Jump to content
Sign in to follow this  
mels

Cisco PIX Firewall - CPU-Auslastung immer auf 98%

Recommended Posts

Hallo Leute!

 

Cisco PIX Firewall Version 6.3(3)

Cisco PIX Device Manager Version 3.0(1)

 

Compiled on Wed 13-Aug-03 13:55 by morlee

 

Hardware: PIX-515E, 32 MB RAM, CPU Pentium II 433 MHz

Flash E28F128J3 @ 0x300, 16MB

BIOS Flash AM29F400B @ 0xfffd8000, 32KB

 

 

Bei unserer Pix läuft die CPU immer auf 98%,

kann man da nachschauen warum oder was die Pix so beschäftigt?

 

Kann das durch viele Packetkollisionen kommen?

 

Bin für jeden Tip dankbar!

 

mfg

 

Jörg

Share this post


Link to post
Share on other sites

Hallo,

 

"show proc cpu" müsste Dir die laufenden Prozesse inkl. jeweiliger CPU-Last anzeigen.

 

Kann das durch viele Packetkollisionen kommen?

 

Normalerweise nein!

 

Gruß Christian

Share this post


Link to post
Share on other sites

Hallo!

 

Ich sehe im PDMLog Viewer das in einer Sekunde mehr als 30-40 ICMP meldungen kommen:

 

3 Jul 16 2008 10:40:37 313001:Denied ICMP type=3, code=3 from 192.168.10.3 on interface 1

3 Jul 16 2008 10:40:37 313001:Denied ICMP type=3, code=3 from 192.168.10.3 on interface 1

3 Jul 16 2008 10:40:37 313001:Denied ICMP type=3, code=3 from 192.168.10.3 on interface 1

3 Jul 16 2008 10:40:37 313001:Denied ICMP type=3, code=3 from 192.168.10.3 on interface 1

3 Jul 16 2008 10:40:37 313001:Denied ICMP type=3, code=3 from 192.168.10.3 on interface 1

3 Jul 16 2008 10:40:37 313001:Denied ICMP type=3, code=3 from 192.168.10.3 on interface 1

 

die IP-Adresse hat unser Windows 2003 Server.

 

ist das normal?

 

Bin für jeden Tip dankbar

 

mfg

 

jörg

Share this post


Link to post
Share on other sites

Hi,

 

normal ist das ganz bestimmt nicht - das sieht so aus, als wenn da von eurem Server was kommt - was da nicht kommen sollte (Virus oder ähnliches) - zieht doch mal das Kabel vom Server ab und schau ob die Last runtergeht. (Ist der einfachste Weg um das mal auszuschliessen) - wenn ja - mal auf dem Server schauen was da so abgeht.

Share this post


Link to post
Share on other sites

Hallo!

 

Danke für Deine hilfe, ich hätte aber auf der Firewall ICMP Anfragen gesperrt!

 

Dann dürfte es eigentlich nicht vorkommen oder?

 

Gibt es denn keine Möglichkeit herauszufinden welches Programm oder welcher Dienst diese Anfragen schickt?

 

Hast Du da noch einen Tip vieleicht!

 

Vielen dank im Voraus

 

mfg

Jörg

Share this post


Link to post
Share on other sites

Hallo!

 

Wie würde so was genau aussehen?

Was verstehst Du unter Snifferlogs?

 

Gibt es da eigene Programme dazu?

 

Vielen dank im Voraus!

 

mfg

 

Jörg

Share this post


Link to post
Share on other sites

Du installierst Wireshark auf dem Server und sniffst ICMP Verbindungen. Den Dump laedst du dann irgendwo hoch und wir schauen da mal rein. :)

Share this post


Link to post
Share on other sites

da würde man dann aber nur die unreachables sehen die vom Server weggehen, das es die gibt sehen wir ja eh schon im log :) so würden wir ja nur untermauern das die tatsächlich vom Server stammen

Share this post


Link to post
Share on other sites

Wenn vom Server ein ICMP Destination unreachable kommt, kann es folgendes sein:

 

Ein anderes Gerät hinter der Firewall spricht den Server mit nem Port an, der nicht offen ist. Daraufhin sendet der Server pro Paket, dass bei Ihm ankommt, einen ICMP Destination unreachable zurück. Dieser wird an deiner Firewall geblockt. ABER: Das wird wahrscheinlich nicht dein CPU Problem auslösen.

 

Schau im Firewall Log, oder auf dem Server einfach mal nach, wer denn soviele Anfragen schickt (Wireshark). Du dürftest dann im Log abwechselnd ein Paket von der Quelle sehen (udp) und danach ein ICMP Paket vom Server zu dem unbekannten System.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...