Omgaan met mallocfail en hoog CPU-gebruik als gevolg van de "Code Red" Worm

Downloadopties

  • PDF     (302.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:20 juni 2008
Document-id:12808

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft de "Code Red"-worm en de problemen die de worm kan veroorzaken in een Cisco-routingomgeving. Dit document beschrijft ook technieken om besmetting van de worm te voorkomen en bevat links naar gerelateerde adviezen waarin oplossingen voor wormgerelateerde problemen worden beschreven.

De worm "Code Red" maakt gebruik van een kwetsbaarheid in de indexservice van Microsoft Internet Information Server (IIS) versie 5.0. Wanneer de "Code Red" worm een host infecteert, veroorzaakt het de host om te onderzoeken en infecteren een willekeurige reeks IP-adressen, wat een scherpe toename van het netwerkverkeer veroorzaakt. Dit is met name een probleem als er redundante koppelingen in het netwerk zijn en/of Cisco Express Forwarding (CEF) niet wordt gebruikt om pakketten te switches.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Hoe de "Code Red" Worm andere systemen infecteert

De "Code Red" worm probeert verbinding te maken met willekeurig gegenereerde IP-adressen. Elke geïnfecteerde IIS-server kan proberen dezelfde set apparaten te infecteren. U kunt het IP-adres van de bron en de TCP-poort van de worm overtrekken omdat deze niet is gespoofd. Unicast Reverse Path Forwarding (URPF) kan een wormaanval niet onderdrukken omdat het bronadres legaal is.

Advisories die de "Code Red" Worm bespreken

Deze advisories beschrijven de "Code Red" worm en leggen uit hoe u de software kunt patchen die door de worm is aangetast:

Symptomen

Hier zijn enkele symptomen die erop wijzen dat een Cisco-router wordt beïnvloed door de "Code Red"-worm:

  • Groot aantal stromen in NAT- of PAT-tabellen (als u NAT of PAT gebruikt).

  • Groot aantal ARP verzoeken of ARP stormen in het netwerk (veroorzaakt door de IP adresscan).

  • Buitensporig geheugengebruik door IP Input, ARP Input, IP Cache Ager en CEF processen.

  • Hoog CPU-gebruik in ARP, IP-ingang, CEF en IPC.

  • Hoog CPU-gebruik op afschakelniveau bij lage verkeerssnelheden, of hoog CPU-gebruik op procesniveau in IP-invoer, als u NAT gebruikt.

Een lage geheugenvoorwaarde of een langdurig hoog CPU-gebruik (100 procent) op onderbrekingsniveau kan ervoor zorgen dat een Cisco IOS® router opnieuw wordt geladen. Het opnieuw laden wordt veroorzaakt door een proces dat zich door de stressomstandigheden slecht gedraagt.

Als u niet vermoedt dat apparaten in uw site besmet zijn door of het doelwit zijn van de "Code Red" worm, zie de sectie Verwante informatie voor aanvullende URL's over hoe u problemen kunt oplossen.

Het geïnfecteerde apparaat identificeren

Gebruik flow switching om het IP-adres van de bron van het betreffende apparaat te identificeren. Configureer ip route-cache flow op alle interfaces om alle stromen te registreren die door de router worden geschakeld.

Na een paar minuten, geef het showip cachestroombevel uit om de opgenomen ingangen te bekijken. Tijdens de eerste fase van de "Code Red" worminfectie tracht de worm zichzelf te repliceren. De replicatie vindt plaats wanneer de worm HT-verzoeken naar willekeurige IP-adressen stuurt. Daarom moet u op zoek naar cachestroomgegevens met bestemmingshaven 80 (HT., 0050 in hex).

