Dead Packets

25/11/2010

Diagnóstico para alta de CPU

Filed under: juniper — drak @ 5:20 PM

Analizar a causa de um problema de CPU nem sempre é fácil, alguns fatores comuns são uma taxa alta de sessões por segundo, muitos pacotes sendo bloqueados ou uma política de firewall muito extensa e com a maioria dos matches na última regra. Além disso, mesmo que seja determinado que a alta CPU se deve a tráfego legítimo como identificar qual fluxo está comprometendo o ambiente ? A Juniper provê uma ferramenta que facilita esta identificação, basicamente você ativa o debug com dois comandos:

set fprofile packet enable
set fprofile packet start

Analise o resultado da seguinte maneira:

clu-lab:fw-lab(M)-> get fprofile packet
packet buffer size(in kilo-packets): 8
total ip packet: 8189
total ip packet time(us): 280064
total none-ip packet: 3
total none-ip packet time(us): 396
 Id  Type        Protocol    Source            Destination             Sport       Dport        Time  Percentage
 1  ip          0x11        192.168.242.6     192.168.242.16          1330          80      278220  99.20%
 2  ip          0x06        192.168.44.102    192.168.242.27         22427        7800         765   0.00%
 3  ip          0x06        192.168.242.30    192.168.145.93            22       23040         516   0.00%
 4  ip          0x06        192.168.1.150     192.168.145.93          3389       10368         266   0.00%
 5  none-ip     0x8133      00:26:88:00:ac:0b             10:db:f0:f0:f0                       254   0.00%
 6  none-ip     0x8133      00:26:88:00:ab:8b             10:db:f0:f0:f0                       142   0.00%
 7  ip          0x06        192.168.145.93    192.168.242.30         23040          22         122   0.00%
 8  ip          0x06        192.168.1.150     192.168.145.93          3389       36448          90   0.00%
 9  ip          0x06        192.168.145.93    192.168.242.16         10368        3389          47   0.00%
 10  ip          0x06        192.168.145.93    192.168.242.16         36448        3389          38   0.00%
clu-lab:fw-lab(M)->

Acima podemos ver que a CPU está alta por causa do ataque de UDP flood (protocol 0x11 = 17 em hexa)
E para finalizar o debug:

unset fprofile packet enable

Lembrando que qualquer comando de debug deve ser usado com cautela pois pode piorar ainda mais o problema de CPU alta.

Referências
What is causing High “FLOW” CPU Utilization? (ScreenOS 5.x and later)
How to run Packet Profiling on firewall to determine cause of High “FLOW” CPU (ScreenOS 6.x)

Anúncios

Deixe um comentário »

Nenhum comentário ainda.

RSS feed for comments on this post. TrackBack URI

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Crie um website ou blog gratuito no WordPress.com.

%d blogueiros gostam disto: