En el configurador web ZyWALL, a veces se puede observar la siguiente situación (la cantidad de sesiones activas es casi máxima, con solo unas pocas computadoras conectadas al dispositivo):
Vaya al menú Monitor> Estado del sistema> Monitor de sesión y vea qué computadoras están conectadas (en nuestro ejemplo, solo 3 clientes están conectados al ZyWALL 110).
Ahora necesita averiguar qué computadora abre tantas sesiones:
1. Conéctese al dispositivo utilizando el protocolo SSH o la consola Port de la consola.
2. En la interfaz de línea de comandos (CLI), ejecute el siguiente comando:
Router> debug system show conntrack
3. Busque la dirección IP desde la que se crea una gran cantidad de sesiones a través de ZyWALL.
En nuestro ejemplo, observamos una gran cantidad de los siguientes registros del formulario:
En nuestro ejemplo, observamos una gran cantidad de los siguientes registros del formulario:
tcp 6 115 SYN_SENT src = 10.10.10.23 dst = AA.AA.AA.AA sPort = 22372 dPort = 80 paquetes = 1 bytes = 985 [UNREPLIED] src = xx.xx.xx.xx dst = OO.OO.OO. OO sPort = 80 dPort = 22372 paquetes = 0 bytes = 0 marca = 0 uso = 2
4. Cuando determine la dirección IP específica de la fuente (en nuestro ejemplo es src = 10.10.10.23) de la que va la inundación de la red, desconecte la computadora con esta dirección IP de la red Ethernet y luego vuelva a monitorear la situación.
En nuestro ejemplo, después de que la computadora con la dirección IP 10.10.10.23 se desconectó de la red, el número de sesiones activas disminuyó inmediatamente de 79878 a 217.
Por lo tanto, se descubrió la fuente de los problemas y, además, será necesario identificar la causa de una gran cantidad de conexiones desde la computadora.
Por lo tanto, se descubrió la fuente de los problemas y, además, será necesario identificar la causa de una gran cantidad de conexiones desde la computadora.
Como ejemplo, damos varias razones para la aparición de una gran cantidad de sesiones de red en una computadora.
pero. Una de las razones puede estar ejecutando descargas de torrents. En este caso, se crea una gran cantidad de conexiones de red activas en la computadora (solicitudes de la red interna a la red externa y viceversa). El número de tales sesiones puede ascender a cientos e incluso miles.
segundo. Otra razón puede ser virus (troyanos) u otros tipos de ataques de red que utilizan activamente una gran cantidad de sesiones.
KB-00489
Comentarios
0 comentariosInicie sesión para dejar un comentario.