De cachestroom van de show ip | omvat 0050 bevel toont alle cacheingangen met een haven van TCP 80 (0050 in hexuitdraai): 

Router#show ip cache flow | include 0050 
... 

scram        scrappers    dative      DstIPaddress   Pr SrcP  DstP  Pkts 
Vl1       193.23.45.35      Vl3        2.34.56.12    06 0F9F  0050     2 
Vl1    211.101.189.208     Null     158.36.179.59    06 0457  0050     1 
Vl1       193.23.45.35      Vl3     34.56.233.233    06 3000  0050     1 
Vl1     61.146.138.212     Null     158.36.175.45    06 B301  0050     1 
Vl1       193.23.45.35      Vl3     98.64.167.174    06 0EED  0050     1 
Vl1     202.96.242.110     Null     158.36.171.82    06 0E71  0050     1 
Vl1       193.23.45.35      Vl3     123.231.23.45    06 121F  0050     1 
Vl1       193.23.45.35      Vl3       9.54.33.121    06 1000  0050     1 
Vl1       193.23.45.35      Vl3      78.124.65.32    06 09B6  0050     1 
Vl1      24.180.26.253     Null    158.36.179.166    06 1132  0050     1

Als u een abnormaal hoog aantal ingangen met het zelfde bronIP Adres, het willekeurige IP Adres1 van de bestemming, DstP = 0050 (HTTP), en Pr = 06 (TCP) vindt, hebt u waarschijnlijk een besmet apparaat gevestigd. In dit uitvoervoorbeeld is het IP-adres van de bron 193.23.45.35 en komt het van VLAN1.

1Een andere versie van de "Code Red" worm, genaamd "Code Red II", kiest geen volledig willekeurig IP-adres van bestemming. In plaats daarvan houdt "Code Red II" het netwerkgedeelte van het IP-adres bij en kiest een willekeurig hostgedeelte van het IP-adres om zich te verspreiden. Hierdoor kan de worm zich sneller verspreiden binnen hetzelfde netwerk.

"Code Red II" gebruikt deze netwerken en maskers: 

Mask        Probability of Infection 
0.0.0.0       12.5% (random) 
255.0.0.0     50.0% (same class A) 
255.255.0.0   37.5% (same class B)

DoelIP-adressen die niet zijn opgenomen, zijn 127.X.X.X en 224.X.X.X en geen octet mag 0 of 255 zijn. Bovendien probeert de gastheer niet zichzelf opnieuw te besmetten.

Voor meer informatie, zie Code Red (II)icon_popup_short.gif.

Soms kunt u niet netflow uitvoeren om een "Code Red" poging te detecteren. Dit kan zijn omdat u een versie van code in werking stelt die geen netflow steunt, of omdat de router ontoereikend of bovenmatig gefragmenteerd geheugen heeft om netflow toe te laten. Cisco raadt u aan geen netflow in te schakelen wanneer er meerdere toegangsinterfaces en slechts één uitgangsinterface op de router zijn, omdat netflow-accounting wordt uitgevoerd op het toegangspad. In dit geval, is het beter om IP-accounting op de enige uitgang interface toe te laten.

Opmerking: DCEF wordt uitgeschakeld met de opdracht IP-accounting. Schakel IP-accounting niet in op elk platform waar u DCEF-switching wilt gebruiken. 

Router(config)#interface vlan 1000 
Router(config-if)#ip accounting
  
Router#show ip accounting 
  Source           Destination           Packets               Bytes 
20.1.145.49    75.246.253.88                 2                  96 
20.1.145.43    17.152.178.57                 1                  48 
20.1.145.49    20.1.49.132                   1                  48 
20.1.104.194   169.187.190.170               2                  96 
20.1.196.207   20.1.1.11                     3                 213 
20.1.145.43    43.129.220.118                1                  48 
20.1.25.73     43.209.226.231                1                  48 
20.1.104.194   169.45.103.230                2                  96 
20.1.25.73     223.179.8.154                 2                  96 
20.1.104.194   169.85.92.164                 2                  96 
20.1.81.88     20.1.1.11                     3                 204 
20.1.104.194   169.252.106.60                2                  96 
20.1.145.43    126.60.86.19                  2                  96 
20.1.145.49    43.134.116.199                2                  96 
20.1.104.194   169.234.36.102                2                  96 
20.1.145.49    15.159.146.29                 2                  96

In de show ip accounting opdrachtoutput, zoek naar bronadressen die proberen pakketten naar meerdere doeladressen te verzenden. Als de geïnfecteerde host zich in de scanfase bevindt, probeert deze HTTP-verbindingen met andere routers tot stand te brengen. Zo zult u pogingen zien om meerdere IP-adressen te bereiken. De meeste van deze verbindingspogingen mislukken gewoonlijk. Daarom ziet u slechts een klein aantal pakketten overgebracht, elk met een kleine byte telling. In dit voorbeeld is het waarschijnlijk dat 20.1.145.49 en 20.1.104.194 besmet zijn.

