请选择 进入手机版 | 继续访问电脑版
设为首页收藏本站

艾泰讨论区

 找回密码
 註冊

QQ登录

只需一步,快速开始

搜索
查看: 26417|回复: 13

日志信息详解

 关闭 [复制链接]
发表于 2012-8-14 15:16 | 显示全部楼层 |阅读模式
V12版本,系统状态 -> 日志管理 页面,记录了大量的路由器运行信息以及内网的一些异常告警信息,这些信息对了解路由器的运行状况以及故障诊断有很大的好处。

现对异常告警信息、设备运行状态、拨号信息等方面进行整理,方便各位查阅,后续会依用户的提问不断补充完善,谢谢。






 楼主| 发表于 2012-8-14 15:37 | 显示全部楼层
nat exceeded 192.168.16.221    / NAT会话超限

    为了防止DDoS攻击,网络安全 ->连接限制,定义了每个IP同时能够并发的NAT会话的数量(默认TCP 2200/UDP 2200条),如果某IP使用的NAT会话超过了这个数字,那么就会出现“nat exceeded”的提示,同时在系统状态 -> NAT统计页面会有该IP的“超限次数”的计数。

可能成因:
1、蠕虫病毒的dos攻击,比如冲击波、sql蠕虫等;
2p2p软件/游戏等刚开始连接远端的时候,会发出很多连接,往往这时候会话可能超限,一段时间后**/游戏真正开始的时候会恢复正常;
3、用户正在上网,使用了几百条会话,该用户的电脑突然死机/断电,那么它原来的几百条会话仍然会保留在路由器的NAT列表内,直到超时。此时该用户再次上网,如果前面的会话仍然未超时,就容易出现超限的现象。

    如果需要知道该用户究竟是因为什么原因导致该消息出现,可以在消息发生的当时在 系统状态 -> 上网监控 页面,选择“内网地址”条件查询一下该IP所发生的上网行为。

回复

使用道具 举报

 楼主| 发表于 2012-8-14 15:19 | 显示全部楼层
异常告警信息

mac new 00:e0:4c:8b:08:47   
mac old 00:e0:4c:8b:25:eb   
arp spoof 192.168.1.26   / IP 地址的MAC地址发生变化

可能成因:
1、某内网设备安装了双网卡某些网络内部的服务器安装了双网卡,并且使用了双网卡捆绑软件,将两块网卡绑定在同一个IP地址,以提高服务器的网络吞吐能力,因为两块网卡的MAC地址不同,所以在历史记录里面可以看到多条(每条信息的mac oldmac new和下一条相同)该IP地址的MAC地址变化信息。
2、某网络设备MAC地址发生变化网络内部某个设备更换了网卡(或者修改了MAC地址),在历史记录里面可以看到一条IP地址的MAC地址变化信息。
3、ARP欺骗攻击网络内部存在ARP欺骗木马,在历史记录里面看到多条(每条信息的mac old相同或每条信息的mac new相同)该IP 地址的MAC地址变化信息

回复

使用道具 举报

 楼主| 发表于 2012-8-14 15:22 | 显示全部楼层
mac new 00:e0:4c:8b:08:47
ip inuse 192.168.1.26

可能成因:
1、网络内部存在ARP欺骗,但是因为设备上绑定了用户的ip/mac地址,所以欺骗无效。需要注意的是,ARP欺骗对内网的主机同样起到欺骗作用,如果此时pc上也绑定了ip/mac地址,则ARP欺骗不起作用。
2、网络内部存在两台IP地址一样,但是mac地址不同的网络设备。

回复

使用道具 举报

 楼主| 发表于 2012-8-14 15:27 | 显示全部楼层
arp spoof 00:22:aa:40:17:11  
ip inuse 192.168.1.1    / IP地址冲突

如果ip inuse后面的IP地址就是设备的LAN 口 IP地址,有两个可能性:
1、网络内部有其他网络设备也配置了192.168.1.1ip地址,和设备的lan口冲突
2、网络存在arp欺骗
以上两点,如果网内的主机和路由器之间相互绑定了ARP 信息的话,则不受影响。

同时,如果arp spoof 后面的MAC地址就是设备的LAN 口 MAC地址,可能的原因:
1、内网存在环路,建议检查**机或者网线;
2、绑定了路由器 LAN口的 MAC地址。


回复

使用道具 举报

 楼主| 发表于 2012-8-14 15:32 | 显示全部楼层
dhcp:ip conflicted arp:192.168.16.47    / DHCP地址冲突

