Im ZyWALL-Webkonfigurator kann manchmal die folgende Situation beobachtet werden (die Anzahl der aktiven Sitzungen ist fast auf Maximum, auch wenn nur wenige Computer an das Gerät angeschlossen sind):
Gehen Sie zum Menü Monitor> Systemstatus> Sitzungsmonitor und sehen Sie, welche Computer verbunden sind (in unserem Beispiel sind nur 3 Clients mit der ZyWALL 110 verbunden).
Nun müssen Sie herausfinden, welcher Computer so viele Sitzungen öffnet:
1. Stellen Sie über das SSH-Protokoll oder die Konsole Port der Konsole eine Verbindung zum Gerät her.
2. Führen Sie in der Befehlszeilenschnittstelle (CLI) den folgenden Befehl aus:
Router> debug system show conntrack
3. Ermitteln Sie die IP-Adresse, aus der eine große Anzahl von Sitzungen über die ZyWALL erstellt wird.
In unserem Beispiel haben wir eine große Anzahl Sessions beobachtet:
In unserem Beispiel haben wir eine große Anzahl Sessions beobachtet:
tcp 6 115 SYN_SENT src = 10.10.10.23 dst = AA.AA.AA.AA sport = 22372 dport = 80 packets = 1 bytes = 985 [UNREPLIED] src = XX.XX.XX.XX dst = OO.OO.OO. OO sport = 80 dport = 22372 packets = 0 bytes = 0 mark = 0 use = 2
4. Wenn Sie die spezifische IP-Adresse der Quelle (in unserem Beispiel src = 10.10.10.23) ermittelt haben, von der das Flooding ausgeht, trennen Sie den Computer mit dieser IP-Adresse vom Ethernet-Netzwerk und überwachen Sie die Situation erneut.
In unserem Beispiel hat sich die Anzahl der aktiven Sitzungen sofort von 79878 auf 217 verringert, nachdem der Computer mit der IP-Adresse 10.10.10.23 vom Netzwerk getrennt wurde.
Auf diese Weise wurde die Ursache der Probleme ermittelt, und es ist weiterhin erforderlich, die Ursache für eine so große Anzahl von Verbindungen vom Computer aus zu ermitteln.
Auf diese Weise wurde die Ursache der Probleme ermittelt, und es ist weiterhin erforderlich, die Ursache für eine so große Anzahl von Verbindungen vom Computer aus zu ermitteln.
Es gibt viele Gründe für die Entstehung einer großen Anzahl von Netzwerksitzungen auf einem Computer an.
a. Einer der Gründe kann sein, dass Torrents heruntergeladen werden. In diesem Fall wird eine große Anzahl aktiver Netzwerkverbindungen auf dem Computer erstellt (Anforderungen vom internen Netzwerk an das externe Netzwerk und umgekehrt). Die Anzahl solcher Sitzungen kann Hunderte und sogar Tausende betragen.
b. Ein weiterer Grund können Viren (Trojaner) oder andere Arten von Netzwerkangriffen sein, die eine große Anzahl von Sitzungen aktiv nutzen.
KB-00489
Kommentare
0 KommentareBitte melden Sie sich an, um einen Kommentar zu hinterlassen.