案例簡(jiǎn)介：

達(dá)坂城某某110kV變電站發(fā)出DHCP告警

作者：劉樂(lè) 新疆風(fēng)能有限責(zé)任公司

注：本文系作者投稿。

相關(guān)閱讀：淺談風(fēng)電場(chǎng)安全生產(chǎn)標(biāo)準(zhǔn)化建立方法

1、現(xiàn)象、問(wèn)題描述

達(dá)坂城某某110kV變電站省調(diào)二區(qū)縱向加密裝置攔截到DHCP異常告警，告警主要內(nèi)容如下：

告警描述：存在大量DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)服務(wù)訪問(wèn):[0.0.0.0]發(fā)出[2559]次DHCP請(qǐng)求數(shù)據(jù)(目標(biāo)地址[255.255.255.255]共1個(gè))

原始告警：0.0.0.0 68 255.255.255.255 67

告警內(nèi)容分析：

1.由于是省調(diào)二區(qū)縱向加密裝置攔截到的異常告警，可初步將排查范圍限制在二區(qū)之內(nèi)（但也不排除其他分區(qū)DHCP數(shù)據(jù)竄入的可能）。

2.告警顯示的源IP和目的IP均為廣播地址，不利于查找告警源設(shè)備。為進(jìn)一步查找告警源設(shè)備，需對(duì)二區(qū)設(shè)備組網(wǎng)進(jìn)行查看。

3.廣播數(shù)據(jù)包使用了67、68端口，即在后期的處理過(guò)程中可對(duì)67、68端口的數(shù)據(jù)進(jìn)行針對(duì)性的過(guò)濾。

2、處理過(guò)程

（1）查看省調(diào)二區(qū)組網(wǎng)結(jié)構(gòu)及設(shè)備。組網(wǎng)結(jié)構(gòu)無(wú)異常。對(duì)相關(guān)設(shè)備的DHCP服務(wù)進(jìn)行了關(guān)閉，具體方法如下：

Window系統(tǒng)

1）計(jì)算機(jī)—管理—服務(wù)—DHCP Clent

2）打開(kāi)DHCP Clent 屬性

3）先停止然后禁用服務(wù)

Linux系統(tǒng)（這里以網(wǎng)卡0為例，其他網(wǎng)卡可類(lèi)推）

1）打開(kāi)shell輸入：cd/etc/sysconfig/network-scripts/

2）輸入上述命令進(jìn)入網(wǎng)卡配置文件夾后找到：

ifcfg-eth0,ifcfg-eth1,ifcfg-eth2,ifcfg-eth3等網(wǎng)卡信息

3）輸入cat ifg-eth0查看網(wǎng)卡0的信息：BOOTPROTO=none就是網(wǎng)卡沒(méi)有使用DHCP，BOOTPROTO=dhcp就是啟用DHCP自動(dòng)獲取地址功能

4）在當(dāng)前文件夾下輸入 vi ifcfg-eth0 命令編輯網(wǎng)卡0文件。

5）在當(dāng)前文件夾峽更改網(wǎng)口配置文件，將DHCP禁用：看到以下內(nèi)容后把光標(biāo)移動(dòng)到BOOTPROTO=dhcp處，按i鍵進(jìn)入Vi編輯模式，退格鍵Backspace 刪除DHCP，修改為BOOTPROTO=none或BOOTPROTO=static,編輯完成后按Esc鍵退出編輯模式，同時(shí)按下Shift和:后，再輸入w q（注意w后面有空格）進(jìn)行保存并退出（輸入q！為不保存退出）

6）輸入Service network restart命令重啟服務(wù)功能。更改完成。

（2）進(jìn)行省調(diào)二區(qū)交換機(jī)進(jìn)行ACL包過(guò)濾配置，具體配置方法如下：

#進(jìn)入系統(tǒng):

<D-XJ-WLMQ-SLTFDC-SD-S1>sys

#建立名為3000的ACL包過(guò)濾規(guī)則:

[D-XJ-WLMQ-SLTFDC-SD-S1]acl number 3000

#在ACL3000的名下建立包過(guò)濾條件。這里是過(guò)濾UDP協(xié)議下的67、68邏輯端口:

[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]rule 45 deny udp destination-port eq 67

[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]rule 50 deny udp destination-port eq 68

#顯示ACL3000的配置情況:

[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]dis th

#顯示內(nèi)容如下:

acl number 3000

rule 45 deny udp destination-port eq bootps

rule 50 deny udp destination-port eq bootpc

#進(jìn)入24號(hào)物理端口下。根據(jù)需要過(guò)濾的端口自行更改:

[D-XJ-WLMQ-SLTFDC-SD-S1-acl-adv-3000]interface ethernet 1/0/24

#調(diào)用ALC3000的配置。對(duì)交換機(jī)而言，進(jìn)行輸出過(guò)濾用outbound，輸入過(guò)濾用inbound:

[D-XJ-WLMQ-SLTFDC-SD-S1-Ethernet1/0/24]packet-filter 3000 outbound

#查看最終配置情況。出現(xiàn) packet-filter 3000 outbound說(shuō)明配置成功:

[D-XJ-WLMQ-SLTFDC-SD-S1-Ethernet1/0/24]dis th

interface Ethernet1/0/24

port link-mode bridge

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 901 904

packet-filter 3000 outbound

mirroring-group 1 mirroring-port both

#

Return

3、經(jīng)驗(yàn)總結(jié)、預(yù)防措施和規(guī)范建議

（1）處理異常告警首先要從告警日志入手逐一分析，不能盲目處理。通過(guò)鎖定告警分區(qū)縮小查找范圍，根據(jù)告警內(nèi)容、IP及端口的具體情況選擇不同的方法。

（2）總結(jié)的告警處理方法要根據(jù)設(shè)備的屬性特點(diǎn)、告警內(nèi)容等靈活運(yùn)用，可根據(jù)實(shí)際情況進(jìn)行修改。

4、DHCP告警處理需要用到的軟、硬件設(shè)備