I ZyWALL-webkonfigurator kan der undertiden observeres følgende situation (antallet af aktive sessioner er næsten maksimalt, med kun et par computere tilsluttet enheden):
Gå til menuen Monitor> System Status> Session Monitor og se, hvilke computere der er tilsluttet (i vores eksempel er kun 3 klienter forbundet til ZyWALL 110).
Nu skal du finde ud af, hvilken computer der åbner så mange sessioner:
1. Tilslut til enheden ved hjælp af SSH-protokollen eller konsollen Port på konsollen.
2. Kør følgende kommando i kommandolinjegrænsefladen (CLI):
Router> debug system show conntrack
3. Find den IP-adresse, hvorfra der oprettes et stort antal sessioner via ZyWALL.
I vores eksempel observerede vi et stort antal af følgende poster af formularen:
I vores eksempel observerede vi et stort antal af følgende poster af formularen:
tcp 6 115 SYN_SENT src = 10.10.10.23 dst = AA.AA.AA.AA sPort = 22372 dPort = 80 pakker = 1 byte = 985 [UREPLISERET] src = XX.XOO.X.OX OO sPort = 80 dPort = 22372 pakker = 0 byte = 0 mark = 0 brug = 2
4. Når du bestemmer den specifikke IP-adresse på kilden (i vores eksempel er det src = 10.10.10.23), hvorfra netværksfloden går, skal du afbryde computeren med denne IP-adresse fra Ethernet-netværket og derefter overvåge situationen igen.
I vores eksempel, efter at computeren med IP-adressen 10.10.10.23 blev afbrudt fra netværket, faldt antallet af aktive sessioner straks fra 79878 til 217.
Kilden til problemerne blev således opdaget, og det vil yderligere være nødvendigt at identificere årsagen til et så stort antal forbindelser fra computeren.
Kilden til problemerne blev således opdaget, og det vil yderligere være nødvendigt at identificere årsagen til et så stort antal forbindelser fra computeren.
Som et eksempel giver vi flere grunde til fremkomsten af et stort antal netværkssessioner på en computer.
men. En af grundene kan være at køre downloads af torrents. I dette tilfælde oprettes et stort antal aktive netværksforbindelser på computeren (anmodninger fra det interne netværk til det eksterne netværk og vice versa). Antallet af sådanne sessioner kan beløbe sig til hundreder og endda tusinder.
b. En anden grund kan være vira (trojanere) eller andre typer netværksangreb, der aktivt bruger et stort antal sessioner.
KB-00489
Kommentarer
0 kommentarerLog ind for at kommentere.