请选择 进入手机版 | 继续访问电脑版

迪普科技技术论坛

 找回密码
 立即注册

关注我们 扫描二维码关注迪普官方微信 迪普新浪微博  迪普官网

最新动态 新闻动态  安全研究 最佳实践  加入迪普

DP xCampus安全虚拟园区网解决方案 DP xCloud云数据中心方案 DNS攻击防护技术解决方案

查看: 175|回复: 0

某集团出口ADX板卡CPU使用率过高导致业务中断问题案例

[复制链接]

27

主题

35

帖子

1429

积分

版主

Rank: 7Rank: 7Rank: 7

积分
1429
发表于 2019-7-2 14:17:56 | 显示全部楼层 |阅读模式
一、故障现象
组网拓扑:
     
某企业内网部署我司DPX17+ADX做外网映射,以及内部NAT上网
所有经过ADX的业务异常
二、问题分析
1.通过故障现象分析,怀疑ADX业务办异常,因为设备托管在IDC,只能通过外网和VPN进行维护,发现问题时所有业务异常,前往现场排查,查看设备日志发现5槽位ADX板卡CPU一直告警,怀疑受到攻击。
   
2.查看会话top
发现到目的为119.28.202.40地址的会话非常大,然后根据此ip查询会话列表发现该会话的发起方源地址很离散。
     
三、解决方案
1.根据异常会话,配置ACL阻断策略,对异常高会话量的IP进行阻断,同时开启报文统计,发现几秒就是上百万的包,进行丢弃后业务数据开始恢复正常。
   
2、随后业务慢慢开始恢复正常,问题解决
3、最后配合用户排查:定位到内部服务器存在木马,从内部使用离散源地址向119.28.202.40发起攻击,高并发量的会话导致adx板卡cpu繁忙,无法正常处理数据,导致断网。
四、总结
排错思路:
1.根据业务中断现象,查看设备系统日志和诊断日志是否有异常。
2.发现ADX业务板一直处于cpu使用率过高的情况。
3.查询会话top榜,发现存在会话量异常高的IP。再通过查询会话列表,明确访问的业务类型和详细会话。
4.与客户确认该异常IP的访问行为后,配置ACL策略进行阻断。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|迪普科技

GMT+8, 2019-7-24 08:04 , Processed in 0.162788 second(s), 23 queries .

Powered by Discuz! X3.1

© 2001-2014 Comsenz Inc.

快速回复 返回顶部 返回列表