故障描述
USG9560部署在校园网出口,学校内部DNS服务器和外界DNS同步业务中断,在外部PC使用telnet命令测试内网DNS服务器53端口的时候发现53端口不通。
故障分析
USG9560开启DNS flood防攻击功能以后,如果USG收到的外部DNS服务器发送的 UDP端口为53的包超过设定的值后,DNS会伪造一个TCP报文发给外部DNS服务器,该报文ACK的值非常大,如果外部服务器回应该TCP包,USG则将该外部服务器的IP加入白名单,允许其UDP报文通过,但是USG伪造的TCP报文,可能会被对端防火墙丢弃,导致业务不通.
处理过程
在USG9560上行口抓包,发现防火墙已经将构造的TCP报文发出,但是对方并没有回应,报文被中间链路丢弃.
建议/总结
无