W WebGUI USG / ZyWALL czasami można zaobserwować następującą sytuację (liczba aktywnych sesji jest prawie maksymalna, a do urządzenia podłączonych jest tylko kilka komputerów):
Przejdź do menu Monitor> System Status> Session Monitor i sprawdź, które komputery są podłączone (w naszym przykładzie tylko 3 klienty są podłączone do ZyWALL 110).
Teraz musisz dowiedzieć się, który komputer otwiera tak wiele sesji:
1. Połącz się z urządzeniem za pomocą protokołu SSH lub konsoli Port konsoli.
2. W interfejsie wiersza polecenia (CLI) uruchom następujące polecenie:
Router> debug system show conntrack
3. Znajdź adres IP, z którego tworzona jest duża liczba sesji przez ZyWALL.
W naszym przykładzie zaobserwowaliśmy dużą liczbę następujących rekordów:
W naszym przykładzie zaobserwowaliśmy dużą liczbę następujących rekordów:
tcp 6 115 SYN_SENT src = 10.10.10.23 dst = AA.AA.AA.AA sport = 22372 dport = 80 packets = 1 bytes = 985 [UNREPLIED] src = XX.XX.XX.XX dst = OO.OO.OO. OO sport = 80 dport = 22372 packets = 0 bytes = 0 mark = 0 use = 2
4. Kiedy określisz konkretny adres IP źródła (w naszym przykładzie jest to src = 10.10.10.23), z którego nadchodzi zalew sieci, odłącz komputer z tym adresem IP od sieci Ethernet, a następnie ponownie monitoruj sytuację.
W naszym przykładzie po odłączeniu komputera z adresem IP 10.10.10.23 od sieci liczba aktywnych sesji natychmiast spadła z 79878 do 217.
W ten sposób odkryto źródło problemów, a ponadto konieczne będzie zidentyfikowanie przyczyny tak dużej liczby połączeń z komputera.
W ten sposób odkryto źródło problemów, a ponadto konieczne będzie zidentyfikowanie przyczyny tak dużej liczby połączeń z komputera.
Jako przykład podajemy kilka przyczyn pojawienia się dużej liczby sesji sieciowych na komputerze. Jednym z powodów może być pobieranie torrentów. W takim przypadku na komputerze tworzona jest duża liczba aktywnych połączeń sieciowych (żądania z sieci wewnętrznej do sieci zewnętrznej i odwrotnie). Liczba takich sesji może wynosić setki, a nawet tysiące.
Innym powodem mogą być wirusy (trojany) lub inne rodzaje ataków sieciowych, które aktywnie korzystają z dużej liczby sesji.
KB-00489
Komentarze
Komentarze: 0Zaloguj się, aby dodać komentarz.