WLAN_1.3.6.1.4.1.2011.6.139.15.1.1.5 hwWlanWidsFloodAttackDetectedTrap

告警解释

WLAN/4/WIDS_DETECT_FLOOD_ATTACK:OID [oid] Detected attack. (Monitor APMAC=[OPAQUE], Device Mac=[OPAQUE], Device channel=[INTEGER], Attack type=[INTEGER], Attack type string=[OCTET])

发现泛洪攻击。

告警属性

告警ID 告警级别 告警类型
1.3.6.1.4.1.2011.6.139.15.1.1.5 Warning environmentalAlarm(6)

告警参数

参数名称 参数含义
oid 告警oid。

Monitor APMAC

 监测AP的MAC。
Device Mac 攻击设备的MAC。
Device channel 攻击设备的信道。
Attack type
攻击类型ID。
  • 0:Probe Request Flood Attack,探测请求帧的泛洪攻击。
  • 1:Authentication Request Flood Attack,认证请求帧的泛洪攻击。
  • 2:Deauthentication Frame Flood Attack,解除认证请求帧的泛洪攻击。
  • 3:Association Request Flood Attack,关联请求帧的泛洪攻击。
  • 4:Disassociation Request Flood Attack,解除关联请求帧的泛洪攻击。
  • 5:Reassociation Request Flood Attack,重关联请求帧的泛洪攻击。
  • 6:Action Frame Flood Attack,执行帧的泛洪攻击。
  • 9:EAPOL Start Frame Flood Attack,EAPOL认证请求帧泛洪攻击。
  • 10:EAPOL Logoff Frame Flood Attack,EAPOL离线帧泛洪攻击。
Attack type string 攻击设备类型字符串描述。

对系统的影响

设备不断处理泛洪攻击报文,可能会占用较多的CPU资源。

可能原因

发现泛洪攻击。

处理步骤

  1. 使用命令display wlan ids attack-detecteddisplay wlan ids attack-detected statistics,查看攻击设备的信息和攻击统计,判断是否为攻击。

    • 如果判断非攻击=>2,修改检测攻击的门限值,避免误报。
    • 如果判断是攻击=>3,配置动态黑名单功能。

  2. 配置检测攻击的门限值。

    进入指定的WIDS模板视图,使用命令flood-detect intervalflood-detect threshold配置泛洪攻击检测周期以及检测周期内AP最多能接收的同类报文的个数。

  3. 将攻击设备加入动态黑名单,丢弃攻击设备发送的报文。
    1. 进入指定的WIDS模板视图,使用命令dynamic-blacklist enable使能动态黑名单功能。
    2. 进入指定的AP系统模板视图,使用命令dynamic-blacklist aging-time配置动态黑名单的老化时间。
  4. 检查是否继续产生此告警。

    • 是=>5。
    • 否=>6。

  5. 请收集告警、日志和配置信息,并联系技术支持人员。
  6. 结束。

参考信息

父主题: WLAN
华为专有和保密信息
版权所有 © 华为技术有限公司