#信服智创#【排障经验】防火墙会话数每5分钟飙升4万+：一次AC"全网扫描"引发的伪攻击事件

防火墙会话数每5分钟飙升4万+：

一次AC“全网扫描”引发的伪攻击事件

摘要：
一次例行巡检，发现AF会话数每5分钟飙升至4W+，特征极像内网扫描攻击。然而，最终定位的源头，竟是“自己人”。本文完整复盘了从误判到根因的排查过程，并总结了此类问题的通用排查思路。

目录：
一、异常现象：一次“脉冲式”的会话风暴
二、网络拓扑
三、陷入误区：所有证据都“指向攻击”
四、关键转折：从AF会话中，锁定了“意料之外”的源IP
五、现场验证：在AC上发现了“致命”配置
六、根因分析：一次“能力失控”的放大效应
七、问题本质：不是攻击，而是配置与能力的错配
八、解决方案与优化建议
九、效果验证
十、经验总结



一、异常现象：一次“脉冲式”的会话风暴
在某政企项目例行巡检中，发现AF防火墙的会话监控出现极端异常：
1、周期性触发：大约每5分钟一次
2、瞬时飙升：会话数从正常基线急剧攀升至4W+
3、脉冲式回落：峰值仅持续数秒，随后迅速恢复正常


更关键的是流量特征：目的IP高度离散，覆盖全网段，无任何单一目标。


初步判断：在安全经验中，“周期性 + 瞬时高并发 + 全网分散IP”几乎可以直接等同于——内网横向扫描、蠕虫行为或自动化探测攻击。排查自然朝着“定位内网失陷主机”的方向开始。





二、网络拓扑
Internet
  ↓
深信服AF防火墙
  ↓
深信服AC行为管理
  ↓
核心交换机
  ↓
内网终端




三、陷入误区：所有证据都“指向攻击”
首先验证了两个最可能的攻击模型：
1、内网主机失陷：是否存在中毒终端、扫描脚本或异常进程？
2、外部攻击回流：外部扫描器周期性探测？或策略误触发导致流量反射？


最大的迷惑点：“周期性 + 瞬时高并发 + 目的IP分散”这三个特征，在安全领域几乎天然等价于“扫描攻击模型”。这让我在初期浪费了不少时间。




四、关键转折：从AF会话中，锁定了“意料之外”的源IP
为了验证攻击假设，对AF峰值时段的会话日志进行了源IP聚合分析。

结果令人意外：
1、Top异常会话源IP高度集中
2、唯一持续触发异常行为的IP是：172.16.X.X
3、通过ARP及MAC地址追溯，最终确认该IP对应的设备为——深信服AC行为管理。


结论反转：问题不是来自外部攻击或内网病毒，而是内部设备自身的行为异常。




五、现场验证：在AC上发现了“致命”配置
登录AC，直奔终端识别与资产扫描模块。
在“终端发现配置”中，找到了直接原因：


扫描范围被错误配置为：0.0.0.0 - 255.255.255.255


这意味着：AC在执行资产发现时，没有限制在任何边界内，而是对所有IPv4地址发起了主动探测。


六、根因分析：一次“能力失控”的放大效应
1、AC扫描机制原理
AC通过主动探测实现资产识别，核心技术包括TCP/IP指纹识别（类似nmap）、SMB协议探测、SNMP信息采集及ONVIF设备识别等，本质上是一个多协议并发主动探测模型。


2、会话数爆炸的形成机制
AF防火墙基于“五元组”建立会话，当叠加以下两个因素时，问题爆发：
因素一：扫描范围失控：0.0.0.0 - 255.255.255.255等于对全网发起无边界探测。
因素二：多协议并发探测：针对每个IP，AC会同时发起SMB、SNMP、ICMP等多种协议的连接尝试。


最终结果：在极短时间内，AC轮询成千上万个IP，每个IP触发多条会话，导致AF的会话表瞬间膨胀，表现为数万级的“伪攻击”峰值。


3、周期性来源
进一步检查发现，该扫描是AC上配置的定时资产发现任务。这完美解释了为什么在AF侧观察到每5分钟一次、短暂而规律的脉冲。



七、问题本质：不是攻击，而是配置与能力的错配
本事件并非安全攻击，而是：
一个正常的扫描能力，在错误配置下，与防火墙会话机制叠加后，引发的资源放大效应。

1、功能层：AC终端扫描（正常能力）
2、配置层：扫描范围严重错误（核心根因）
3、网络层：AF会话机制如实记录，形成“会话洪峰”




八、解决方案与优化建议
1、根因修复
将AC的终端扫描范围调整为实际业务网段，例如 172.16.0.0/16。
核心原则：扫描范围必须严格匹配你的网络边界。


2、长期优化建议
控制扫描范围：避免使用“0.0.0.0”或远大于实际规模的网段。
按需启用扫描策略：在终端规模较小或对实时性要求不高的环境，建议关闭自动扫描，仅在需要资产盘点时手动触发，完成后关闭。


九、效果验证
完成配置修改后，持续观察AF监控视图：
1、会话数恢复正常水平，不再出现数万级突发峰值
2、周期性波动完全消失
3、问题得到彻底解决，业务访问无任何影响。





十、经验总结
1、“像攻击”的不一定是攻击：
周期性+高并发+全网分布是典型的迷惑特征，但根源可能是内部自动化组件。


2、安全设备可能“放大”彼此影响：
本案例中，AC的扫描行为被AF以会话形式完整记录，两者叠加形成了意外的“会话洪峰”。


3、功能本身无问题，边界决定安全性：
终端扫描是有效能力，但必须满足“范围合理、策略可控、与网络规模匹配”的前提。


4、排障必须尽快锁定流量源头：
如果只盯着防火墙侧分析，容易陷入流量表象。真正的突破点在于——快速锁定源IP，并回溯到发起行为的真实设备。

5、这类问题在实际项目中具有较强的“迷惑性”：
表象类似攻击、行为却来源于内部设备、根因隐藏在配置细节中


6、对工程师而言，真正的能力差异不在于“是否识别告警”，而在于：
是否能穿透流量表象，回到设备行为本身

感谢投稿，已收录文章！