今天早上8:00左右,cacti不斷發短信至手機上,說北京至廣州的線路丢包達到50%,9:00,上班,打開電腦,檢視網絡,防火牆20%的CPU負載,記憶體偏高,上了500M,流量約幾兆。問下同僚,說今天開服,有廣告投入,那負載與記憶體比平常高點,也很正常。cacti還是不斷報警中,煩。
<a target="_blank" href="http://blog.51cto.com/attachment/201103/154055897.jpg"></a>
<a href="http://blog.51cto.com/attachment/201103/145317531.jpg" target="_blank"></a>
繼續查原因,ssh x.x.x.x,登入北京伺服器,手工實時ping廣州機房,丢包也不嚴重,約1%左右,但有個現象,有時候一丢就5,6,7,8個包,上監控伺服器,檢查伺服器的健康狀态。輸入uptime後,從傳回的資訊來看等待的隊列處理也不大,都是0.x。
<a href="http://blog.51cto.com/attachment/201103/150147648.jpg" target="_blank"></a>
同僚幫我檢視,他用ping,有時檢測出丢包率在16%,甚至有64%的,我作的是長ping,隻有1%。tracert到北京機房,看看路由情況,發現路由都正常。
<a href="http://blog.51cto.com/attachment/201103/150413673.jpg" target="_blank"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201103/153902331.jpg"></a>
目前,可以得出一個結論,那就是北京至廣州會有短暫性的高丢包,并且不持續,不連續,防火牆沒有負載,流量又沒有跑超,網絡整體也正常,為何老是有短暫的高丢包現象存在呢。
先登入防火牆,看看吧。ssh [email protected] ,輸入密碼後,就進入了防火牆。看看連接配接數,cacti研究的不深,一直未能解決它監控思科5520防火牆的session.
看看連接配接數
ASA5520#sh conn count
傳回
10782 in use,280001 most used
我的天啊,曾經有産生過28萬的連接配接,ASA5520,官方資料,理論值才288000。我公司平台對外開放也有9個多月了,即使是在廣告投放時,每天400萬IP的投放量,防火牆的session都隻到25萬,想不到今天竟用到了極限。
再看看什麼連接配接最多
ASA5520#sh conn
UDP outside 192.41.162.30:53 inside 172.x.x.x:62234, idle 0:01:07, bytes 45, flags -
UDP outside 192.41.162.30:53 inside 172.x.x.x:59965, idle 0:01:07, bytes 44, flags -
UDP outside 192.41.162.30:53 inside 172.x.x.x:52096, idle 0:01:07, bytes 42, flags -
UDP outside 192.55.83.30:53 inside 172.x.x.x:64169, idle 0:00:14, bytes 95, flags -
UDP outside 192.55.83.30:53 inside 172.x.x.x:57522, idle 0:01:08, bytes 42, flags -
UDP outside 192.55.83.30:53 inside 172.x.x.x:53128, idle 0:01:11, bytes 41, flags -
UDP outside 192.42.93.30:53 inside 172.x.x.x:51221, idle 0:01:12, bytes 46, flags -
DNS伺服器的連接配接數最多,以前也有關注過,外界DNS同時通路我公司内網的一台DNS伺服器,連接配接數可達到6,7萬。
上ASDM,用圖形看下。很可惜,當時在處理時,沒有截圖,下圖是目前正常的情況,沒處理前,深藍色的點,都到了25萬,28萬,基本上跟現在一樣,是條直線。
<a href="http://blog.51cto.com/attachment/201103/151118992.jpg" target="_blank"></a>
既然DNS的連接配接數過多,并且外部連接配接過來的都是亂七八糟的IP,經仔細觀察竟還有公司外網同段的IP,而這些IP是我們公司的,也從未用過。那就說明有人在攻擊我公司的DNS伺服器。
先把DNS伺服器對外的53端口屏蔽掉。
ASA5520#conf t
ASA5520(config)#no access-list pass-policy extended permit upd any host 211.151.x.x eq domain
打完這條指令,連接配接數立馬降下來,然後趨于平常。ASDM上可以看到被拒絕的ACL數。
<a href="http://blog.51cto.com/attachment/201103/151840711.jpg" target="_blank"></a>
想想,把DNS的53端口關了也不行啊,雖然廣州還有一台DNS,還是得開放北京的DNS,開放DNS方案還是可行的,可在防火牆上定義可信IP清單,然後隻讓這些IP通路我公司的DNS。
到網上去找全球的13台根域位址。網際網路真是什麼都有,一找,就找出七八處有關13台根域的IP,但經過我比對,發現IP位址都不盡相同,似乎都不權威啊。繼續找,終于在某處找到了官網位址連結(http://www.root-servers.org/)。點選打開,全球十三台根伺服器呈現在面前。馬上在防火牆上設個組。
ASA5520(config)#object-group network dnsgroup
ASA5520(config)#network-object host 198.41.0.4
...
ASA5520(config)#network-object host 202.12.27.33(以上13台根域)
ASA5520(config)#network-object host 210.x.x.x(公司出口IP,作測試用)
ASA5520(config)#network-object host 202.96.209.5(上海dns)
ASA5520(config)#network-object host 202.106.0.20(北京dns)
ASA5520(config)#network-object host 202.96.128.86(廣州dns)
ASA5520(config)#access-list pass-policy extended permit upd object-group dnsgroup host 211.151.x.x eq domain
放開全球根域及中國國内主要DNS通路我公司的DNS伺服器。
目前連接配接數在正常範圍内,防火牆連接配接數達到限制,而引起新的連接配接無法正常建立的問題解決,但dns攻擊一直存在,煩。
誰有好的方法,追蹤到攻擊者,或者有其它好的解決辦法的,留個言。
本文轉自itwork 51CTO部落格,原文連結:http://blog.51cto.com/369369/526239,如需轉載請自行聯系原作者
![高防伺服器、高防IP與高防CDN的差別[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)