USG5300因开启DNS攻击防范导致WIN7用户无法上网

发布时间:  2012-07-17 浏览次数:  182 下载次数:  0
问题描述
某用户为ISP,USG5300下挂了大量上网用户,一到上网高峰期,就会有大量WIN7用户无法打开网页。
告警信息
处理过程

1.通过查看高峰时间的接口流量,带宽正常,转发性能也正常。

2.通过指导用户排除用户操作系统问题。

3.出现问题时,用户可以上QQ等聊天工具,但是无法打开网页,通过ping域名,解析不到域名,通过这些现象可以判断为和DNS问题相关。

4.由于其他操作系统的用户正常上网,排除DNS服务商的问题。

5.检查防火墙配置,发现跟DNS相关的配置为防火墙开启了dns-flood的攻击防范,关闭此功能后恢复正常。

6.通过分析dns攻击防范原理,当开启dns攻击防范后,默认情况下当接口收到每秒超过1000个dns请求时开始做dns攻击防范,对UDP的DNS报文会反弹一个报文,要求对端使用TCP的DNS请求,由于WIN7操作系统不支持TCP的DNS,所以WIN7操作系统会出现域名不能正常解析的问题。

根因

1.可能为带宽不足,导致部分用户无法上网。

2.可能为用户自身操作系统问题或者DNS设置问题

3.可能为USG5300转发性能或其他问题。

建议与总结
碰到防火墙问题时,可以先定位问题和哪个功能模块相关,然后再做深入分析。

END