【求助】PIX 过载是何原因？是否遭受攻击？

fairysky

公司PIX有些异常
CPU使用率30％
内存使用率99％

请问是否因为配置太多造成的？还是有遭受攻击的嫌疑？但是遭受攻击的话，应该是CPU打满，而不该是内存啊.

请问如何做troubleshooting？

谢谢！

ziggler

查看日志？

fairysky

PIX#show logging
Syslog logging: enabled
    Facility: 20
    Timestamp logging: enabled
    Standby logging: enabled
    Debug-trace logging: disabled
    Console logging: disabled
    Monitor logging: disabled
    Buffer logging: level warnings, 9990570 messages logged
    Trap logging: level informational, facility 20, 184951462 messages logged
        Logging to inside 10.225.68.66
    History logging: disabled
    Device ID: disabled
    Mail logging: disabled
    ASDM logging: level informational, 184951472 messages logged
, 0x0]
Jun 26 2009 15:35:40: %PIX-4-106023: Deny udp src wan:10.236.145.173/26872 dst inside:10.225.80.67/6004 by access-group "aclwan" [0x0, 0x0]
Jun 26 2009 15:35:40: %PIX-4-106023: Deny udp src inside:10.225.68.22/137 dst wan:10.225.161.62/137 by access-group "aclinside" [0x0, 0x0]
Jun 26 2009 15:35:40: %PIX-4-106023: Deny udp src wan:10.236.133.23/4301 dst inside:10.225.68.15/161 by access-group "aclwan" [0x0, 0x0]
Jun 26 2009 15:35:40: %PIX-4-106023: Deny udp src wan:10.236.133.23/4301 dst inside:10.225.68.15/161 by access-group "aclwan" [0x0, 0x0]
Jun 26 2009 15:35:41: %PIX-4-106023: Deny tcp src Merck:10.225.73.115/2747 dst outside:125.251.26.196/80 by access-group "aclMek" [0x0, 0x0]
Jun 26 2009 15:35:41: %PIX-4-106023: Deny udp src inside:10.225.68.22/137 dst wan:219.70.55.2/137 by access-group "aclinside" [0x0, 0x0]
Jun 26 2009 15:35:41: %PIX-4-106023: Deny tcp src inside:10.225.106.185/1118 dst outside:213.61.45.102/1820 by access-group "aclinside" [0x0, 0x0]
Jun 26 2009 15:35:41: %PIX-4-106023: Deny tcp src wan:10.237.125.70/4078 dst inside:10.225.68.3/445 by access-group "aclwan" [0x0, 0x0]
Jun 26 2009 15:35:41: %PIX-4-106023: Deny tcp src wan:10.236.145.244/3378 dst inside:10.225.68.3/445 by access-group "aclwan" [0x0, 0x0]
..............

只是一些不符合指定ACL而被deny的记录，请问接下来该怎么查？或者查些什么？

[ 本帖最后由 fairysky 于 2009-6-26 15:46 编辑 ]

fairysky

# show perfmon detail
PERFMON STATS:                     Current      Average
Xlates                              115/s          2/s
Connections                         249/s          2/s
TCP Conns                           225/s          0/s
UDP Conns                            20/s          3/s
URL Access                           96/s          0/s
URL Server Req                      124/s          3/s
TCP Fixup                          1824/s          0/s
TCP Intercept Established Conns       0/s          0/s
TCP Intercept Attempts                0/s          0/s
TCP Embryonic Conns Timeout           0/s          0/s
HTTP Fixup                         1824/s          0/s
FTP Fixup                             0/s          0/s
AAA Authen                            0/s          0/s
AAA Author                            0/s          0/s
AAA Account                           0/s          0/s

VALID CONNS RATE in TCP INTERCEPT:    Current      Average
                                       N/A         100.00%
SETUP RATES:
Connections for 1 minute = 113/s; 5 minutes = 123/s
TCP Conns for 1 minute = 93/s; 5 minutes = 104/s
UDP Conns for 1 minute = 16/s; 5 minutes = 15/s

fairysky

# show cpu usage
CPU utilization for 5 seconds = 22%; 1 minute: 21%; 5 minutes: 22%

# show memory
Free memory:        32071792 bytes (11%)
Used memory:       262286304 bytes (89%)
-------------     ----------------
Total memory:      294358096 bytes (100%)

请各位多多指点，谢谢！

cnadl

reload

ssffzz1

贴进程列表，命令忘记了。

marsteel

先升级pix image，啊哈

fairysky

原帖由 a74957912 于 2009-6-27 21:03 发表
防火墙的话。 内存多过。大多是因为。活动连接过多。 或者你的有启用NAT 而NAT的连接是会占用内存的。

一般防火墙都启用NAT的吧。
如果是因为活动连接过多，那有什么解决方案吗？