PDF《高的问题》

如何解决 红色代码 蠕虫引起的 mallocfail 和CPU 使用率过 高的问题 目录 简介 先决条件 要求 使用的组件 规则 Code Red 蠕虫病毒如何传染其他系统 有关 红色代码 蠕虫的建议 症状 识别感染的设备 预防技术 对波尔特80的块流量 减少ARP输入内存用量 请使用思科快速转发 Cisco 快速转发对快速交换 快速交换行为及其意义 CEF优点 输出示例:CEF 注意事项 Code Red 常见问题和他们的答案 Q.

我使用NAT,并且体验在IP输入的100个CPU利用率百分比.当我执行show proc cpu命令时,我的CPU利用率在中断级别 -100/99或99/98很高.这能与 Code Red 涉及? Q. 我运行IRB,并且遇到在HyBridge输入程序的高CPU利用率.为什么会发生这种情况?与 Code Red 涉及? Q.My CPU利用率是高在中断级别,并且我接收冲洗,如果我尝试show log.流量速率高于正常也只某种程度.此问题的原 因是什么? Q. 我能看到在运行ip http server的我的IOS路由器的许多HTTP连接尝试.这由于 Code Red 蠕虫病毒扫描? 应急方案 相关信息 简介 本文描述 Code Red 蠕虫病毒,并且蠕虫病毒能的思科路由环境引起的问题.本文也描述技术防止蠕虫病毒的袭击并且提供链路给 描述相关问题的解决方案的相关建议. Code Red 蠕虫造成Microsoft Internet Information Server(IIS)版本5.0索引服务容易遭到攻击的弱点.当 Code Red 蠕虫 病毒感染主机时,造成主机探查和传染IP地址一系列随机的,导致在网络流量的猛增.这是特别有问题的,如果有在网络的冗余链路 并且/或者思科快速转发(CEF)没有用于转换数据包. 先决条件 要求 本文档没有任何特定的要求. 使用的组件 本文档不限于特定的软件和硬件版本. 本文档中的信息都是基于特定实验室环境中的设备编写的.本文档中使用的所有设备最初均采用原始(默认)配置.如果您使用的是 真实网络,请确保您已经了解所有命令的潜在影响. 规则 有关文档规则的详细信息,请参阅 Cisco 技术提示规则. Code Red 蠕虫病毒如何传染其他系统 Code Red 蠕虫试图连接到随机生成的IP地址. 每个被传染的IIS服务器能尝试传染同一个一套设备.因为没有被伪装,您能跟 踪蠕虫病毒的源IP地址和TCP端口.因为源地址法律,单播逆向路径转发(URPF)不能抑制蠕虫病毒攻击. 有关 红色代码 蠕虫的建议 这些建议描述 Code Red 蠕虫病毒,并且解释如何修补蠕虫病毒的影响的软件: Cisco安全建议: Code Red 蠕虫病毒-客户影响 远程IIS索引服务器网络服务器ISAPI扩展缓冲区溢出 .ida Code Red 蠕虫病毒 CERT ?利用在IIS索引服务DLL的资询CA-2001-19 Code Red 蠕虫病毒缓冲区溢出 症状 这是指示的一些症状Cisco路由器是受 Code Red 蠕虫病毒的影响的: 流大量在NAT的或PAT表(如果使用NAT或PAT). ARP请求或ARP风暴大量在网络(造成由IP地址扫描). IP输入、ARP输入、IP Cache Ager和CEF处理过程使用过多内存. ARP、IP输入、CEF和IPC中CPU利用率过高. 在中断级别的在进程层面的高CPU利用率以低业务量速率或者高CPU利用率在IP输入,如果使用NAT. 低内存状况或持续的高CPU利用率(100百分比)在中断级别能造成Cisco IOS??????路由器重新加载.重新加载是由行为不端由于重点条 件的进程引起的. 如果不怀疑设备在您的站点传染由或是 Code Red 蠕虫病毒的目标,请参阅相关信息部分关于关于怎样的另外的URL排除故障您遇 到的所有问题. 识别感染的设备 请使用流交换识别受影响的设备的源IP地址.在所有接口上配置ip route-cache flow,记录路由器交换的所有数据流. 在几分钟之后,请发出show ip cache flow命令查看已录制条目.在 Code Red 蠕虫病毒传染的初期阶段期间,蠕虫病毒设法复 制.当蠕虫病毒发送HT请求对随机的IP地址,复制发生.所以,您必须寻找与目的地端口80 (HT的缓存流条目., 0050在十六进 制). show ip cache flow|包括命令显示与TCP端口80的所有缓存条目的0050 (0050在十六进制) : Router#show ip cache flow | include