年后上班,公司很多同事反馈访问文件共享服务器很慢,外网断网现象。我立马想到Juniper防火墙,登陆上去看,哇!会话数状态显示红色告警了。
通过Telnet命令连接到防火墙,通过get session命令查看会话情况,显示太多了,很难识别哪些IP会话数的具体情况。这里介绍一款Juniper sessions 分析工具:NSSA。
1.配置TFTP服务器
下载好TFTP服务器程序,打开主程序,做如下简单设置。
1)Current Directory:导出文件存放路径。
2)Server interface:服务器地址,一般选择本机。
2.telnet 到防火墙,导出nss文件到本地。
1)进入防火墙命令:telnet Juniper IP地址;如:telnet 192.168.0.4 回车
2)导出nss文件到本地命令:get session > tftp TFTP服务器IP *.nss;实例:get session > tftp 192.168.48.51 test0.nss 然后回车,执行结果如下
3.打开NSSA主程序,导入刚才导出的nss文件,分析会话连接。
1)导入文件后,可以调整“Number of Results displayed:”显示会话连接数目标最多的数量,顺序为从大到小排列。
2)鼠标右键“Select All”->"Delete"删除显示结果,单击左边“Source IP”等按钮可以查看相关信息。
本案例可以看出,超过500会话的IP电脑都是可疑的。这样就能一目了然的排查出那些设备可疑了。
经过实际确认这些会话数超过1000的电脑都中毒了,立马杀毒。最终防火墙会话恢复正常了。
附:文中使用到的工具链接: https://pan.baidu.com/s/1OKmn2TAqv8xDiGbBssK-Pw 提取码: 892m
