同时大量连接导致的DDOS攻击,导致收发器宕机,用户大面积超时掉线
前段时间一个客户改成电信网通自动路由后(当然和这个没有关系,但是客户一般没有分析能力,会多想),用户经常大面积掉线,用户才180多个,在线最多也才120多,十分苦恼,原先帮其维护的技术人员,只是远程诊断以后,来了一句,路由没有问题,就再也不理了。
大家都知道,WayOs路由器,是开机读取配置文件的,所以不存在损坏的说法,如果损坏,一般就是配置文件损失,导致配置丢失,或者系统文件损坏,导致无法开机。所以我对于这种动不动就说路由有问题的技术员,强制BS下。。。
下面我给大家分析一下我处理问题的思路:
1、首先掉线的时候有下面的日志,就是DDOS处有大量的攻击包,用户超时掉线
2、看到这个问题,就头大了,但是我们需要用事实说话,所以就抓包。。。
我在主交换机开启了镜像模式,抓主接口的数据,这样才能保证抓到所有用户的数据,这样才方便分析
3、等了大概有3个多小时了,在我准备放弃的时候,突然用户又异常掉线了。。。此时抓包软件也卡死了。。。。
我知道此时大量的数据包攻击导致的电脑无法响应。。。所以现在只能等待。
4、大概等了半个小时左右,软件反应过来了。。。所以看到了数据包。才进行处理
由于文件太大,太卡要等待太久了,所以就懒得截图了
5、其实在抓到数据包之前,我是建议用户把主干全部换成千M的,包括千M的交换机模块。虽然说这样有可能可以解决问题,但是用户需要增加太多的成本了,这对于只有一百多个用户的客户来讲,正常是无法接受的。
6、后面抓到数据包,也就根据攻击类型,进行相关的策略设置,观察了一天,木有再发现问题了。。。
7、经过这个攻击问题,我发现百M的NETLINK收发器,实在太垃圾了。大量的数据连接,他先挂了。。。直接跳闪。但是这样的好处是,路由没挂,还可以看到攻击数据
不然一秒钟60多万的数据包攻击,相信D525也是无法接受的