Nel configuratore web ZyWALL, a volte si può osservare la seguente situazione (il numero di sessioni attive è quasi al massimo, con solo pochi computer collegati al dispositivo):
Accedere al menu Monitor> Stato del sistema> Monitor sessione e vedere quali computer sono collegati (nel nostro esempio, solo 3 client sono collegati a ZyWALL 110).
Ora devi capire quale computer apre così tante sessioni:
1. Connettersi al dispositivo utilizzando il protocollo SSH o la console Port della console.
2. Nell'interfaccia della riga di comando (CLI), eseguire il comando seguente:
Router> debug system show conntrack
3. Trova l'indirizzo IP da cui viene creato un gran numero di sessioni tramite ZyWALL.
Nel nostro esempio, abbiamo osservato un gran numero dei seguenti record del modulo:
Nel nostro esempio, abbiamo osservato un gran numero dei seguenti record del modulo:
tcp 6 115 SYN_SENT src = 10.10.10.23 dst = AA.AA.AA.AA sPort = 22372 dPort = 80 pacchetti = 1 byte = 985 [senza risposta] src = xx.xx.xx.xx dst = OO.OO.OO. OO sPort = 80 dPort = 22372 pacchetti = 0 byte = 0 segno = 0 uso = 2
4. Quando si determina l'indirizzo IP specifico della sorgente (nel nostro esempio è src = 10.10.10.23) da cui proviene il flusso di rete, scollegare il computer con questo indirizzo IP dalla rete Ethernet e quindi monitorare nuovamente la situazione.
Nel nostro esempio, dopo che il computer con l'indirizzo IP 10.10.10.23 è stato disconnesso dalla rete, il numero di sessioni attive è immediatamente diminuito da 79878 a 217.
Pertanto, è stata scoperta la fonte dei problemi e, inoltre, sarà necessario identificare la causa di un numero così elevato di connessioni dal computer.
Pertanto, è stata scoperta la fonte dei problemi e, inoltre, sarà necessario identificare la causa di un numero così elevato di connessioni dal computer.
Ad esempio, diamo diverse ragioni per l'emergere di un gran numero di sessioni di rete su un computer.
ma. Uno dei motivi potrebbe essere l'esecuzione di download di torrent. In questo caso, sul computer viene creato un numero elevato di connessioni di rete attive (richieste dalla rete interna alla rete esterna e viceversa). Il numero di tali sessioni può ammontare a centinaia e persino a migliaia.
b. Un altro motivo potrebbe essere costituito da virus (trojan) o altri tipi di attacchi di rete che utilizzano attivamente un gran numero di sessioni.
KB-00489
Commenti
0 commentiAccedi per aggiungere un commento.