CPUseverity: normalresolved
PAS-K3240F, DDoS 공격 방어 기능 활성화 후 CPU 사용률 80% 이상 유지
증상 및 본문
2024년 6월 5일 오전 11시, 외부로부터의 SYN Flood 공격을 감지하고 DDoS 방어 기능을 활성화한 후 PAS-K3240F 장비의 CPU 사용률이 80% 이상으로 지속적으로 유지되고 있습니다. 공격은 성공적으로 방어되었으나, 방어 기능 활성화로 인한 CPU 부담이 과도한 것으로 판단됩니다. 이로 인해 다른 서비스 트래픽 처리에도 미미한 지연이 발생할 수 있습니다. 펌웨어 버전은 5.2.1-R2입니다. 공격 트래픽이 줄어든 후에도 CPU 사용률이 높게 유지되는 문제가 있습니다.
근본 원인
DDoS 방어 기능 중 SYN Cookie 또는 Connection Limit 설정이 과도하게 엄격하여 정상 트래픽까지 CPU에서 추가적인 검사를 수행하게 만들었습니다. 또한, 특정 패턴 필터링 로직이 비효율적으로 동작하여 CPU 부하를 가중시켰습니다.
조치
DDoS 방어 설정에서 SYN Cookie Threshold 값을 조정하고, 불필요한 Layer 7 필터링 규칙을 일시적으로 비활성화했습니다. 또한, 공격 트래픽이 감소했을 때 방어 정책을 자동으로 완화하도록 설정하여 CPU 부하를 줄였습니다. #config t #ddos syn-cookie threshold 8000 #no ddos filter [filter_name]
코멘트 (0)
코멘트가 없습니다.