco 7200/7500/GSR-platforms. Ondersteuning voor CEF op andere platforms is beschikbaar in Cisco IOS-softwarerelease 12.0 of hoger. U kunt verder onderzoek doen met de Software Advisor tool.
Soms kunt u CEF niet op alle routers inschakelen om een van de volgende redenen:
Onvoldoende geheugen
Niet-ondersteunde platformarchitectuur
Niet-ondersteunde interfaceinsluitingen
Hier zijn de implicaties wanneer u snel omschakelen gebruikt:
Het door verkeer aangedreven cachegeheugen-het cachegeheugen is leeg tot de router switches pakketten en bevolkt het cachegeheugen.
Het eerste pakket is proces-switched-het eerste pakket is proces-switched, omdat het cachegeheugen aanvankelijk leeg is.
Korrelige cache - het cache is gebouwd op een granulaire wijze van de meest specifieke Routing Information Base (RIB)-ingangsdeel van een groot net. Als RIB /24s heeft voor een groot net 131.108.0.0, is het cache gebouwd met /24s voor dit grote netwerk.
/32 cache wordt gebruikt—/32 cache wordt gebruikt om de belasting voor elke bestemming te verdelen. Wanneer het cachegeheugen is gebalanceerd, is het cachegeheugen gebouwd met /32s voor dat grote net.
Opmerking: deze laatste twee problemen kunnen mogelijk leiden tot een enorme cache die al het geheugen zou verbruiken.
Caching op belangrijke netwerk grens-met standaardroute, wordt caching uitgevoerd bij belangrijke netwerkgrenzen.
De Cache Ager—de cache ager draait elke minuut en controleert 1/20th (5 procent) van de cache voor ongebruikte gegevens onder normale geheugenomstandigheden, en 1/4th (25 procent) van de cache in een lage geheugenconditie (200k).
Om de bovenstaande waarden te wijzigen, gebruikt u de opdracht ip cache-ager-interval X Y Z, waarbij:
X is <0-2147483> aantal seconden tussen de looppas. Standaard = 60 seconden.
Y is <2-50> 1/(Y+1) cache die per run (laag geheugen) moet worden verouderd. Standaard = 4.
Z is <3-100> 1/(Z+1) cache per run (normaal). Standaard = 20.
Hier is een voorbeeldconfiguratie die ip cache-ager 60 5 25 gebruikt.
Router#show ip cache IP routing cache 2 entries, 332 bytes 27 adds, 25 invalidates, 0 refcounts Cache aged by 1/25 every 60 seconds (1/5 when memory is low). Minimum invalidation interval 2 seconds, maximum interval 5 seconds, quiet interval 3 seconds, threshold 0 requests Invalidation rate 0 in last second, 0 in last 3 seconds Last full cache invalidation occurred 03:55:12 ago Prefix/Length Age Interface Next Hop 4.4.4.1/32 03:44:53 Serial1 4.4.4.1 192.168.9.0/24 00:03:15 Ethernet1 20.4.4.1 Router#show ip cache verbose IP routing cache 2 entries, 332 bytes 27 adds, 25 invalidates, 0 refcounts Cache aged by 1/25 every 60 seconds (1/5 when memory is low). Minimum invalidation interval 2 seconds, maximum interval 5 seconds, quiet interval 3 seconds, threshold 0 requests Invalidation rate 0 in last second, 0 in last 3 seconds Last full cache invalidation occurred 03:57:31 ago Prefix/Length Age Interface Next Hop 4.4.4.1/32-24 03:47:13 Serial1 4.4.4.1 4 0F000800 192.168.9.0/24-0 00:05:35 Ethernet1 20.4.4.1 14 00000C34A7FC00000C13DBA90800
Gebaseerd op de instelling van uw cache ager, een bepaald percentage van uw cache ingangen uit uw fast-cache tabel. Wanneer de ingangen snel verouderen, wordt een groter percentage van de snel-cachetabel, en de cachetabel wordt kleiner. Dientengevolge, vermindert de geheugenconsumptie op de router. Een nadeel is dat het verkeer voor de ingangen blijft stromen die uit de cachetabel werden verouderd. Eerste pakketten worden processwitched, wat een korte piek in CPU-verbruik in IP-ingang veroorzaakt totdat een nieuwe cache ingang is gebouwd voor de flow.
