Juniper SRX220防火墙CPU达到100%的故障解决办法

Juniper SRX220防火墙CPU达到100%的故障解决办法


一、背景

     2016521日设备巡检时发现广东机构的防火墙SRX220CPU高达100%,但是设备还能管理,但是卡顿明显,业

务还没有中断


二、解决办法


1、查看设备的告警信息,没有告警。

wKioL1eKW_Sy2ZekAABRb81immE094.jpg-wh_50


2、查看带宽监控查看设备端口流量,均不高。


3、查看设备系统进程。

wKioL1eKW_PQ3gRsAAKRX6iWmjM057.jpg-wh_50


4、查看设备的日志信息。

wKiom1eKW_XRV2hSAAFqFuwyRUQ726.jpg-wh_50


5、与厂商工程师沟通,初步判断是由于NTP服务的开启导致该端口被利用,发生在了NTP***。


6、关闭NTP配置,设备远程管理不再卡顿,但是CPU依然是100%


7、得知是被NTP DDOS***了,就在设备的Lo0接口上引用filter,配置完毕后设备的CPU恢复正常。

set firewall family inet filter To-ntp term 10 from  source-address x.x.79.36/32   //lo0地址

set firewall family inet filter To-ntp term 10 from  source-address x.x.2.65/32   //NTP server 地址

set firewall family inet filter To-ntp term 10 from  protocols udp

set firewall family inet filter To-ntp term 10 from  port ntp

set firewall family inet filter To-ntp term 10 then accept

set firewall family inet filter To-ntp term 20 from  protocol udp

set firewall family inet filter To-ntp term 20 from  port ntp

set firewall family inet filter To-ntp term 20 then discard

set firewall family inet filter To-ntp term 100 then accept

set interfaces lo0 unit 0 family  inet filter input To-ntp


8、配置上NTP配置,CPU依然正常。

wKiom1eKW_TxXq78AACFHZEbHHw571.jpg-wh_50


三、总结

    

     通过这件事情,让我们看到网络设备在公网的环境里非常的不安全,每一个端口都有可能备被人意


外地发现并利用,幸好及时发现,希望能对读者在今后的运维工作中,有所帮助!





發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章