所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

USG6650对外业务由于遭受SYN FLOOD攻击导致网络变慢故障

发布时间:  2019-07-11  |   浏览次数:  95  |   下载次数:  0  |   作者:  guming@gm  |   文档编号: EKB1000089553

目录

问题描述

企业网络拓扑如下图:

    内网用户通过汇聚交换机接入网络,经过NGFW到达负载均衡设备上进行NAT转换,实现用户上网。某日接到用户反馈,上网网速慢,时不时有卡顿现象。在NGFW上查看会话表,发现会话表数量从80K瞬间达到300K。进行一步筛选发现有两个IP地址的会话表数量非常多。

处理过程

1、分析NGFW会话表,提取会话表数量异常的IP地址,发现异常IP为负载均衡设备上NAT地址池地址;


2、在NGFW上查看地址来源,发现其来自内网区域,确定攻击源来自企业内网;

3、由于汇聚交换机上行口流量非常大,而下行口非常多,通过复制报文方式分析解决费时费力,而用户业务需求迫切;

4、改变策略,做流量策略丢弃异常IP的报文,应用在汇聚交换机下行口,先保证网络正常;

5、在流行为中打开流量统计,查看汇聚交换机下行口ACL命中次数,发现该端口收发报文流量异常

display traffic-policy statistics Interface GE1/7/0/39 in

Traffic policy: ip, inbound 

-------------------------------------------------------------------------

  Slot: 1/7                                      

    Item                              Packets                       Bytes

    ---------------------------------------------------------------------

    Matched                         178439971                 11421353900

      +--Passed                          8166                     1718380

      +--Dropped                    178431805                 11419635520

        +--Filter                   178431805                 11419635520

        +--CAR                              0                           0      

6、复制报文确认,对该端口做复制报文,发现该端口下挂的为一台服台器,向外发送大量变源地址和端口的报文到不同地址的互联网主机,这些报文经过NGFW和负载均衡设备时占用了大量的会话表资源和网络带宽,导致出口网络变慢。 


建议与总结

1、通过流量统计方法快速定位问题源,并保证在问题解决之前最大限度保障网络正常;

2、加强内网服务器设备防护,保证网络安全。