本帖最后由 陈璨 于 2022-9-11 01:18 编辑
需求:客户反馈web服务器上一直收到源IP是AD的TCP包,需要协助排查原因
环境:AD----交换机----WEB服务器
问题: 服务器上抓包显示AD的一个网口IP一直在和服务器简历TCP连接访问80端口。但是AD上已经禁用了该节点,想知道是谁在通过AD访问服务器。
处理过程:1、 排查AD上的节点、节点池、节点监视器,确认存在针对10.194.200.146的节点监视器。但是该节点已经禁用。
2、 向BBS人工客服确认,节点在禁用之后并不会继续发送监视器包。
3、 在服务器上进行抓包,使用ip.ttl == 63条件对AD自身发的包进行筛选,发现目前AD的LAN口IP仍然在向节点发送tcp包进行握手。遂再次向400工程师确认:即使节点被禁用了,仍然会向节点发送监视器的包。
4、 进入AD后台确认 实时sesion信息,证明确实是AD一直在向web服务器发送监视器报文。 根因:1、 不需追溯
规避方案:1、 节点池中节点即使被禁用了,监视器也会向节点发包。属于正常情况,告知客户即可。 |