前輩們好,
最近公司外點一直有網路斷線問題...
架構圖如下https://ithelp.ithome.com.tw/upload/images/20220115/20134886q6G3m0g6NV.jpg
電腦都是手動設定固定IP,A棟3樓的9台電腦不定時會無法上網(非固定台),會顯示無法辨識的網路(使用內建的診斷會提示無法使用預設的閘道),當下做的處理如下
A(可上網電腦)B(無法上網電腦)
1.將A、B電腦網路線交換=>A還是可以上網、B還是無法上網
2.B電腦更換交換器上的PORT=>無法上網
3.B電腦 Ping 3樓交換器IP=>有通 Ping 防火牆IP=>不通
4.後來突然所有設備都無法上網,於是將防火牆重開=>不通(到交換器有通)
5.所有設備全部重開=>全部都正常
過了一個晚上,今天在不同的電腦C又發生一樣的問題...過了半小時D電腦也無法上網Orz
不曉得到底是哪裡出了問題,想詢問前輩們可能是哪裡出了問題..如有需要測試什麼或需要什麼資訊小弟盡快補上。
已邀請的邦友 {{ invite_list.length }}/5
從圖中與您的描述看所有樓層與兩棟的網路都是統一經過FG30E防火牆,似乎都是只有提到A棟3F無法上網直指CS1910交換器與FG30E之間的狀況,而FG30E對其他的交換器並無此狀況,而您說的A電腦可以上上網是指A棟3F在CS1910交換器下嗎?另外有以下問題思考:
如果熟Fortigate的運作
粗略一看會說這是DDoS攻擊
不過缺少相關的政策及介面說明
同時也不知是否單一IP或眾多IP來源
所以又仔細看了一下,結果...
如果最近沒有電腦中毒的情況
(在下猜測可能性比較低)
應該就是DDoS的Policy設定有誤
之前樓主說防火牆都是由總公司設定
那就請總公司來解決一下,精進設定
如果是新買的防火牆
就請SI來協助一下,技術支援
如果是樓主自己設的
回想一下到底設了什麼才開始有這種現象
感謝前輩的回覆,
最近防火牆的政策都沒有改變(其實是一直都以來都沒變)
最近有做的動作只有印表機廠商來裝FTP程式設定每台電腦可以直接掃描至User的D槽(不曉得跟這個有沒有關係?)因為裝好隔天就出現問題
還想請教前輩說的"缺少相關的政策及介面說明 同時也不知是否單一IP或眾多IP來源"這部分是需要哪個資訊呢?
昨天還發現原本是B電腦有攻擊紀錄(無法上網)改了IP後就正常了結果換成C電腦來對A電腦發出上圖的攻擊紀錄然後C電腦無法上網..
雖然已經約好總公司的資訊協助了~還是想知道一下相關的知識,再請前輩告知,謝謝。
假如裝了某東西才開始出現問題,就從這方面著手吧
畢竟你等於架設一個FTP SERVER
就有可能導致異常的連入紀錄等等,也有可能觸發DDOS的判定
常態發生不能上網的電腦
事務機的FTP匯出設定後刪除試試看,
看有沒有改善就可以知道了
單一IP或眾多IP來源
是樓主貼上的LOG,source被遮掩,主要希望知道是否Log紀錄都都是同一來源,還是有很多來源,不須知道確實IP位置,是要判斷攻擊狀況
缺少相關的政策及介面說明
看不出是從哪個介面到哪個介面的攻擊,判斷攻擊方向有時很重要
因沒有看到DDoS的設定內容,在下主觀判斷主要原因為
"DoS的Policy設定有誤",需針對設定來做研究情況
在下先前也猜可能因為印表機的緣故,但
網路查修需要多方資訊研判,有時很難隔空抓藥
樓主如果對以上所述仍不清楚
可以站內私訊後直接告知判斷錯誤為何
這個問題比較像有設備再發送DHCP。
根據上述所有回答及討論資訊,將A電腦先實體線路斷網,然後看看情況有沒有改善,
如果防火牆兼有內部網路routing的功能,是必須要檢查的地方
因為你有表示電腦都是用固定IP,所以你可以先做1個測試。把一台電腦由固定IP 改成用DHCP,然後看會不會 得到 DHCP Server 所配發的IP,這樣就會知道是不是 不定時,IP 相沖的問題了。
我也覺得看起來很像IP衝突的感覺....
如果之後確實是這個問題,要再Switch這端在DHCP snooping,阻止非公司的DHCP Server發送IP。
https://community.zyxel.com/tw/discussion/10287/
如果Fortigate show TCP SYN flood log, 那就朝這方向查一下.
只是你說的A, B, C電腦都在同一網段嗎? 如果是, 如果那A, B, C真的互相攻擊, 那Fortigate也看不到, 因為在同一網段.
另外, 你說.. "最近有做的動作只有印表機廠商來裝FTP程式設定每台電腦可以直接掃描至User的D槽(不曉得跟這個有沒有關係?)因為裝好隔天就出現問題"
這句話是什麼意思? "FTP程式設定每台電腦可以直接掃描至User的D槽" ??
感謝前輩的回覆,
後來發現是新增的一台WIFI機有問題,停用後就正常了
廠商安裝的是Quick'n Easy FTP Server這個程式
讓User們能在印表機上選擇自己的電腦IP後將資料直接掃進D槽的資料夾
哇, WiFi機可以造成這種現象也是前所未聞了. 反過來請你分享更多細節了 !
小弟也不知道什麼問題..詢問總公司的資訊和廠商後回覆是"應該是某台電腦有使用某些小程式",造成中毒來發動攻擊,請我查該區的電腦,若查不到最壞的情況是全部重灌..但因為每一台電腦都有安裝防毒軟體,所以小弟認為應該不是這個狀況..
於是回想那幾天有做了兩件事情
1.請廠商協助安裝Quick'n Easy FTP Server
2.新增一台WIFI機
因為其他分點也都有安裝Quick'n Easy FTP Server都沒這個問題,所以從2.來測試,結果一把WIFI機斷線就世界和平了...
整理所有的狀況如下
該區約有10台電腦,突然A電腦無法上網(對內對外接不行),於是開始查修的旅程..原以為是A電腦網卡壞掉,正當要買外接網卡時突然該區所有電腦全部斷線,先重開交換器>無效,於是重開防火牆,第一次重開所有LAN燈號都不亮,再將所有設備重開後燈號正常且所有電腦也可正常上網..
隔天早上User回報換B電腦無法上網,這時才察覺可能是防火牆有問題,於是進入網頁介面發現有異常,將B電腦IP更改後可正常使用,接著過了半小時換C電腦無法上網...後來發現該區電腦會輪流對A電腦發出攻擊,導致IP被封鎖(防火牆上顯示的訊息),於是求救總公司、廠商後被告知應該是中毒..最後回想那幾天有做哪些事情,且有幾位前輩也回覆說可能是有設備啟用DHCP,於是把WIFI機斷線後就正常了。
小弟雖菜但確定該WIFI機DHCP是關閉的,所以最後到底是什麼問題,小弟也無法解釋..
(不好意思,做了很多處理,小弟僅能盡量說明)
iThome鐵人賽
看影片追技術