Wanneer u Multi-Layer Switching (MLS) op Catalyst 5000 Series en Catalyst 6000 Series uitvoert, moet u verschillende stappen ondernemen om NetFlow-accounting mogelijk te maken en de besmetting bij te houden. In een Cat6000-switch die is uitgerust met Supervisor 1 Multilayer Switch Feature Card (MSFC1) of SUP I/MSFC2, is netflow-gebaseerde MLS standaard ingeschakeld, maar de flow-mode is alleen doelmodus. Het IP-adres van de bron wordt daarom niet gecacheeerd. U kunt "full-flow" modus inschakelen om geïnfecteerde hosts op te sporen met behulp van de ingestelde mls flow full-opdracht op de supervisor.

Gebruik voor hybride modus de ingestelde mls flow full opdracht: 

6500-sup(enable)set mls flow full
Configured IP flowmask is set to full flow. 
Warning: Configuring more specific flow mask may dramatically
increase the number of MLS entries.

Gebruik voor de Native IOS-modus de volledige opdracht mls flow ip:

Router(config)#mls flow ip full

Wanneer u de "full-flow" modus inschakelt, wordt een waarschuwing weergegeven om een drastische toename in MLS-waarden aan te geven. Het effect van de verhoogde MLS ingangen is voor een korte duur te rechtvaardigen als uw netwerk reeds met de worm "van het Rood van de Code"wordt besmet. De worm zorgt ervoor dat uw MLS-ingangen excessief en stijgend zijn.

Om de verzamelde informatie te bekijken, gebruikt u deze opdrachten:

Gebruik voor hybride modus de ingestelde mls flow full opdracht: 

6500-sup(enable)set mls flow full
Configured IP flowmask is set to full flow. 
Warning: Configuring more specific flow mask may dramatically
increase the number of MLS entries.

Gebruik voor de Native IOS-modus de volledige opdracht mls flow ip:

Router(config)#mls flow ip full

Wanneer u de "full-flow" modus inschakelt, wordt een waarschuwing weergegeven om een drastische toename in MLS-waarden aan te geven. Het effect van de verhoogde MLS ingangen is voor een korte duur te rechtvaardigen als uw netwerk reeds met de worm "van het Rood van de Code"wordt besmet. De worm zorgt ervoor dat uw MLS-ingangen excessief en stijgend zijn.

Om de verzamelde informatie te bekijken, gebruikt u deze opdrachten:

Voor Hybride modus, gebruik de show mnt opdracht: 

6500-sup(enable)show mls ent
Destination-IP  Source-IP     Prot  DstPrt SrcPrt Destination-Mac   Vlan EDst 
ESrc DPort     SPort     Stat-Pkts  Stat-Bytes  Uptime   Age 
-------------- --------------- ----- ------ ------ ----------------- ---- ---- 
---- --------- --------- ---------- ----------- -------- --------

Opmerking: al deze velden zijn ingevuld als ze in de volledige-stroommodus staan.

Gebruik voor de Native IOS-modus de opdracht MLS ip: 

Router#show mls ip 
DstIP           SrcIP           Prot:SrcPort:DstPort  Dst i/f:DstMAC 
-------------------------------------------------------------------- 
Pkts         Bytes       SrcDstPorts    SrcDstEncap Age   LastSeen 
--------------------------------------------------------------------

Wanneer u het IP-bronadres en de bestemmingshaven bepaalt die bij de aanval betrokken is, kunt u MLS weer instellen op de modus "alleen bestemming".

Gebruik voor hybride modi de ingestelde mls flow-bestemmingsopdracht: 

6500-sup(enable) set mls flow destination 
Usage: set mls flow <destination|destination-source|full>

Gebruik voor de Native IOS-modus de opdracht MLS Flow IP-bestemming: 

Router(config)#mls flow ip destination

De Supervisor (SUP) II/MSFC2-combinatie is beschermd tegen aanvallen omdat CEF-switching wordt uitgevoerd in de hardware, en de netflow-statistieken worden onderhouden. Dus zelfs tijdens een "Code Red" aanval, als u de full-flow modus inschakelt, wordt de router niet overspoeld, vanwege het snellere schakelmechanisme. De opdrachten voor het inschakelen van de volledige-stroommodus en het weergeven van de statistieken zijn hetzelfde op zowel de SUP I/MFSC1 als de SUP II/MSFC2.

