Juniper SRX220防火墙CPU达到100%的故障解决办法

Juniper SRX220防火墙CPU达到100%的故障解决办法

一、背景
2016年5月21日设备巡检时发现广东机构的防火墙SRX220的CPU高达100%，但是设备还能管理，但是卡顿明显，业
务还没有中断。

二、解决办法

1、查看设备的告警信息，没有告警。




2、查看带宽监控查看设备端口流量，均不高。

3、查看设备系统进程。




4、查看设备的日志信息。




5、与厂商工程师沟通，初步判断是由于NTP服务的开启导致该端口被利用，发生在了NTP攻击。

6、关闭NTP配置，设备远程管理不再卡顿，但是CPU依然是100%。

7、得知是被NTP DDOS攻击了，就在设备的Lo0接口上引用filter，配置完毕后设备的CPU恢复正常。

set firewall family inet filter To-ntp term 10 from source-address x.x.79.36/32 //lo0地址
set firewall family inet filter To-ntp term 10 from source-address x.x.2.65/32 //NTP server 地址
set firewall family inet filter To-ntp term 10 from protocols udp
set firewall family inet filter To-ntp term 10 from port ntp
set firewall family inet filter To-ntp term 10 then accept
set firewall family inet filter To-ntp term 20 from protocol udp
set firewall family inet filter To-ntp term 20 from port ntp
set firewall family inet filter To-ntp term 20 then discard
set firewall family inet filter To-ntp term 100 then accept
set interfaces lo0 unit 0 family inet filter input To-ntp

8、配置上NTP配置，CPU依然正常。





三、总结

通过这件事情，让我们看到网络设备在公网的环境里非常的不安全，每一个端口都有可能备被人意

外地发现并利用，幸好及时发现，希望能对读者在今后的运维工作中，有所帮助！