Диагностика причин большого числа активных сессий в ZyWALL

В веб-конфигураторе ZyWALL иногда можно наблюдать следующую ситуацию (число активных сессий находится почти на максимуме, при этом к устройству подключены всего несколько компьютеров):

 

Зайдите в меню Monitor > System Status > Session Monitor и посмотрите с какими компьютерами установлены соединения (в нашем примере только 3 клиента подключены к ZyWALL 110).

 

Теперь нужно разобраться, с какого именно компьютера открывается такое большое количество сессий.

 

1. Подключитесь к устройству по протоколу SSH или к консольному порту Сonsole.

 

2. В интерфейсе командной строки (CLI) выполните следующую команду:

 

Router> debug system show conntrack

 

3. Найдите IP-адрес, от которого создается большое количество сессий через ZyWALL.
В нашем примере мы наблюдали большое количество следующих записей вида:

 

 

4. Когда вы определите конкретный IP-адрес источника (в нашем примере это src=10.10.10.23), от которого идет сетевой флуд, отключите компьютер с этим IP-адресом от сети Ethernet и затем снова проследите за ситуацией.

В нашем примере после выключения от сети компьютера с IP-адресом 10.10.10.23 число активных сессий сразу уменьшилось с 79878 до 217.
Таким образом, источник проблем был обнаружен, и далее необходимо будет выявить причину такого большого количества соединений с компьютера.

 

В качестве примера приведем несколько причин возникновения большого количества сетевых сессий на компьютере.

а. Одной из причин могут быть запущенные закачки торрентов. В этом случае на компьютере создается большое количество активных сетевых подключений (запросов из внутренней сети во внешнюю и наоборот). Количество таких сессий может исчисляться сотнями и даже тысячами.

б. Другой причиной могут служить вирусы (трояны) или другие виды сетевых атак, которые активно используют большое количество сессий.