Preventietechnologie

Gebruik de technieken die in deze sectie worden vermeld om het effect van de worm "Code Red" op de router te minimaliseren.

Blokverkeer naar poort 80

Als het in uw netwerk haalbaar is, is de eenvoudigste manier om de "Code Red" aanval te voorkomen het blokkeren van al het verkeer naar poort 80, de bekende poort voor WWW. Bouw een toegangslijst om IP-pakketten die bestemd zijn voor poort 80 te ontkennen en pas deze inbound toe op de interface met de infectiebron.

Verlaag het gebruik van ARP-ingangsgeheugen

ARP-ingang gebruikt grote hoeveelheden geheugen wanneer een statische route naar een broadcast-interface wijst, zoals dit:

ip route 0.0.0.0 0.0.0.0 Vlan3

Elk pakket voor de standaardroute wordt verzonden naar VLAN3. Er is echter geen volgende hop IP adres opgegeven, en zo, de router stuurt een ARP verzoek om het bestemming IP adres. De volgende hop router voor die bestemming antwoordt met zijn eigen adres van MAC, tenzij Proxy ARP is uitgeschakeld. Het antwoord van de router leidt tot een extra ingang in de ARP lijst waar het bestemmingsIP adres van het pakket aan het volgende-hopMAC adres in kaart wordt gebracht. De "Code Red" worm verstuurt pakketten naar willekeurige IP-adressen, wat een nieuwe ARP-ingang toevoegt voor elk willekeurig doeladres. Elke nieuwe ARP ingang verbruikt meer en meer geheugen onder het ARP Invoerproces.

Creeer geen statische standaardroute aan een interface, vooral als de interface uitzending (Ethernet/Fast Ethernet/GE/SMDS) of multipoint (Frame Relay/ATM) is. Om het even welke statische standaardroute moet aan het IP adres van de volgende hoprouter richten. Nadat u de standaardroute hebt veranderd in punt naar het volgende hopIP-adres, gebruikt u de opdracht clear arp-cache om alle ARP-vermeldingen te wissen. Met deze opdracht wordt het probleem met het geheugengebruik opgelost.

Cisco Express Forwarding (CEF)-switching gebruiken

Om het CPU-gebruik op een IOS-router te verlagen, wijzigt u van Fast/Optimum/NetFlow-switching in CEF-switching. Er zijn een paar voorbehouden om CEF mogelijk te maken. In de volgende paragraaf wordt het verschil tussen CEF en snelle switching besproken en wordt de implicaties uitgelegd als u CEF inschakelt.

Cisco Express Forwarding versus Fast Switching

CEF in staat stellen de toegenomen verkeersbelasting als gevolg van de "Code Red" worm te verminderen. Cisco IOS®-softwarereleases 11.1(2)CC, 12.0 en hoger ondersteunen CEF op de Cisco 7200/7500/GSR-platforms. Ondersteuning voor CEF op andere platforms is beschikbaar in Cisco IOS-softwarerelease 12.0 of hoger. U kunt verder onderzoek doen met de Software Advisor tool.

Soms kunt u CEF niet op alle routers inschakelen om een van de volgende redenen:

  • Onvoldoende geheugen

  • Niet-ondersteunde platformarchitectuur

  • Niet-ondersteunde interfaceinsluitingen

Gedrag en implicaties van snelle switching

Hier zijn de implicaties wanneer u snel omschakelen gebruikt:

  • Het door verkeer aangedreven cachegeheugen-het cachegeheugen is leeg tot de router switches pakketten en bevolkt het cachegeheugen.

  • Het eerste pakket is proces-switched-het eerste pakket is proces-switched, omdat het cachegeheugen aanvankelijk leeg is.

  • Korrelige cache - het cache is gebouwd op een granulaire wijze van de meest specifieke Routing Information Base (RIB)-ingangsdeel van een groot net. Als RIB /24s heeft voor een groot net 131.108.0.0, is het cache gebouwd met /24s voor dit grote netwerk.

  • /32 cache wordt gebruikt—/32 cache wordt gebruikt om de belasting voor elke bestemming te verdelen. Wanneer het cachegeheugen is gebalanceerd, is het cachegeheugen gebouwd met /32s voor dat grote net.

