admin/geedge-jira
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
6a8bfef5778fc7ddd06fa05776bf1ecd0f61d4c4
geedge-jira/md/OMPUB-1300.md
hello 46daec8ae4 first
2025-09-14 21:52:36 +00:00

1.8 KiB
Raw Blame History

【WMS-UTR项目】站点接入大量UDP重复流量

ID Creation Date Assignee Status
OMPUB-1300 2024-05-22T12:01:26.000+0800 牛翔 开放

以msh-tsgx03172.18.10.165为例监控显示自5月18日13:00左右起udp流量呈明显上升趋势从原来的接近0Gbps上升至峰值接近40Gbps同时大量流量均为重复包。

!anydesk00000.png|width=402,height=226!!anydesk00002.png|width=408,height=229!

对应的NZ上设备监控项如下

!image-2024-05-22-12-03-59-750.png|width=496,height=381!!image-2024-05-22-12-04-15-536.png|width=468,height=348!

在对应设备上随机捕获1万个udp包[^udp.pcap]发现均为SIP流量且大部分为重复的包存在如下两种情况的重复

!image-2024-05-22-12-00-49-959.png|width=602,height=252!

数据包完全重复

四元组翻转后重复即除源目的IP+Port翻转外其他信息IPIDChecksumPayload完全相同

[~niuxiang] 麻烦确认重复的问题,是由于前置分流设备错误配置,还是接入的原始流量存在异常niuxiang commented on 2024-05-22T17:07:30.995+0800:

[~liuyang] [~yangwei]我找何老师确认了系统在MSH和PCAP站点接入了SIP协议流量。5月18日用户在TWA、PCAP、MSH的华为DPI下了SIP协议的Deny策略开了一些IP白名单这些IP主要分布在MSH、PCAP的链路里所以我们收到的SIP协议流量就增大了。重复流量的事我已经跟何老师说他已经联系赛克去处理了。

Attachments

58181/anydesk00000.png

58180/anydesk00002.png

58178/image-2024-05-22-12-00-49-959.png

58183/image-2024-05-22-12-03-59-750.png

58184/image-2024-05-22-12-04-15-536.png

58179/udp.pcap