huawei ağ ekipmanlarında cpu-depend ile paket analizi
güvenlik ve hizmet kalitesi açısından ağ ekipmanlarında sistem kaynaklarını ve trafikleri incelemek her zaman önemli olmuştur.
huawei ağ ekipmanlarında bir arayüzdeki, protokollerdeki durumu paket bazlı incelemek istersek cpu-depend istatistik komut işimize yarayacaktır.
komut dizilimi aşağıdaki şekildedir. bu durum ağ ekipmanı ve üzerindeki işletim sistemi versiyonuna göre değişiklik gösterebilir.
display cpu-defend { all | application-apperceive | tcpip-defend | total-packet | urpf } statistics [ slot slot-id ]
display cpu-defend ma-defend statistics [ slot slot-id ]
display cpu-defend car { blacklist | whitelist | whitelist-v6 | index index | user-defined-flow flow-id | fragment | tcpsyn } statistics [ slot slot-id ]
display cpu-defend car protocol { 802.1ag | arp | bfd | bgp | bpdu | arp-miss | ipv4-fib-miss | ipv4-multicast-fib-miss | ipv4-ttl-expire | ipv6-fib-miss | ipv6-nd-miss | ipv6-ttl-expire | lldp | mpls-arp-miss | mpls-ttl-expire | bgpv6 | ftpv6-client | ftpv6-server | icmpv6 | ospfv3 | pimv6 | sshv6-server | telnetv6-client | telnetv6-server | dhcp | dns-client | ftp-client | ftp-server | hwtacacs | icmp | igmp | isis | lacp | ldp | lspping | msdp | ntp | ospf | pim | radius | rip | rsvp | snmp | ssh-client | ssh-server | telnet-client | telnet-server | tftp | vrrp | syslog | tftpv6-client | dnsv6 | netstream | snmpv6 | eapol | rs | ra | ns | na | mld | dhcpv6 } statistics [ slot slot-id ]
cpu-depend ile genel olarak arayüz, donanım ve protokol bazlı özelleştirebilir olarak paket analizi yapılmasını sağlar.
çıktılarda temel olarak anormal seviyedeki paket durumu irdelenmelidir. örnek olarak aktif olmayan bir servis için doğru şekilde yapılandırma yoksa bu protokol/servis için oluşturulan paketler drop edilecektir. bu durum ise protokol veya servis için bir saldırı göstergesi olabilir. paketlerin drop edilmesi işlerin kısmen yolunda olduğunu gösterebilir ancak bu drop işlemi içinde sistem kaynağı tüketilmektedir. doğru şekilde yapılandırılma yoksa bu şekilde bir saldırı ile aşırı sistem tüketimi vb farklı sorunlar ortaya çıkacaktır. bu hizmet kalitesini etkileyebilecek ve farklı güvenlik problemlerine neden olabilecektir.
cpu-depend in en temel çıktısı aşagıdaki gibi olacaktır.
[fc-route]display cpu-defend all statistics Slot/Intf Attack-Type Total-Packets Passed-Packets Dropped-Packets -------------------------------------------------------------------------------- 1 Application-Apperceive 13166418 13166418 0 -------------------------------------------------------------------------------- FTPSERVER 0 0 0 SSHSERVER 0 0 0 SNMP 1 1 0 TELNETSERVER 0 0 0 TFTPCLIENT 0 0 0 BGP 0 0 0 LDP 0 0 0 RSVP 0 0 0 OSPFV2 0 0 0 RIP 662 662 0 ISIS 7880595 7880595 0 ICMP 109827 109827 0 MSDP 102 102 0 PIM 0 0 0 DHCP 4027692 4027692 0 LACP 0 0 0 RADIUS 113 113 0 HWTACACS 10 10 0 LSPPING 2 2 0 IGMP 1145546 1145546 0 RRPP 0 0 0 VRRP 0 0 0 BFD 0 0 0 MPLSOAM 0 0 0 802_1ag 0 0 0 DNSCLIENT 1783 1783 0 WEB_AUTH_SERVER 85 85 0 UNICAST_VRRP 0 0 0 IPFPM 0 0 0 -------------------------------------------------------------------------------- 1 MA-Defend 0 0 0 -------------------------------------------------------------------------------- FTP 0 0 0 SSH 0 0 0 SNMP 0 0 0 TELNET 0 0 0 TFTP 0 0 0 BGP 0 0 0 LDP 0 0 0 RSVP 0 0 0 OSPF 0 0 0 RIP 0 0 0 -------------------------------------------------------------------------------- 1 URPF 0 0 0 -------------------------------------------------------------------------------- 1 Tcpip-defend 3521 2 3519 -------------------------------------------------------------------------------- Abnormal-packet 0 0 0 Fragment-packet 2 2 0 Tcpsyn-packet 0 0 0 Udp-packet 3519 0 3519 -------------------------------------------------------------------------------- 2 Application-Apperceive 4881512 4881512 0 -------------------------------------------------------------------------------- FTPSERVER 0 0 0 SSHSERVER 0 0 0 SNMP 0 0 0 TELNETSERVER 0 0 0 TFTPCLIENT 0 0 0 BGP 0 0 0 LDP 0 0 0 RSVP 0 0 0 OSPFV2 0 0 0 RIP 0 0 0 ISIS 2453572 2453572 0 ICMP 29 29 0 MSDP 0 0 0 PIM 0 0 0 DHCP 3174 3174 0 LACP 578060 578060 0 RADIUS 0 0 0 HWTACACS 1 1 0 LSPPING 0 0 0 IGMP 1846676 1846676 0 RRPP 0 0 0 VRRP 0 0 0 BFD 0 0 0 MPLSOAM 0 0 0 802_1ag 0 0 0 DNSCLIENT 0 0 0 WEB_AUTH_SERVER 0 0 0 UNICAST_VRRP 0 0 0 IPFPM 0 0 0 -------------------------------------------------------------------------------- 2 MA-Defend 0 0 0 -------------------------------------------------------------------------------- FTP 0 0 0 SSH 0 0 0 SNMP 0 0 0 TELNET 0 0 0 TFTP 0 0 0 BGP 0 0 0 LDP 0 0 0 RSVP 0 0 0 OSPF 0 0 0 RIP 0 0 0 -------------------------------------------------------------------------------- 2 URPF 0 0 0 -------------------------------------------------------------------------------- 2 Tcpip-defend 7 0 7 -------------------------------------------------------------------------------- Abnormal-packet 0 0 0 Fragment-packet 0 0 0 Tcpsyn-packet 0 0 0 Udp-packet 7 0 7 --------------------------------------------------------------------------------