故障描述
USG9560部署在校園網出口,學校內部DNS服務器和外界DNS同步業務中斷,在外部PC使用telnet命令測試內網DNS服務器53端口的時候發現53端口不通。
故障分析
USG9560開啟DNS flood防攻擊功能以后,如果USG收到的外部DNS服務器發送的 UDP端口為53的包超過設定的值后,DNS會偽造一個TCP報文發給外部DNS服務器,該報文ACK的值非常大,如果外部服務器回應該TCP包,USG則將該外部服務器的IP加入白名單,允許其UDP報文通過,但是USG偽造的TCP報文,可能會被對端防火墻丟棄,導致業務不通.
處理過程
在USG9560上行口抓包,發現防火墻已經將構造的TCP報文發出,但是對方并沒有回應,報文被中間鏈路丟棄.
建議/總結
無