    Opmerking: deze laatste twee problemen kunnen mogelijk leiden tot een enorme cache die al het geheugen zou verbruiken.

  • Caching op belangrijke netwerk grens-met standaardroute, wordt caching uitgevoerd bij belangrijke netwerkgrenzen.

  • De Cache Ager—de cache ager draait elke minuut en controleert 1/20th (5 procent) van de cache voor ongebruikte gegevens onder normale geheugenomstandigheden, en 1/4th (25 procent) van de cache in een lage geheugenconditie (200k).

Om de bovenstaande waarden te wijzigen, gebruikt u de opdracht ip cache-ager-interval X Y Z, waarbij:

  • X is <0-2147483> aantal seconden tussen de looppas. Standaard = 60 seconden.

  • Y is <2-50> 1/(Y+1) cache die per run (laag geheugen) moet worden verouderd. Standaard = 4.

  • Z is <3-100> 1/(Z+1) cache per run (normaal). Standaard = 20.

Hier is een voorbeeldconfiguratie die ip cache-ager 60 5 25 gebruikt.

Router#show ip cache
IP routing cache 2 entries, 332 bytes
   27 adds, 25 invalidates, 0 refcounts
Cache aged by 1/25 every 60 seconds (1/5 when memory is low).
Minimum invalidation interval 2 seconds, maximum interval 5 seconds, 
quiet interval 3 seconds, threshold 0 requests
Invalidation rate 0 in last second, 0 in last 3 seconds
Last full cache invalidation occurred 03:55:12 ago

Prefix/Length          Age    Interface     Next Hop
4.4.4.1/32        03:44:53    Serial1       4.4.4.1
192.168.9.0/24    00:03:15    Ethernet1    20.4.4.1

Router#show ip cache verbose
IP routing cache 2 entries, 332 bytes
   27 adds, 25 invalidates, 0 refcounts
Cache aged by 1/25 every 60 seconds (1/5 when memory is low).
Minimum invalidation interval 2 seconds, maximum interval 5 seconds,
   quiet interval 3 seconds, threshold 0 requests
Invalidation rate 0 in last second, 0 in last 3 seconds
Last full cache invalidation occurred 03:57:31 ago
Prefix/Length       Age       Interface       Next Hop
4.4.4.1/32-24           03:47:13  Serial1         4.4.4.1
                   4   0F000800
192.168.9.0/24-0        00:05:35  Ethernet1       20.4.4.1
                   14  00000C34A7FC00000C13DBA90800

Gebaseerd op de instelling van uw cache ager, een bepaald percentage van uw cache ingangen uit uw fast-cache tabel. Wanneer de ingangen snel verouderen, wordt een groter percentage van de snel-cachetabel, en de cachetabel wordt kleiner. Dientengevolge, vermindert de geheugenconsumptie op de router. Een nadeel is dat het verkeer voor de ingangen blijft stromen die uit de cachetabel werden verouderd. Eerste pakketten worden processwitched, wat een korte piek in CPU-verbruik in IP-ingang veroorzaakt totdat een nieuwe cache ingang is gebouwd voor de flow.

Van Cisco IOS-softwarereleases 10.3(8), 11.0(3) en hoger wordt het IP-cachegeheugen anders verwerkt, zoals hier wordt uitgelegd:

  • De opdrachten ip cache-ager-interval en ip cache-invalidate-time zijn alleen beschikbaar als de service interne opdracht in de configuratie is gedefinieerd.

  • Als de periode tussen de nulwaarden van de ager is ingesteld op 0, wordt het ager-proces volledig uitgeschakeld.

  • De tijd wordt uitgedrukt in seconden.

Opmerking: wanneer u deze opdrachten uitvoert, neemt het CPU-gebruik van de router toe. Gebruik deze opdrachten alleen wanneer dit absoluut noodzakelijk is.

Router#clear ip cache ? 
A.B.C.D Address prefix 
<CR>--> will clear the entire cache and free the memory used by it! 

Router#debug ip cache 
IP cache debugging is on

Voordelen van CEF

  • De Forwarding Information Base (FIB) tabel is gebaseerd op de routingtabel. Daarom bestaat het door:sturen van informatie alvorens het eerste pakket door:sturen. De FIB bevat ook /32 vermeldingen voor direct verbonden LAN-hosts.

