晚6:30左右,客户电话联系,公司内部无法正常访问网页,包括百度无法打开(该客户是国内某知名企业软件厂商,但是内部的安全基础建设确实一眼南京啊),第一反应是客户的电信线路又出了问题,该客户为了省钱选择了上海浦东电信某区局推荐的最新宽带产品LPL线路,确实便宜100M上下行对称线路,一个月1500左右搞定,自从换上这个看似物美价廉的线路后,就三天两头出现诡异问题,往往通过拨打10000号或者重启光猫更换光猫(该客户半年更换了4个光猫,中兴的产品)解决掉,甲方联系人也是秉承着你给我做服务了,你就要对我的一切负责原则,在明确是电信线路问题的情况下,依然和我保持黏黏糊糊,娇嗔着说“你要对我负责,你这个负心汉,,,,”
本以为让甲方联系电信可以解决,结果这次不一样,电信上端查询完全正常,换了光猫之后也是如此(电信师傅已经轻车熟路了,该甲方报修就肯定带着光猫过来),遂安排网工小伙去现场排查,一步步排查(解决网络问题利用对AI好用的cot思维链也一样好用),发现有线正常,无线也正常(以前出现过空调出问题导致电磁严重影响无线AP信号发射的问题),心下大喜,这次有点意思啊!做网络运维时间长了,有时候也挺BT,总处理问题会不爽,总处理老问题也不爽,总处理诡异问题也容易早衰,但是总遇不到又会心里痒痒的。
一步步进一步排查,防火墙的cpu高达90%,发现内网一台服务器发布到互联网的端口,与一个外网ip地址建立了几万个链接,而且都是icmp的服务端口,估计是被哪个友商搞ddos攻击了,不过也很奇怪,因为这台服务器只是测试机用于测试新系统的,又不是正式提供生产业务的服务器,花钱攻击这台机器就是有钱没地方花了吗?
因为客户的防火墙上并没有配置任何ips及应用层检测的安全服务,只能通过手动方式给外部地址建立黑名单禁用,连接断掉后,cpu使用率下来了,办公室网络访问也正常了。
如果你以为这就结束了,那么就完全错了,第二天防火墙cpu继续升高,问题依旧,又出现了新的外联地址,隔半小时更换一个,如果防火墙本身具有ips防护模块这个问题处理也就是非常简单,但是现在的问题是啥高级防护工具也没有,甲方又开始娇嗔起来,“我把一切都给了你,啥也不剩,赤诚相待了,你必须负责”,带着脚镣跳踢踏舞,真是难啊。
找到了两台外联的服务器,因为研发的兄弟这两天甲流支原体感染发烧请假,所以不敢轻易安装杀毒软件扫毒(这甲方杀毒软件也舍不得买,用的都是免费的火绒),考虑到这个攻击模式很单一,就是icmp持续建立链接,我只要识别出发动长时间的icmp链接的地址,建立防火墙规则自动阻断掉它就好了,相关需求扔进claude2中,给我一个powershell脚本:
运气不错运行可用,慢慢观察cpu使用率下来了,且测试系统也能正常访问,我这两把刀的水平只能做到这种程度了。
完活,走人,留下一份防火墙ips服务的报价单,深藏功与名。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