可能成因:
DHCP Server在准备分配IP地址192.168.16.47给某用户时,发现该IP在内网已存在,系统会再次分配其他IP地址给用户。

回复

使用道具 举报

 楼主| 发表于 2012-8-14 15:41 | 显示全部楼层
arp  exceeded 192.168.18.254    / ARP请求超过系统限制

可能成因:
1、网内主机数量超过系统的限制的arp表最大值,超过的ip地址将被显示出来,此时该用户将无法正常上网;
2、网络内部有人使用arp dos或者arp 扫描软件(p2p终结者等),此时在 系统状态 ->NAT统计 页面,可以观察此IP发送的广播包数量很大,攻击的时候,因为arp表已满,将影响新用户通过设备上网。


回复

使用道具 举报

 楼主| 发表于 2012-8-14 15:45 | 显示全部楼层
nat host exhausted192.168.1.253
spoof ip detected ip=192.168.1.253   / IP为发送伪造源地址(攻击)的地址

可能原因:
内网存在伪造源地址攻击,将影响新用户通过设备上网。重启路由器可暂时解决问题。可在 网络安全 -> 攻击防御 页面,启用IP欺骗防御。


blast wave detected ip=192.168.1.253       / IP为发送冲击波病毒的主机地址

可能原因:
内网存在冲击波病毒攻击,可在 网络安全 -> 攻击防御 页面,启用冲击波病毒防御。


回复

使用道具 举报

 楼主| 发表于 2012-8-14 15:50 | 显示全部楼层
DHCPS: server conflict conflict ip=192.168.0.241,mac=00:1e:8c:3b:0e:27    / DHCP 服务器冲突

可能原因:
内网有多台DHCP服务器存在,ip=192.168.0.241,mac=00:1e:8c:3b:0e:27 的电脑,开启了DHCP 服务。

回复

使用道具 举报

 楼主| 发表于 2012-8-14 16:06 | 显示全部楼层
DHCPS: no ip in pool: pool1    /DHCP地址池耗尽

可能原因:
DHCP地址池内的IP都已分配出去,无IP地址可分配,可在 基本配置 -> DHCP配置 页面调大DHCP地址数。


回复

使用道具 举报

 楼主| 发表于 2012-8-14 16:25 | 显示全部楼层
DHCPS: MAX Client ignore new client    / 资源耗竭

可能原因:
ARP缓存表被占满,重启路由器可以解决该问题。

回复

使用道具 举报

 楼主| 发表于 2012-8-15 15:39 | 显示全部楼层
线路检测信息

Rt Down 221.12.134.145/eth2   /该物理端口上所配置的路由中断
Rt Up 221.12.134.145/eth2      /该物理端口上所配置的路由生效

可能成因:
1Rt Down 双线路固定/动态ip接入的时候,开启线路检测,若发现线路符合中断的条件,该条外线将被断开
2、Rt Up 中断以后,若线路符合的恢复条件的时候,该线路将自动恢复

备注:ethx  表明的是线路接口,eth2 -> WAN1,eth3 -> WAN2
检测方式一般以ping为主,故配置检测目标时请确认是否响应ping。

若Up、Down 频繁出现,会影响内网的上网,建议单机测试外网线路是否稳定。






回复

使用道具 举报

 楼主| 发表于 2012-8-15 16:03 | 显示全部楼层
拨号信息详解

Session Down dial_01   // 连接挂断dial_01 PPPoE拨号线路

Call Terminated @clearSession:117   // 呼叫失败,一般为线路故障

Outgoing Call @61:118-245   // 连接开始呼出

PPPoE Up 00:25:9e:d4:37:ac   // PPPoE 成功与设备为00:25:9e:d4:37:ac 建立连接

Call Connected@_netiNetworkStateChanged:6244, on Line 1, on Channel 0   
// 物理层/链路层连接完成,但IP仍不可使用

Session Up dial_01   // PPPoE拨号连接成功

回复

使用道具 举报

 楼主| 发表于 2012-10-18 09:47 | 显示全部楼层
内网告警信息

Attack icmp attack,icmppps = 8675,icmpLimit = 100
Attack 192.168.0.43
is offline

针对内网 IP 做了 会话限制(TCP/UDP/ICMP),若超过了限制,会有所提示,并对IP地址做短时间的限制网络。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 註冊

本版积分规则

Archiver|手机版|小黑屋|艾泰讨论区 ( 沪ICP备05037453号  

GMT+8, 2022-8-8 18:32 , Processed in 0.141696 second(s), 22 queries .

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表