  • De Adjacency (ADJ) tabel bevat Layer 2 herschrijf informatie voor volgende-hop en direct-verbonden hosts (een ARP-vermelding maakt een CEF-nabijheid).

  • Er is geen cache ager concept met CEF om CPU-gebruik te pieken. Een FIB-ingang wordt verwijderd als een Routing Table-ingang wordt verwijderd.

caution.gif Waarschuwing: Een standaardroute die naar een broadcast- of multipoint-interface wijst, betekent dat de router ARP-verzoeken voor elke nieuwe bestemming verstuurt. ARP verzoeken van de router leiden potentieel tot een grote nabijheidslijst tot de router uit geheugen loopt. Als CEF er niet in slaagt geheugen toe te wijzen, schakelt CEF/DCEF zichzelf uit. U dient CEF/DCEF opnieuw handmatig in te schakelen.

Voorbeelduitvoer: CEF

Hier is wat voorbeeldoutput van de show ip cef summiere opdracht, die geheugengebruik toont. Deze output is een snapshot van een Cisco 7200 routeserver met Cisco IOS-softwarerelease 12.0.

Router>show ip cef summary
IP CEF with switching (Table Version 2620746)
  109212 routes, 0 reresolve, 0 unresolved (0 old, 0 new), peak 84625
  109212 leaves, 8000 nodes, 22299136 bytes, 2620745 inserts, 2511533
  invalidations
  17 load sharing elements, 5712 bytes, 109202 references
  universal per-destination load sharing algorithm, id 6886D006
  1 CEF resets, 1 revisions of existing leaves
  1 in-place/0 aborted modifications
  Resolution Timer: Exponential (currently 1s, peak 16s)
  refcounts:  2258679 leaf, 2048256 node

Adjacency Table has 16 adjacencies 


Router>show processes memory | include CEF
 PID TTY  Allocated      Freed    Holding    Getbufs    Retbufs Process
  73   0     147300       1700     146708          0          0 CEF process
  84   0        608          0       7404          0          0 CEF Scanner


Router>show processes memory | include BGP

   2   0    6891444    6891444       6864          0          0 BGP Open
  80   0       3444       2296       8028          0          0 BGP Open
  86   0     477568     476420       7944          0          0 BGP Open
  87   0 2969013892  102734200  338145696          0          0 BGP Router
  88   0   56693560 2517286276       7440     131160    4954624 BGP I/O
  89   0      69280   68633812      75308          0          0 BGP Scanner
  91   0    6564264    6564264       6876          0          0 BGP Open
 101   0    7635944    7633052       6796        780          0 BGP Open
 104   0    7591724    7591724       6796          0          0 BGP Open
 105   0    7269732    7266840       6796        780          0 BGP Open
 109   0    7600908    7600908       6796          0          0 BGP Open
 110   0    7268584    7265692       6796        780          0 BGP Open


Router>show memory summary | include FIB

Alloc PC        Size     Blocks      Bytes    What
0x60B8821C        448          7       3136    FIB: FIBIDB
0x60B88610      12000          1      12000    FIB: HWIDB MAP TABLE
0x60B88780        472          6       2832    FIB: FIBHWIDB
0x60B88780        508          1        508    FIB: FIBHWIDB
0x60B8CF9C       1904          1       1904    FIB 1 path chunk pool
0x60B8CF9C      65540          1      65540    FIB 1 path chunk pool
0x60BAC004       1904        252     479808    FIB 1 path chun
0x60BAC004      65540        252   16516080    FIB 1 path chun


Router>show memory summary | include CEF

0x60B8CD84       4884          1       4884    CEF traffic info
0x60B8CF7C         44          1         44    CEF process
0x60B9D12C      14084          1      14084    CEF arp throttle chunk
0x60B9D158        828          1        828    CEF loadinfo chunk
0x60B9D158      65540          1      65540    CEF loadinfo chunk
0x60B9D180        128          1        128    CEF walker chunk
0x60B9D180        368          1        368    CEF walker chunk
0x60BA139C         24          5        120    CEF process
0x60BA139C         40          1         40    CEF process
0x60BA13A8         24          4         96    CEF process
0x60BA13A8         40          1         40    CEF process
0x60BA13A8         72          1         72    CEF process
0x60BA245C         80          1         80    CEF process
0x60BA2468         60          1         60    CEF process
0x60BA65A8      65488          1      65488    CEF up event chunk


