终端用户上网异常

发布时间:  2016-08-05 浏览次数:  123 下载次数:  0
问题描述

某局点终端用户家庭网关拨号通过PPPoE获取地址,发现用户浏览网页不正常。局点网络环境,是NE5000旁挂USG6600防火墙,用户家庭网关通过ME60地址池分配IP地址,下挂终端用户无法正常上外网。

用户拓扑示意图:

 



 

告警信息
处理过程

分析思路:

首先为解决当前紧急问题,在防火墙侧将接口命令如下关闭,现象消失:

anti-ddos flow-statistic enable

anti-ddos syn-flood source-detect alert-rate 100

1.该命令当检测源syn-flood包超过100个认为攻击,将其丢弃。

2.由此可初步判断该家庭网关下有大量的syn-flood报文泛洪

3.由于该家庭网关是其它厂商供应的产品,只需要该厂商确认他们的网关设备是否发送大量的syn-flood报文即可

对于防火墙SYN-flood防御的工作过程:

1.  防火墙上统计收到的发往目的地址的 SYN 报文的速率,如果超出阈值,防火墙上会启动 SYN flood 防御;

2.之后如果终端往对应目的地址发起 SYN 报文,防火墙会阻拦这个SYN 报文,同时往终端发一个SYN-ACK 报文,探测终端是否是真实存在的 IP,或终端是否确实发送了此SYN 报文

3. 终端如果收到 SYN-ACK 包,则会回应对应的响应报文;

4. 防火墙收到终端的响应报文,确认终端为真实存在的终端,将终端加入白名单,后续该终端发送的 SYN 报文允许转发;

 

根因

解决方案
在防火墙侧接口将此两条命令删除,故障恢复。

anti-ddos flow-statistic enable

anti-ddos syn-flood source-detect alert-rate 100

建议与总结

配置安全防护命令,对于开启安全防护功能,建议保持默认,规则初始放宽松,建议保持默认,开启自动学习会自己根据现网情况生成阈值以做参考。

END