S9700 CPU占用率高，telnet和consle口无法登陆

客户反应S9700CPU占用率高，无法登录，设备打印大量登陆失败的日志。

客户反应S9700CPU占用率高，无法登录，设备打印大量登陆失败的日志。

1，配置黑名单限制登录和ftp的接入，只允许特定IP接入。

[Quidway-acl-adv-3000]display this

acl number 3000

rule 5 permit tcp source 10.1.0.2 0 destination-port eq telnet

[Quidway-cpu-defend-policy-1]display this

cpu-defend policy 1

blacklist 1 acl 3000

return

[Quidway-slot-2]display this

slot 2

cpu-defend-policy 1

return

2、对于登录控制层面的安全，建议在user-interface vty接口下配置ACL，并使用AAA对登录用户进行权限控制

1. 清除上送CPU的登录报文统计计数

< Quidway >reset cpu-defend statistics packet-type telnet all

2. 等待一段时间（1分钟），查看这段时间内上送CPU的登录数量

[Quidway]display cpu-defend statistics packet-type telnet slot 2

Statistics on slot 2:

----------------------------------------------------------------------

Packet Type         Pass(Bytes)  Drop(Bytes)   Pass(Packets)   Drop(Packets)

----------------------------------------------------------------------

Telnet              40800      3576800      600           52600----限速丢弃较多

----------------------------------------------------------------------

3. 查看通过和丢弃的报文数量，如果上送或丢弃的报文数量较大，则可认为是登录攻击

登录攻击是攻击者发送大量非法的登录请求到设备，使设备CPU一直忙于处理登录请求，并不断写入硬盘日志记录异常请求信息，无法处理其它业务，同时正常的登录请求无法被响应，导致设备托管。