60 lines
1.8 KiB
Markdown
60 lines
1.8 KiB
Markdown
# 【WMS-UTR项目】站点接入大量UDP重复流量
|
||
|
||
| ID | Creation Date | Assignee | Status |
|
||
|----|----------------|----------|--------|
|
||
| OMPUB-1300 | 2024-05-22T12:01:26.000+0800 | 牛翔 | 开放 |
|
||
|
||
|
||
---
|
||
|
||
以msh-tsgx03(172.18.10.165)为例,监控显示自5月18日13:00左右起,udp流量呈明显上升趋势,从原来的接近0Gbps,上升至峰值接近40Gbps,同时大量流量均为重复包。
|
||
|
||
!anydesk00000.png|width=402,height=226!!anydesk00002.png|width=408,height=229!
|
||
|
||
对应的NZ上设备监控项如下:
|
||
|
||
!image-2024-05-22-12-03-59-750.png|width=496,height=381!!image-2024-05-22-12-04-15-536.png|width=468,height=348!
|
||
|
||
在对应设备上随机捕获1万个udp包([^udp.pcap]),发现均为SIP流量,且大部分为重复的包,存在如下两种情况的重复:
|
||
|
||
!image-2024-05-22-12-00-49-959.png|width=602,height=252!
|
||
# 数据包完全重复
|
||
# 四元组翻转后重复,即除源目的IP+Port翻转外,其他信息(IPID,Checksum,Payload)完全相同
|
||
|
||
[~niuxiang] 麻烦确认重复的问题,是由于前置分流设备错误配置,还是接入的原始流量存在异常**niuxiang** commented on *2024-05-22T17:07:30.995+0800*:
|
||
|
||
[~liuyang] [~yangwei],我找何老师确认了,系统在MSH和PCAP站点接入了SIP协议流量。5月18日用户在TWA、PCAP、MSH的华为DPI下了SIP协议的Deny策略,开了一些IP白名单,这些IP主要分布在MSH、PCAP的链路里,所以我们收到的SIP协议流量就增大了。重复流量的事,我已经跟何老师说,他已经联系赛克去处理了。
|
||
|
||
|
||
|
||
---
|
||
|
||
|
||
|
||
## Attachments
|
||
|
||
**58181/anydesk00000.png**
|
||
|
||
---
|
||
|
||
**58180/anydesk00002.png**
|
||
|
||
---
|
||
|
||
**58178/image-2024-05-22-12-00-49-959.png**
|
||
|
||
---
|
||
|
||
**58183/image-2024-05-22-12-03-59-750.png**
|
||
|
||
---
|
||
|
||
**58184/image-2024-05-22-12-04-15-536.png**
|
||
|
||
---
|
||
|
||
**58179/udp.pcap**
|
||
|
||
---
|
||
|