MCU异常离线问题

发布时间:  2015-07-14 浏览次数:  274 下载次数:  0
问题描述
某局点客户反馈,客户根据预定义会议模板召开会议后,发现会议异常挂断,无法重新召开会议。
告警信息

查看SMC上的告警,如下:


处理过程

1)      通过现场反馈的SMC截图可以看到,MCU2015-04-23 10:04:46(SMC时间)出现了异常离线。

2) 分析MCU对应时间段的日志,发现MCU2015-04-23 09:54:25MCU时间)时间发生了异常重启,这就是MCUSMC上离线的原因。


3)      分析MCU异常重启前的日志,发现有大量的SSH登陆记录,且都是失败的,应该是受到了外部的攻击。SSH是加密连接,在创建连接的时候,要进行密钥协商,这个过程要消耗大量系统资源。频率的SSH连接使得系统资源被持续占满,从而导致异常重启,这就是常说的SSH攻击。

4)      查看了MCU其他时间段的日志,发现也存在大量SSHTELNET尝试登陆的记录,所以应该是一直有受到攻击,只是没有达到导致MCU重启的程度。


 

根因
MCU受到了SSH攻击,导致系统异常重启,所以在SMC上离线,且会议中的会场都离会。
解决方案
攻击来自互联网,所以建议客户使用防火墙屏蔽从互联网到MCUSSH(TCP 22)TELNET(TCP 23)端口的数据, 避免MCU遭受攻击。 启用防火墙屏蔽22、23端口后,问题解决。
建议与总结

设备建议都放置在防火墙内部,能够有效降低受到网络攻击的风险。

END