Juniper SRX220防火墙CPU达到100%的故障解决办法
一、背景
2016年5月21日设备巡检时发现广东机构的防火墙SRX220的CPU高达100%,但是设备还能管理,但是卡顿明显,业
务还没有中断。
二、解决办法
1、查看设备的告警信息,没有告警。
2、查看带宽监控查看设备端口流量,均不高。
3、查看设备系统进程。
4、查看设备的日志信息。
5、与厂商工程师沟通,初步判断是由于NTP服务的开启导致该端口被利用,发生在了NTP***。
6、关闭NTP配置,设备远程管理不再卡顿,但是CPU依然是100%。
7、得知是被NTP DDOS***了,就在设备的Lo0接口上引用filter,配置完毕后设备的CPU恢复正常。
set firewall family inet filter To-ntp term 10 from source-address x.x.79.36/32 //lo0地址
set firewall family inet filter To-ntp term 10 from source-address x.x.2.65/32 //NTP server 地址
set firewall family inet filter To-ntp term 10 from protocols udp
set firewall family inet filter To-ntp term 10 from port ntp
set firewall family inet filter To-ntp term 10 then accept
set firewall family inet filter To-ntp term 20 from protocol udp
set firewall family inet filter To-ntp term 20 from port ntp
set firewall family inet filter To-ntp term 20 then discard
set firewall family inet filter To-ntp term 100 then accept
set interfaces lo0 unit 0 family inet filter input To-ntp
8、配置上NTP配置,CPU依然正常。
三、总结
通过这件事情,让我们看到网络设备在公网的环境里非常的不安全,每一个端口都有可能备被人意
外地发现并利用,幸好及时发现,希望能对读者在今后的运维工作中,有所帮助!