Shunze 學園 (http://www.shunze.info/forum/index.php)
|- Sophos XG (http://www.shunze.info/forum/board.php?boardid=36)
|-- 《分享》Win10 Update塞爆外網 (http://www.shunze.info/forum/threadid.php?boardid=36&threadid=2085)


作者: shunze 發表時間: 2018-11-23, 17:28:

《分享》Win10 Update塞爆外網

上週我的客戶跟我反映,似乎是遭到攻擊,整個外網頻寬塞爆了!





從上面內外網的流量來看,內部的流量明明不多,但外網卻是爆大量!
確實很有可能來自外網的攻擊。
但XG上又查不到外網爆大量的IP,所以只能先透過XG中的flood設定來擋掉這些奇怪的封包。


透過flood的限制設定,確實讓客戶的XG可以變得正常些了,CPU不再咬在100%而造成斷網,
但一週過去,狀況始終沒有排除...

且更怪的是攻擊只有在上班時間發生,
user一下班,攻擊也就消失,難怪駭客也一樣有上班時間?


客戶詢問是不是內部某些電腦有問題,
只要一開機就會造成這這個上班爆大量,下班就消失的怪現象?

其實我不是沒想過這可能性,
但若是內部電腦的問題,流量應該是對稱的,外部爆大量時,內部也應該有相對的流量才對。


突然間想到 Sophos Community 上之前有人反映Win10更新會卡住的問題,
客戶這問題會不會是XG本身的bug,造成Win10更新檔永遠下載不完,而吃光頻寬?

Windows更新會用到的幾個URL加到Exception 中觀察,
沒想到這個困擾客戶一週的攻擊問題,就此徹底解決!

Sophos的問題還真是不少吶...

Powered by: Burning Board 1.1.1 2001 by WoltLab
Taiwan Translation by Achi