Van Cisco IOS-softwarereleases 10.3(8), 11.0(3) en hoger wordt het IP-cachegeheugen anders verwerkt, zoals hier wordt uitgelegd:
De opdrachten ip cache-ager-interval en ip cache-invalidate-time zijn alleen beschikbaar als de service interne opdracht in de configuratie is gedefinieerd.
Als de periode tussen de nulwaarden van de ager is ingesteld op 0, wordt het ager-proces volledig uitgeschakeld.
De tijd wordt uitgedrukt in seconden.
Opmerking: wanneer u deze opdrachten uitvoert, neemt het CPU-gebruik van de router toe. Gebruik deze opdrachten alleen wanneer dit absoluut noodzakelijk is.
Router#clear ip cache ? A.B.C.D Address prefix <CR>--> will clear the entire cache and free the memory used by it! Router#debug ip cache IP cache debugging is on
De Forwarding Information Base (FIB) tabel is gebaseerd op de routingtabel. Daarom bestaat het door:sturen van informatie alvorens het eerste pakket door:sturen. De FIB bevat ook /32 vermeldingen voor direct verbonden LAN-hosts.
De Adjacency (ADJ) tabel bevat Layer 2 herschrijf informatie voor volgende-hop en direct-verbonden hosts (een ARP-vermelding maakt een CEF-nabijheid).
Er is geen cache ager concept met CEF om CPU-gebruik te pieken. Een FIB-ingang wordt verwijderd als een Routing Table-ingang wordt verwijderd.
Waarschuwing: Een standaardroute die naar een broadcast- of multipoint-interface wijst, betekent dat de router ARP-verzoeken voor elke nieuwe bestemming verstuurt. ARP verzoeken van de router leiden potentieel tot een grote nabijheidslijst tot de router uit geheugen loopt. Als CEF er niet in slaagt geheugen toe te wijzen, schakelt CEF/DCEF zichzelf uit. U dient CEF/DCEF opnieuw handmatig in te schakelen.
Hier is wat voorbeeldoutput van de show ip cef summiere opdracht, die geheugengebruik toont. Deze output is een snapshot van een Cisco 7200 routeserver met Cisco IOS-softwarerelease 12.0.
Router>show ip cef summary IP CEF with switching (Table Version 2620746) 109212 routes, 0 reresolve, 0 unresolved (0 old, 0 new), peak 84625 109212 leaves, 8000 nodes, 22299136 bytes, 2620745 inserts, 2511533 invalidations 17 load sharing elements, 5712 bytes, 109202 references universal per-destination load sharing algorithm, id 6886D006 1 CEF resets, 1 revisions of existing leaves 1 in-place/0 aborted modifications Resolution Timer: Exponential (currently 1s, peak 16s) refcounts: 2258679 leaf, 2048256 node Adjacency Table has 16 adjacencies Router>show processes memory | include CEF PID TTY Allocated Freed Holding Getbufs Retbufs Process 73 0 147300 1700 146708 0 0 CEF process 84 0 608 0 7404 0 0 CEF Scanner Router>show processes memory | include BGP 2 0 6891444 6891444 6864 0 0 BGP Open 80 0 3444 2296 8028 0 0 BGP Open 86 0 477568 476420 7944 0 0 BGP Open 87 0 2969013892 102734200 338145696 0 0 BGP Router 88 0 56693560 2517286276 7440 131160 4954624 BGP I/O 89 0 69280 68633812 75308 0 0 BGP Scanner 91 0 6564264 6564264 6876 0 0 BGP Open 101 0 7635944 7633052 6796 780 0 BGP Open 104 0 7591724 7591724 6796 0 0 BGP Open 105 0 7269732 7266840 6796 780 0 BGP Open 109 0 7600908 7600908 6796 0 0 BGP Open 110 0 7268584 7265692 6796 780 0 BGP Open Router>show memory summary | include FIB Alloc PC Size Blocks Bytes What 0x60B8821C 448 7 3136 FIB: FIBIDB 0x60B88610 12000 1 12000 FIB: HWIDB MAP TABLE 0x60B88780 472 6 2832 FIB: FIBHWIDB 0x60B88780 508 1 508 FIB: FIBHWIDB 0x60B8CF9C 1904 1 1904 FIB 1 path chunk pool 0x60B8CF9C 