关于SYN_ACK
今天一早发现网速非常慢,掉包严重,看panabitCPU idle 0%,以前一直正常90%以上.panabit 管理界面几乎打不开.发现有大量的SYN_ACK流量,集中在3台客户机.把这三台在panabit的SYN_ACK给控制住网络就一切正常.我这里早上7点前是不做限制的,而7点后做限制,是不是这个原因导致7点一过导致出现大量的SYN_ACK,然后panabit负载急剧上升的原因?这个问题在升级特征库版本20080619前好象没有出现过.是你们对阻断后导致产生的SYN_ACK没有一个适当的处理?
请问我该如何处理? 客户机种病毒造成的。
其实不是panabit负荷过大
因为panabit的负载很高,其实这里页面打不开是内网欺骗造成的。
你的管理口最好直连管理用的机器而不是并到内网交换这样就没问题了。
你下层客户机之间肯定也受到了病毒攻击你最好通过交换机日志确定具体的病毒及其解决病毒问题。 我这里管理口所在网段除了管理用途其他网段用acl阻止其访问,所以其实就等于"管理口直连管理用的机器".我观察就是由于大量SYN_ACK引起的负荷过大,是用top命令看负荷大.并且ping 外网严重丢包!!!因为把那几台SYN_ACK异常的机器的SYN_ACK限流量马上就好了.在那几台机器上我用NETSTAT -a -n 看就是有些7点后被阻断的几个应用程序msn,wangwang产生的SYN_SENT包.无病毒的特点.而且上网异常就是在7点出现的.
你说的"内网欺骗"是指什么?ARP欺诈?这个不可能,我这里是划网段的,网段间的访问一直是正常的,受ARP欺诈的网段跨网段访问是不正常的. 但是正常的程序SYN只是其握手作用如果SYN_ACK过大明显是异常的。(正常网络内syn_ack一般也就几K流量)
你这种情况达到几兆的明显是病毒攻击或者有人ddos 原帖由 loopylf 于 2008-6-25 10:05 发表 http://www.panabit.com/forum/images/common/back.gif
今天一早发现网速非常慢,掉包严重,看panabitCPU idle 0%,以前一直正常90%以上.panabit 管理界面几乎打不开.发现有大量的SYN_ACK流量,集中在3台客户机.把这三台在panabit的SYN_ACK给控制住网络就一切正常.
我这里早 ...
这个问题同特征库没有关系。 我也发现同样的问题了,SYN_ACK得流量极不稳定,有时候很高,可是大部分时间,非常之低。
我的网络也是有防火墙和流量实时监控的,不可能有arp攻击。
不知道楼主的问题怎么解决的,急盼回复
页:
[1]