语音业务因防火墙TCP FLOOD防范限制不合理导致部分TCP连接无法正常建立

发布时间:  2014-09-12 浏览次数:  266 下载次数:  3
问题描述
拓扑图如下:


在U1980一侧抓包分析,如下图(10.2.9.4属于U1980的地址,10.1.0.24属于IMS的地址),发现IMS回包了一个windows size=0的SYN ACK包。
  


在IMS一侧抓包,发现并没有收到U1980发送过来的TCP连接请求报文,但是可以抓到U1980与IMS之间的PING包及TELNET等连接报文。
将IMS从网络中下线,依然可以在U1980上看到10.1.0.24回送的WINDOWS SIZE=0的TCP SYN ACK报文。
告警信息
没有告警信息
处理过程
重新调整防火墙TCP FLOOD攻击的最大速率值
根因
1. 根据抓包判断,网络中有其他设备代答了这个SYN消息。由于此消息的源IP地址是10.1.0.24(IMS的IP地址),首先需要排查的是与IMS同一网段是否有其他设备代答此消息。将IMS设备下线,查看网关(Eudemon8000-X3)防火墙上的ARP表,没有10.1.0.24的ARP表项;抓取防火墙到此网段接入交换机之间连线的报文,没有看到此消息。排除此网段有设备代答的可能。
2. 排查是否在10.2.9.X网段是否有设备代答。通过抓取此网段网关出口线路的报文,确认代答设备来自其他网段
3. 抓取Eudemon8000-X3上行口的报文,确认了此消息由防火墙Eudemon8000发出。如下图:


4. 登陆防火墙,发现防火墙开启了防范TCP Flood攻击,并且设置最大速率为100。

5. 关闭防火墙防范TCP Flood攻击功能后测试,故障解决。
建议与总结
此问题最大迷惑的地方是回包的源地址为IMS的地址,导致故障定位困难。
建议防火墙设置规范里面,对各种攻击参数,能通过简单的方法计算出网络中所合适的值。

END