USG2200受到 IP Sweep攻击导致会话使用率100%

发布时间:  2015-05-16 浏览次数:  435 下载次数:  0
问题描述
某客户使用一台USG2200防火墙作为出口网关,最近经常发现内网用户上网缓慢,打不开网页,查看日志发现出现大量的会话使用率超过100%的提示并且提示NAT端口分配失败。
告警信息

%2015-05-03 17:05:10 USG2200 %%01NAT/4/INTF_EXCEED_THRESHOLD(l): NAT端口分配即将或已经失败。接口名称 =GigabitEthernet0/0/1, 当前告警次数=16, 当前失败次数=237314, 累计告警次数=61701, 累计失败次数=21792087.
%2015-05-03 17:00:04 USG2200 %%01NAT/4/INTF_EXCEED_THRESHOLD(l): NAT端口分配即将或已经失败。接口名称 =GigabitEthernet0/0/1, 当前告警次数=15, 当前失败次数=265448, 累计告警次数=61685, 累计失败次数=21554773.
%2015-05-03 16:57:39 USG2200 %%01SEC/4/STREAM(l): System number of session is too much: 252282.

%2015-05-03 16:57:01 USG2200 %%01SYSTEM/4/SESSION(l): 会话使用率超过阈值(95%)。当前会话使用率为100%,最大会话数为260000。

处理过程

1. 首先对客户的网络环境进行了解。在客户的环境中一共约40台的PC上网,没有服务器等设备,业务类型为普通的上网业务,出口带宽为40M带宽,而且此故障是最近才出现的;

2. 查看客户的配置无任何特殊配置,但是没有攻击防范功能;

3. 建议客户将所有的攻击防范功能使用firewall defend命令全部打开进行观察测试;

4. 在日志中发现大量的 IP Sweep攻击提示,并且攻击被阻断,内网用户上网正常,如下:

  %2015-05-04 08:39:58 USG2200 %%01SEC/4/BLACKLIST(l): <192.168.0.241/vpn: public> is added to blacklist, reason < Illegal Session attack >, time:<20 min>

%2015-05-03 23:37:01 USG2200 %%01SEC/4/BLACKLIST(l): <192.168.0.254/vpn: public> is removed from blacklist

%2015-05-03 23:17:01 USG2200 %%01SEC/4/BLACKLIST(l): <192.168.0.254/vpn: public> is added to blacklist, reason < IP Sweep>, time:<20 min>

 

根因

网络中在在大量的 IP Sweep攻击,导致防火墙会话数使用率达到100%。

解决方案

在客户的环境中打开防火墙 IP Sweep攻击防范功能将攻击进行阻断,命令如下:

firewall defend ip-sweep enable

在互联网环境中,建议在防火墙上开启攻击防范功能,避免网络中的各种攻击威胁。

END