English Sentence Loading...
英语句子加载中...
上一篇: 
下一篇: 
Checkping UTM-1 2070遭攻击CPU达100%
作者:大漠孤沙 日期:2010-06-18
上周初开始,下属公司的Checkpoint UTM-1遭受UDP Flood攻击,导致因特网访问极不稳定,客户抱怨很多,电话打暴。。。
这是SmartViewer中的截图。从历史图表看,每天下午有3~4波攻击,每次持续时间5~20分钟才退去。
去年新买的Checkponit UTM-1 2070,每次未到攻击高峰即先跨了。。。
图1:通过的流量急骤下降,高峰时数据包的通过率为0,处于瘫痪状态。。。
图2:挂在netscreen ns-204 和 Juniper ISG-1000后边时,CPU也经常达到100%...
图3:检查了被攻击时的网络流量,跟平时差不多,没有明显上扬。
联系了电信,电信也没辙,建议我们向网监报案。
没办法,只好临时换个公网IP用用,躲一阵再说。可是第二天继续被攻击。。。无耐中那边的网管想起去年淘汰下来的一台Netscreen ns-204,目前正闲置当实验设备玩,于是去初始化了一下,紧急上架,部署在Checkpoint设备前端,做纵深防御。
没想到这招还真行。服役7年淘汰下来的netscreen ns-204,竟然在UDP Flood的攻击下没跨掉,只是资源利用率也不低了,高峰时超出了88%。
通过持续几天的观察,每次攻击来临,挂在netscreen ns-204后面的Checkpint 2070,竟然CPU仍然会达到100%,应该说netscreen挡住了绝大多数(97%以上。因为部署在后边的Checkpoint上有每秒钟Drop数个 UPD包的日志)的攻击,Checkpoint竟被几十M的流量冲跨了。。。真当是可歌可泣呀!
其实发现攻击高峰时(Checkpoint CPU 达100%),并发会话量并不大,监测到的最高峰,并发会话才4.1W~4.5W左右。但这时ns204似乎也有些累了,此时从WEB进行登录管理响应迟缓。
为确保稳定和防范更强大的攻击,从集团机房借调出一台Juniper isg-1000给下属公司使用,仍挂在Checkpoint utm-1 2070前端,观察几天情况Juniper isg-1000工作稳定,Checkpoint则仍力不从心。
同时加强对攻击的监测。
引用内容
查了一下厂家技术参数,Checkpoint UTM-1 2070的号称并发会话数高达110W,吞吐量达2.8G 的设备(而且仅当纯防火墙使用,没启用UTM),竟然不敌只有12.8W会话数的Netscreen ns-204!!!
想想真是无耐,去年本着淘汰netscreen 204进行设备升级的考虑,采购进了Checkponit UTM-1 2070进行替换升级,没想到今朝临阵如此不堪一击!!!
Checkpoint 的用户,真该抱头痛哭一场。
这是SmartViewer中的截图。从历史图表看,每天下午有3~4波攻击,每次持续时间5~20分钟才退去。
去年新买的Checkponit UTM-1 2070,每次未到攻击高峰即先跨了。。。
图1:通过的流量急骤下降,高峰时数据包的通过率为0,处于瘫痪状态。。。
图2:挂在netscreen ns-204 和 Juniper ISG-1000后边时,CPU也经常达到100%...
图3:检查了被攻击时的网络流量,跟平时差不多,没有明显上扬。
联系了电信,电信也没辙,建议我们向网监报案。
没办法,只好临时换个公网IP用用,躲一阵再说。可是第二天继续被攻击。。。无耐中那边的网管想起去年淘汰下来的一台Netscreen ns-204,目前正闲置当实验设备玩,于是去初始化了一下,紧急上架,部署在Checkpoint设备前端,做纵深防御。
没想到这招还真行。服役7年淘汰下来的netscreen ns-204,竟然在UDP Flood的攻击下没跨掉,只是资源利用率也不低了,高峰时超出了88%。
通过持续几天的观察,每次攻击来临,挂在netscreen ns-204后面的Checkpint 2070,竟然CPU仍然会达到100%,应该说netscreen挡住了绝大多数(97%以上。因为部署在后边的Checkpoint上有每秒钟Drop数个 UPD包的日志)的攻击,Checkpoint竟被几十M的流量冲跨了。。。真当是可歌可泣呀!