Router>show memory summary | include adj

0x60B9F6C0        280          1        280    NULL adjacency
0x60B9F734        280          1        280    PUNT adjacency
0x60B9F7A4        280          1        280    DROP adjacency
0x60B9F814        280          1        280    Glean adjacency
0x60B9F884        280          1        280    Discard adjacency
0x60B9F9F8      65488          1      65488    Protocol adjacency chunk

Aandachtspunten

Wanneer het aantal stromen groot is, verbruikt CEF doorgaans minder geheugen dan snelle switching. Als het geheugen reeds door een snel omschakelingscachegeheugen wordt verbruikt, moet u het ARP cachegeheugen (door het duidelijke ip arp bevel) ontruimen alvorens u CEF toelaat.

Opmerking: wanneer u de cache leeg maakt, wordt een piek veroorzaakt in het CPU-gebruik van de router.

Veelgestelde vragen en hun antwoorden

V. Ik gebruik NAT en ervaar 100% CPU-gebruik in IP-invoer. Wanneer ik exporteer toon proc cpu, mijn CPU-gebruik is hoog in onderbrekingsniveau - 100/99 of 99/98. Kan dit worden gerelateerd aan "Code Red"?

A. Er is onlangs een NAT Cisco-bug (CSCdu63623 (alleen geregistreerde klanten)) gefixeerd die schaalbaarheid impliceert. Wanneer er tienduizenden NAT-stromen zijn (gebaseerd op het platformtype), veroorzaakt de bug 100 procent CPU-gebruik op proces- of onderbrekingsniveau.

Om te bepalen of dit insect de reden is, geef de show uit richten bevel, en verifiëren of de router uitlijningsfouten onder ogen ziet. Als u uitlijningsfouten of onjuiste geheugentoegang ziet, geeft u de opdracht uitlijnen een paar keer uit en ziet u of de fouten toenemen. Als het aantal fouten toeneemt, kunnen uitlijningsfouten de oorzaak zijn van een hoog CPU-gebruik op afschakelniveau en niet van Cisco bug CSCdu63623 (alleen geregistreerde klanten). Raadpleeg voor meer informatie Onjuiste toegang en uitlijningsfouten oplossen.

De opdracht NAT-vertaling tonen het aantal actieve vertalingen. Het meltdown point voor een NPE-300 klasse processor is ongeveer 20.000 tot 40.000 vertalingen. Dit aantal varieert afhankelijk van het platform.

Dit meltdown-probleem werd eerder door een paar klanten waargenomen, maar na "Code Red" hebben meer klanten dit probleem ervaren. De enige tijdelijke oplossing is om NAT (in plaats van PAT) uit te voeren, zodat er minder actieve vertalingen zijn. Als u een 7200 hebt, gebruik dan een NSE-1 en verlaag de NAT timeout waarden.

Q. Ik voer IRB uit en kom een hoog CPU-gebruik tegen in het HyBridge Input-proces. Waarom gebeurt dit? Heeft het te maken met "Code Red"?

A. Het HyBridge Input-proces verwerkt alle pakketten die niet snel kunnen worden geschakeld door het IRB-proces. Het onvermogen van het IRB-proces om een pakket snel te switches kan zijn omdat:

  • Het pakket is een broadcast-pakket.

  • Het pakket is een multicast pakket.

  • De bestemming is onbekend, en ARP moet worden geactiveerd.

  • Er zijn overspannen - boom BPDUs.

HyBridge Input stuit op problemen als er duizenden point-to-point interfaces zijn in dezelfde bruggroep. HyBridge Input stuit ook op problemen (maar in mindere mate) als er duizenden VS's zijn in dezelfde multipoint interface.

Wat zijn mogelijke redenen voor problemen met IRB? Veronderstel dat een apparaat besmet met "Code red" IP-adressen scant.