65540 1 65540 FIB 1 path chunk pool 0x60BAC004 1904 252 479808 FIB 1 path chun 0x60BAC004 65540 252 16516080 FIB 1 path chun Router>show memory summary | include CEF 0x60B8CD84 4884 1 4884 CEF traffic info 0x60B8CF7C 44 1 44 CEF process 0x60B9D12C 14084 1 14084 CEF arp throttle chunk 0x60B9D158 828 1 828 CEF loadinfo chunk 0x60B9D158 65540 1 65540 CEF loadinfo chunk 0x60B9D180 128 1 128 CEF walker chunk 0x60B9D180 368 1 368 CEF walker chunk 0x60BA139C 24 5 120 CEF process 0x60BA139C 40 1 40 CEF process 0x60BA13A8 24 4 96 CEF process 0x60BA13A8 40 1 40 CEF process 0x60BA13A8 72 1 72 CEF process 0x60BA245C 80 1 80 CEF process 0x60BA2468 60 1 60 CEF process 0x60BA65A8 65488 1 65488 CEF up event chunk Router>show memory summary | include adj 0x60B9F6C0 280 1 280 NULL adjacency 0x60B9F734 280 1 280 PUNT adjacency 0x60B9F7A4 280 1 280 DROP adjacency 0x60B9F814 280 1 280 Glean adjacency 0x60B9F884 280 1 280 Discard adjacency 0x60B9F9F8 65488 1 65488 Protocol adjacency chunk
Wanneer het aantal stromen groot is, verbruikt CEF doorgaans minder geheugen dan snelle switching. Als het geheugen reeds door een snel omschakelingscachegeheugen wordt verbruikt, moet u het ARP cachegeheugen (door het duidelijke ip arp bevel) ontruimen alvorens u CEF toelaat.
Opmerking: wanneer u de cache leeg maakt, wordt een piek veroorzaakt in het CPU-gebruik van de router.
A. Er is onlangs een NAT Cisco-bug (CSCdu63623 (alleen geregistreerde klanten)) gefixeerd die schaalbaarheid impliceert. Wanneer er tienduizenden NAT-stromen zijn (gebaseerd op het platformtype), veroorzaakt de bug 100 procent CPU-gebruik op proces- of onderbrekingsniveau.
Om te bepalen of dit insect de reden is, geef de show uit richten bevel, en verifiëren of de router uitlijningsfouten onder ogen ziet. Als u uitlijningsfouten of onjuiste geheugentoegang ziet, geeft u de opdracht uitlijnen een paar keer uit en ziet u of de fouten toenemen. Als het aantal fouten toeneemt, kunnen uitlijningsfouten de oorzaak zijn van een hoog CPU-gebruik op afschakelniveau en niet van Cisco bug CSCdu63623 (alleen geregistreerde klanten). Raadpleeg voor meer informatie Onjuiste toegang en uitlijningsfouten oplossen.
De opdracht NAT-vertaling tonen het aantal actieve vertalingen. Het meltdown point voor een NPE-300 klasse processor is ongeveer 20.000 tot 40.000 vertalingen. Dit aantal varieert afhankelijk van het platform.
Dit meltdown-probleem werd eerder door een paar klanten waargenomen, maar na "Code Red" hebben meer klanten dit probleem ervaren. De enige tijdelijke oplossing is om NAT (in plaats van PAT) uit te voeren, zodat er minder actieve vertalingen zijn. Als u een 7200 hebt, gebruik dan een NSE-1 en verlaag de NAT timeout waarden.
A. Het HyBridge Input-proces verwerkt alle pakketten die niet snel kunnen worden geschakeld door het IRB-proces. Het onvermogen van het IRB-proces om een pakket snel te switches kan zijn omdat:
Het pakket is een broadcast-pakket.
Het pakket is een multicast pakket.
De bestemming is onbekend, en ARP moet worden geactiveerd.
Er zijn overspannen - boom BPDUs.
HyBridge Input stuit op problemen als er duizenden point-to-point interfaces zijn in dezelfde bruggroep. HyBridge Input stuit ook op problemen (maar in mindere mate) als er duizenden VS's zijn in dezelfde multipoint interface.
Wat zijn mogelijke redenen voor problemen met IRB? Veronderstel dat een apparaat besmet met "Code red" IP-adressen scant.
