2022年6月23日,某公司 络出现异常,一直很稳定的pppoe拨 外线频繁掉线,现象是几分钟后ros上该pppoe接口显示掉线,掉线后自动重拨上线,几分钟后再次掉线,如此反复, 络工程师发现用户 障后,怀疑是运营商线路问题或设备问题,排查未果,尝试将用户流量切换到其他pppoe外线,此时发现切到哪条线路,哪条线路就断线,此时大概推断跟流量异常有关系,立即登陆roscloud日志记录系统,从日志记录中分析看是否存在异常。
选择对应ros,查看IP流量图,并将日志过滤时间设置为6月23日9:00到9:30分时间段,选择默认的连接数排序进行日志检索如图:
当前时间段IP连接数统计图
非常明显该时间段出现了连接数异常高峰,单IP连接数超过100万条,这是非常不正常的,可能是病毒或攻击引起,继续点击查看流量详情
仍然指向该IP流量异常,继续查看流量详情
IP会话明细记录
可以看到172.16.75.58这个IP采用源端口55215,目标地址为大量不通的内 IP,端口为161,30分钟内共发送了2732110个数据包,于是 络工程师立即在ros上设置了策略,禁止了该IP的流量,故障立即恢复,pppoe外线经观察后不再掉线,问题顺利解决,后续去排查改IP的使用人,确认是否人为操作或病毒。
Roscloud日志系统是专用于routeros的日志记录和分析,不仅能够记录所有经过ros的三层 络日志信息,还支持部分七层协议记录分析,是追溯 络问题,配合 监定位 络安全审查的好帮手,重要的是该系统可以同时支持多台ros记录,一套记录管理上百台ros的完整 络日志。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!