  • De router moet een ARP verzoek om elk bestemmingsIP adres verzenden. Een vloed van ARP verzoeken resulteert op elke VC in de bruggroep voor elk adres dat wordt gescand. Het normale ARP-proces veroorzaakt geen CPU-probleem. Als er echter een ARP-ingang is zonder een bridge-ingang, dan worden de routeroverstromingspakketten geleverd voor adressen waarvoor ARP-vermeldingen al bestaan. Dit kan een hoog CPU-gebruik veroorzaken omdat het verkeer procesgeschakeld is. Om het probleem te vermijden, verhoog de bridge-aging tijd (standaard 300 seconden of 5 minuten) om de ARP timeout aan te passen of te overschrijden (standaard 4 uur) zodat de twee timers gesynchroniseerd zijn.

  • Het adres dat de eindgastheer probeert te besmetten is een uitzendingsadres. De router doet het equivalent van een subnetuitzending die moet worden gerepliceerd door het HyBridge Input-proces. Dit gebeurt niet als de opdracht geen ip directed-broadcast is geconfigureerd. Van Cisco IOS-softwarerelease 12.0 wordt de opdracht IP geleid-uitzending standaard uitgeschakeld, waardoor alle IP-uitzendingen worden gedropt.

  • Hier is een zijaantekening, niet gerelateerd aan "Code Red", en gerelateerd aan IRB architecturen:

    Layer 2 multicast- en broadcast-pakketten moeten worden gerepliceerd. Daarom kan een probleem met IPX servers die op een uitzendingssegment lopen de verbinding neerhalen. U kunt abonneebeleid gebruiken om het probleem te voorkomen. Raadpleeg voor meer informatie de ondersteuning van xDSL-bridge (x Digital Subscriber Line). U moet ook overbruggingstoegangslijsten overwegen, die het type van verkeer beperken toegestaan om door de router over te gaan.

  • Om dit IRB-probleem te verhelpen, kunt u meerdere bruggroepen gebruiken en ervoor zorgen dat er een één-op-één-omzetting is voor BVI’s, subinterfaces en VC’s.

  • RBE is superieur aan IRB omdat het de overbruggingsstapel volledig vermijdt. U kunt van IRB naar RBE migreren. Deze Cisco-bugs inspireren een dergelijke migratie:

Q.My CPU gebruik is hoog op onderbrekingsniveau, en ik ontvang flushes als ik een showlogboek probeer. Het verkeer is ook iets hoger dan normaal. Wat is de reden hiervoor?

A. Hier is een voorbeeld van de opdrachtoutput voor showvastlegging: 

Router#show logging
     Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)
                                                  ^ 
                                                this value is non-zero
         Console logging: level debugging, 9 messages logged

Controleer of u zich bij de console aanmeldt. Als dit het geval is, controleert u of er traffic HTTP-aanvragen zijn. Controleer vervolgens of er toegangslijsten zijn met logwoorden of debugs die bepaalde IP-stromen bewaken. Als de spoelbeurten stijgen, kan het zijn omdat de console, gewoonlijk een 9600 baud apparaat, niet in staat is om de hoeveelheid ontvangen informatie te behandelen. In dit scenario, maakt de router onderbrekingen onbruikbaar en doet niets behalve de berichten van de procesconsole. De oplossing is om consolelogging uit te schakelen of elk type logboekregistratie te verwijderen dat u uitvoert.

Q. Ik kan talrijke pogingen van de HTTP- verbinding op mijn IOS router zien die een ip http-server in werking stelt. Komt dit door de "Code Red" wormscan?

A."Code Red" kan hier de reden zijn. Cisco raadt u aan de opdracht ip http server op de IOS-router uit te schakelen zodat deze niet hoeft om te gaan met talrijke verbindingspogingen van geïnfecteerde hosts.

Voorwendselen

Er zijn verschillende tijdelijke oplossingen die worden besproken in de Advisories die de sectie "Code Red" Worm bespreken. Raadpleeg de adviezen voor de omzeilingen.

Een andere methode om de "Code Red" worm te blokkeren op netwerktoegangspunten gebruikt Network-Based Application Recognition (NBAR) en Access Control Lists (ACL’s) binnen IOS-software op Cisco-routers. Gebruik deze methode in combinatie met de aanbevolen patches voor IIS-servers van Microsoft. Raadpleeg voor meer informatie over deze methode NBAR en ACL’s gebruiken om de "Code Red" worm te blokkeren op Network Ingress Points.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
10-Dec-2001
Eerste vrijgave

Bijdrage van

  • tokatsu
    koevoet
  • opgewekt
    dcolens
  • avidakov
    gnadela

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten