Cisco PIX Firewall - CPU-Auslastung immer auf 98%

[mels 10]

Hallo Leute!

 

Cisco PIX Firewall Version 6.3(3)

Cisco PIX Device Manager Version 3.0(1)

 

Compiled on Wed 13-Aug-03 13:55 by morlee

 

Hardware: PIX-515E, 32 MB RAM, CPU Pentium II 433 MHz

Flash E28F128J3 @ 0x300, 16MB

BIOS Flash AM29F400B @ 0xfffd8000, 32KB

 

 

Bei unserer Pix läuft die CPU immer auf 98%,

kann man da nachschauen warum oder was die Pix so beschäftigt?

 

Kann das durch viele Packetkollisionen kommen?

 

Bin für jeden Tip dankbar!

 

mfg

 

Jörg

[mr-windows 10]

Hallo,

 

"show proc cpu" müsste Dir die laufenden Prozesse inkl. jeweiliger CPU-Last anzeigen.

 

Kann das durch viele Packetkollisionen kommen?

 

Normalerweise nein!

 

Gruß Christian

[mels 10]

Hallo!

 

Ich sehe im PDMLog Viewer das in einer Sekunde mehr als 30-40 ICMP meldungen kommen:

 

3 Jul 16 2008 10:40:37 313001:Denied ICMP type=3, code=3 from 192.168.10.3 on interface 1

3 Jul 16 2008 10:40:37 313001:Denied ICMP type=3, code=3 from 192.168.10.3 on interface 1

3 Jul 16 2008 10:40:37 313001:Denied ICMP type=3, code=3 from 192.168.10.3 on interface 1

3 Jul 16 2008 10:40:37 313001:Denied ICMP type=3, code=3 from 192.168.10.3 on interface 1

3 Jul 16 2008 10:40:37 313001:Denied ICMP type=3, code=3 from 192.168.10.3 on interface 1

3 Jul 16 2008 10:40:37 313001:Denied ICMP type=3, code=3 from 192.168.10.3 on interface 1

 

die IP-Adresse hat unser Windows 2003 Server.

 

ist das normal?

 

Bin für jeden Tip dankbar

 

mfg

 

jörg

[blackbox 10]

Hi,

 

normal ist das ganz bestimmt nicht - das sieht so aus, als wenn da von eurem Server was kommt - was da nicht kommen sollte (Virus oder ähnliches) - zieht doch mal das Kabel vom Server ab und schau ob die Last runtergeht. (Ist der einfachste Weg um das mal auszuschliessen) - wenn ja - mal auf dem Server schauen was da so abgeht.

[Otaku19 33]

ob da der Server nicht einfach auf ne Anfrage von aussen antwortet ?:

 

ICMP type 3, Destination unreachable message

[mels 10]

Hallo!

 

Danke für Deine hilfe, ich hätte aber auf der Firewall ICMP Anfragen gesperrt!

 

Dann dürfte es eigentlich nicht vorkommen oder?

 

Gibt es denn keine Möglichkeit herauszufinden welches Programm oder welcher Dienst diese Anfragen schickt?

 

Hast Du da noch einen Tip vieleicht!

 

Vielen dank im Voraus

 

mfg

Jörg

[Wordo 11]

Snifferlogs vom Server aus waeren das Beste jetzt ...

[mels 10]

Hallo!

 

Wie würde so was genau aussehen?

Was verstehst Du unter Snifferlogs?

 

Gibt es da eigene Programme dazu?

 

Vielen dank im Voraus!

 

mfg

 

Jörg

[Wordo 11]

Du installierst Wireshark auf dem Server und sniffst ICMP Verbindungen. Den Dump laedst du dann irgendwo hoch und wir schauen da mal rein. :)

[Otaku19 33]

da würde man dann aber nur die unreachables sehen die vom Server weggehen, das es die gibt sehen wir ja eh schon im log :) so würden wir ja nur untermauern das die tatsächlich vom Server stammen

[Wordo 11]

Du siehst aber ob die Anfragen von aussen kommen und wenn ja, icmp eben nicht geblockt ist ;)

[Nightwalker_z 10]

Wenn vom Server ein ICMP Destination unreachable kommt, kann es folgendes sein:

 

Ein anderes Gerät hinter der Firewall spricht den Server mit nem Port an, der nicht offen ist. Daraufhin sendet der Server pro Paket, dass bei Ihm ankommt, einen ICMP Destination unreachable zurück. Dieser wird an deiner Firewall geblockt. ABER: Das wird wahrscheinlich nicht dein CPU Problem auslösen.

 

Schau im Firewall Log, oder auf dem Server einfach mal nach, wer denn soviele Anfragen schickt (Wireshark). Du dürftest dann im Log abwechselnd ein Paket von der Quelle sehen (udp) und danach ein ICMP Paket vom Server zu dem unbekannten System.