# 【WMS-UTR项目】站点接入大量UDP重复流量

| ID | Creation Date | Assignee | Status |
|----|----------------|----------|--------|
| OMPUB-1300 | 2024-05-22T12:01:26.000+0800 | 牛翔 | 开放 |


---

以msh-tsgx03（172.18.10.165）为例，监控显示自5月18日13:00左右起，udp流量呈明显上升趋势，从原来的接近0Gbps，上升至峰值接近40Gbps，同时大量流量均为重复包。

!anydesk00000.png|width=402,height=226!!anydesk00002.png|width=408,height=229!

对应的NZ上设备监控项如下：

!image-2024-05-22-12-03-59-750.png|width=496,height=381!!image-2024-05-22-12-04-15-536.png|width=468,height=348!

在对应设备上随机捕获1万个udp包（[^udp.pcap]），发现均为SIP流量，且大部分为重复的包，存在如下两种情况的重复：

!image-2024-05-22-12-00-49-959.png|width=602,height=252!
 # 数据包完全重复
 # 四元组翻转后重复，即除源目的IP+Port翻转外，其他信息（IPID，Checksum，Payload）完全相同

[~niuxiang] 麻烦确认重复的问题，是由于前置分流设备错误配置，还是接入的原始流量存在异常**niuxiang** commented on *2024-05-22T17:07:30.995+0800*:

[~liuyang] [~yangwei]，我找何老师确认了，系统在MSH和PCAP站点接入了SIP协议流量。5月18日用户在TWA、PCAP、MSH的华为DPI下了SIP协议的Deny策略，开了一些IP白名单，这些IP主要分布在MSH、PCAP的链路里，所以我们收到的SIP协议流量就增大了。重复流量的事，我已经跟何老师说，他已经联系赛克去处理了。



---



## Attachments

**58181/anydesk00000.png**

---

**58180/anydesk00002.png**

---

**58178/image-2024-05-22-12-00-49-959.png**

---

**58183/image-2024-05-22-12-03-59-750.png**

---

**58184/image-2024-05-22-12-04-15-536.png**

---

**58179/udp.pcap**

---