مسألة
تمت ملاحظة إستخدام عال لوحدة المعالجة المركزية (CPU) على أجهزة FTD، مما أدى إلى حدوث مشاكل في الاتصال ومنع المستخدمين من الوصول إلى التطبيقات التجارية الهامة. أظهر جدار الحماية إرتفاعا في إستخدام وحدة المعالجة المركزية (CPU) ووحدة معالجة مركزية (CPU) من البيانات واستخدام وحدة المعالجة المركزية (SNORT)، حيث يواجه المستخدمون مشاكل في الوصول المتقطع وزمن الوصول. وكشفت التحقيقات عن وجود عدد كبير من إتصالات TCP الجنينية، مع وجود جزء كبير منها ناشئ من أجهزة الفحص الأمنية الداخلية، مما أدى إلى إستهلاك الموارد وتدهور الأداء.
البيئة
- الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco
- الأجهزة: Cisco Firepower 1150
- إصدار البرامج: 7.4.2.3
- مدارة بواسطة: مركز إدارة Firepower (FMC)
- تهيئة عالية التوفر (HA)
- وحدة المعالجة المركزية DataPath و Snort بشكل ثابت بنسبة 100٪ أو ما يقرب منها
- عدد كبير من إتصالات TCP الجنينية بسبب الماسحات الضوئية الداخلية
- التغييرات الأخيرة: تم تطبيق تكوينات مجمع السجلات وإعادتها؛ نشر قاعدة الوصول؛ حدث تجاوز الفشل الملاحظ
- أنظمة تولد إتصالات عالية تعرف على أنها ماسحات ضوئية جوالات داخلية
قرار
تم تحديد إستخدام عال لوحدة المعالجة المركزية (CPU) على DataPath المستخدم لمعالجة حركة المرور.
device# show processes cpu-usage sorted non-zero
Hardware: FPR-1150
Cisco Adaptive Security Appliance Software Version 9.20(2)43
ASLR enabled, text region 562a19048000-562a1e49126d
PC Thread 5Sec 1Min 5Min Process
- - 99.7% 99.7% 99.7% DATAPATH-4-22658
- - 99.7% 99.7% 99.6% DATAPATH-3-22657
- - 99.7% 99.6% 99.6% DATAPATH-2-22656
- - 99.6% 99.7% 99.7% DATAPATH-5-22659
- - 97.5% 97.1% 97.1% DATAPATH-1-22655
- - 97.4% 97.1% 97.1% DATAPATH-0-22654
0x0000562a1b8c55e3 0x0000151e97f523e0 1.1% 1.6% 1.6% CP Processing
0x0000562a1d408771 0x0000151e97f434a0 0.4% 0.2% 0.0% Unicorn Proxy Thread
0x0000562a1b6ba40a 0x0000151e97f3cb80 0.3% 0.3% 0.3% appagent_async_client_receive_thread
0x0000562a1cfebc65 0x0000151e97f43f80 0.1% 0.1% 0.1% IP SLA Mon Event Processor
0x0000562a1d328a89 0x0000151e97f64240 0.1% 0.1% 0.1% lina logclient Rx data thread
0x0000562a1d72eb46 0x0000151e97f417a0 0.0% 0.1% 0.0% cli_xml_request_process
0x0000562a1df983a5 0x0000151e97f69940 0.0% 0.1% 0.0% Checkheaps
من واجهة سطر الأوامر (CLI) الخاصة ب FTD، تم تصدير خرج تفاصيل show conn لاستعراض إحصائيات الاتصال بواسطة أدوات الأتمتة الداخلية.
تحذير: يمكن أن يكون إخراج تفاصيل show conn من واجهة سطر الأوامر طويلا للغاية إذا كان عدد الاتصالات أكثر من 10000. تأكد من تخصيص وقت كاف لهذه المجموعة.
يتوافق disk0 مع /mnt/disk0/ الدليل في الخلفية ل FTD. قم بتصدير الملف وفقا لذلك.
device# show conn detail | redirect disk0:/shconndetMMDDYY.txt
مراجعة إحصائيات الاتصال من نتائج الأداة للوصلات الجنينية بكميات كبيرة:
Total Emryonic Conns: 121611. This is 87.984% of the total conns (138219)
--
Top-5 Embryonic IPs (SYN, but not SYN/ACK - 'aA' flags) going through the device
IP Count Percent
--------------------------------------------------------------
10.5.30.77 81519 33.517%
10.1.30.102 40042 16.463%
10.1.212.14 907 0.373%
10.1.204.4 837 0.344%
10.1.21.122 804 0.331%
بعد تحديد عناوين IP المصدر (في هذه الحالة، ماسحات ضوئية للأمن الداخلي)، منع المصدر من إنشاء حركة مرور البيانات ومسح إتصالاتها من FTD.
device# clear conn add 10.5.30.77
4563 connection(s) deleted.
device# show conn count
5936 in use, 465189 most used
Inspect Snort:
preserve-connection: 4451 enabled, 0 in effect, 432406 most enabled, 0 most in effect
قم بمراقبة إستخدام وحدة المعالجة المركزية (CPU) بعد التخفيف للتأكد من أن السبب تم دفعه بواسطة حركة مرور البيانات.
device# show cpu
CPU utilization for 5 seconds = 9%; 1 minute: 28%; 5 minutes: 70%
يجب أن يعود اتصال حركة المرور إلى وضعه الطبيعي، كما يجب عدم ملاحظة زمن الوصول بعد الآن.
السبب
كان السبب الرئيسي لارتفاع مشاكل وحدة المعالجة المركزية (CPU) والاتصال هو زيادة عدد الوصلات الجنينية الناتجة عن الماسحات الضوئية للأمان الداخلي. هذه الوصلات، وبشكل أساسي حزم SYN بدون استجابات SYN/ACK المقابلة، طغت على عمليتي DataPath و Snort في FTD. وقد أدى الحجم الكبير من الاتصالات غير المكتملة إلى إستهلاك الموارد، مما أدى إلى الاستخدام المستمر المرتفع لوحدة المعالجة المركزية (CPU)، والاتصال المتقطع، والتأثير على الوصول للتطبيقات الحيوية للشركات.
المحتوى ذي الصلة
التعليقات