De router moet een ARP verzoek om elk bestemmingsIP adres verzenden. Een vloed van ARP verzoeken resulteert op elke VC in de bruggroep voor elk adres dat wordt gescand. Het normale ARP-proces veroorzaakt geen CPU-probleem. Als er echter een ARP-ingang is zonder een bridge-ingang, dan worden de routeroverstromingspakketten geleverd voor adressen waarvoor ARP-vermeldingen al bestaan. Dit kan een hoog CPU-gebruik veroorzaken omdat het verkeer procesgeschakeld is. Om het probleem te vermijden, verhoog de bridge-aging tijd (standaard 300 seconden of 5 minuten) om de ARP timeout aan te passen of te overschrijden (standaard 4 uur) zodat de twee timers gesynchroniseerd zijn.
Het adres dat de eindgastheer probeert te besmetten is een uitzendingsadres. De router doet het equivalent van een subnetuitzending die moet worden gerepliceerd door het HyBridge Input-proces. Dit gebeurt niet als de opdracht geen ip directed-broadcast is geconfigureerd. Van Cisco IOS-softwarerelease 12.0 wordt de opdracht IP geleid-uitzending standaard uitgeschakeld, waardoor alle IP-uitzendingen worden gedropt.
Hier is een zijaantekening, niet gerelateerd aan "Code Red", en gerelateerd aan IRB architecturen:
Layer 2 multicast- en broadcast-pakketten moeten worden gerepliceerd. Daarom kan een probleem met IPX servers die op een uitzendingssegment lopen de verbinding neerhalen. U kunt abonneebeleid gebruiken om het probleem te voorkomen. Raadpleeg voor meer informatie de ondersteuning van xDSL-bridge (x Digital Subscriber Line). U moet ook overbruggingstoegangslijsten overwegen, die het type van verkeer beperken toegestaan om door de router over te gaan.
Om dit IRB-probleem te verhelpen, kunt u meerdere bruggroepen gebruiken en ervoor zorgen dat er een één-op-één-omzetting is voor BVI’s, subinterfaces en VC’s.
RBE is superieur aan IRB omdat het de overbruggingsstapel volledig vermijdt. U kunt van IRB naar RBE migreren. Deze Cisco-bugs inspireren een dergelijke migratie:
CSCdr1146 (alleen geregistreerde klanten)
CSCdp18572 (alleen geregistreerde klanten)
CSCds40806 (alleen geregistreerde klanten)
A. Hier is een voorbeeld van de opdrachtoutput voor showvastlegging:
Router#show logging Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) ^ this value is non-zero Console logging: level debugging, 9 messages logged
Controleer of u zich bij de console aanmeldt. Als dit het geval is, controleert u of er traffic HTTP-aanvragen zijn. Controleer vervolgens of er toegangslijsten zijn met logwoorden of debugs die bepaalde IP-stromen bewaken. Als de spoelbeurten stijgen, kan het zijn omdat de console, gewoonlijk een 9600 baud apparaat, niet in staat is om de hoeveelheid ontvangen informatie te behandelen. In dit scenario, maakt de router onderbrekingen onbruikbaar en doet niets behalve de berichten van de procesconsole. De oplossing is om consolelogging uit te schakelen of elk type logboekregistratie te verwijderen dat u uitvoert.
A."Code Red" kan hier de reden zijn. Cisco raadt u aan de opdracht ip http server op de IOS-router uit te schakelen zodat deze niet hoeft om te gaan met talrijke verbindingspogingen van geïnfecteerde hosts.
Er zijn verschillende tijdelijke oplossingen die worden besproken in de Advisories die de sectie "Code Red" Worm bespreken. Raadpleeg de adviezen voor de omzeilingen.
Een andere methode om de "Code Red" worm te blokkeren op netwerktoegangspunten gebruikt Network-Based Application Recognition (NBAR) en Access Control Lists (ACL’s) binnen IOS-software op Cisco-routers. Gebruik deze methode in combinatie met de aanbevolen patches voor IIS-servers van Microsoft. Raadpleeg voor meer informatie over deze methode NBAR en ACL’s gebruiken om de "Code Red" worm te blokkeren op Network Ingress Points.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
10-Dec-2001 |
Eerste vrijgave |