其实发现攻击高峰时(Checkpoint CPU 达100%),并发会话量并不大,监测到的最高峰,并发会话才4.1W~4.5W左右。但这时ns204似乎也有些累了,此时从WEB进行登录管理响应迟缓。
为确保稳定和防范更强大的攻击,从集团机房借调出一台Juniper isg-1000给下属公司使用,仍挂在Checkpoint utm-1 2070前端,观察几天情况Juniper isg-1000工作稳定,Checkpoint则仍力不从心。
同时加强对攻击的监测。
引用内容ns-204> get per cpu d
Average System Utilization: 2%
Last 60 seconds:
59: 17 58: 51* 57: 88*** 56: 22 55: 53* 54: 69*
53: 63* 52: 86*** 51: 81** 50: 57* 49: 52* 48: 77**
47: 25 46: 40 45: 67* 44: 50* 43: 63* 42: 51*
41: 59* 40: 30 39: 72** 38: 59* 37: 89*** 36: 45
35: 46 34: 55* 33: 50* 32: 49 31: 65* 30: 51*
29: 57* 28: 54* 27: 77** 26: 89*** 25: 75** 24: 37
23: 76** 22: 71** 21: 87*** 20: 80** 19: 3 18: 43
17: 86*** 16: 69* 15: 64* 14: 10 13: 49 12: 86***
11: 88*** 10: 87*** 9: 78** 8: 89*** 7: 64* 6: 53*
5: 39 4: 46 3: 52* 2: 2 1: 2 0: 48
Last 60 minutes:
59: 51* 58: 65* 57: 61* 56: 62* 55: 67* 54: 62*
53: 6 52: 6 51: 38 50: 7 49: 5 48: 9
47: 2 46: 2 45: 2 44: 2 43: 2 42: 2
41: 2 40: 2 39: 6 38: 3 37: 2 36: 2
35: 2 34: 2 33: 2 32: 1 31: 2 30: 2
29: 2 28: 2 27: 2 26: 2 25: 2 24: 1
23: 2 22: 2 21: 2 20: 1 19: 2 18: 2
17: 2 16: 2 15: 9 14: 5 13: 2 12: 2
--- more ---
Average System Utilization: 2%
Last 60 seconds:
59: 17 58: 51* 57: 88*** 56: 22 55: 53* 54: 69*
53: 63* 52: 86*** 51: 81** 50: 57* 49: 52* 48: 77**
47: 25 46: 40 45: 67* 44: 50* 43: 63* 42: 51*
41: 59* 40: 30 39: 72** 38: 59* 37: 89*** 36: 45
35: 46 34: 55* 33: 50* 32: 49 31: 65* 30: 51*
29: 57* 28: 54* 27: 77** 26: 89*** 25: 75** 24: 37
23: 76** 22: 71** 21: 87*** 20: 80** 19: 3 18: 43
17: 86*** 16: 69* 15: 64* 14: 10 13: 49 12: 86***
11: 88*** 10: 87*** 9: 78** 8: 89*** 7: 64* 6: 53*
5: 39 4: 46 3: 52* 2: 2 1: 2 0: 48
Last 60 minutes:
59: 51* 58: 65* 57: 61* 56: 62* 55: 67* 54: 62*
53: 6 52: 6 51: 38 50: 7 49: 5 48: 9
47: 2 46: 2 45: 2 44: 2 43: 2 42: 2
41: 2 40: 2 39: 6 38: 3 37: 2 36: 2
35: 2 34: 2 33: 2 32: 1 31: 2 30: 2
29: 2 28: 2 27: 2 26: 2 25: 2 24: 1
23: 2 22: 2 21: 2 20: 1 19: 2 18: 2
17: 2 16: 2 15: 9 14: 5 13: 2 12: 2
--- more ---
查了一下厂家技术参数,Checkpoint UTM-1 2070的号称并发会话数高达110W,吞吐量达2.8G 的设备(而且仅当纯防火墙使用,没启用UTM),竟然不敌只有12.8W会话数的Netscreen ns-204!!!
想想真是无耐,去年本着淘汰netscreen 204进行设备升级的考虑,采购进了Checkponit UTM-1 2070进行替换升级,没想到今朝临阵如此不堪一击!!!
Checkpoint 的用户,真该抱头痛哭一场。
文章来自: 
引用通告: 
Tags: 
相关日志:
评论: 0 | 引用: 0 | 查看次数: 180
发表评论
