Диагностика причин большого числа активных сессий в ZyWALL

Почему число активных сессий, отображаемых в веб-конфигураторе, находится почти на максимуме, хотя только несколько компьютеров подключены к ZyWALL 110?

В веб-конфигураторе ZyWALL иногда можно наблюдать следующую ситуацию (число активных сессий находится почти на максимуме, при этом к устройству подключены всего несколько компьютеров):
 
Зайдите в меню Monitor > System Status > Session Monitor и посмотрите с какими компьютерами установлены соединения (в нашем примере только 3 клиента подключены к ZyWALL 110).
 
Теперь нужно разобраться, с какого именно компьютера открывается такое большое количество сессий.
 
1. Подключитесь к устройству по протоколу SSH или к консольному порту Сonsole.
 
2. В интерфейсе командной строки (CLI) выполните следующую команду:
 
Router> debug system show conntrack
 
3. Найдите IP-адрес, от которого создается большое количество сессий через ZyWALL.
В нашем примере мы наблюдали большое количество следующих записей вида:
 
tcp  6 115 SYN_SENT src=10.10.10.23 dst=AA.AA.AA.AA sport=22372 dport=80 packets=1 bytes=985 [UNREPLIED] src=XX.XX.XX.XX dst=OO.OO.OO.OO sport=80 dport=22372 packets=0 bytes=0 mark=0 use=2
 
4. Когда вы определите конкретный IP-адрес источника (в нашем примере это src=10.10.10.23), от которого идет сетевой флуд, отключите компьютер с этим IP-адресом от сети Ethernet и затем снова проследите за ситуацией.
В нашем примере после выключения от сети компьютера с IP-адресом 10.10.10.23 число активных сессий сразу уменьшилось с 79878 до 217.
Таким образом, источник проблем был обнаружен, и далее необходимо будет выявить причину такого большого количества соединений с компьютера.
 
В качестве примера приведем несколько причин возникновения большого количества сетевых сессий на компьютере.
а. Одной из причин могут быть запущенные закачки торрентов. В этом случае на компьютере создается большое количество активных сетевых подключений (запросов из внутренней сети во внешнюю и наоборот). Количество таких сессий может исчисляться сотнями и даже тысячами.
б. Другой причиной могут служить вирусы (трояны) или другие виды сетевых атак, которые активно используют большое количество сессий.
 

KB-4512

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 3 из 4
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.