我有一台 Zywall 110 防火墙。在查看日志时,我看到一台 LAN 客户端计算机随机尝试连接到未知的外部 IP 地址。我之所以注意到这一点,是因为我会看到许多连续的
Session Limit - Maximum session per host (1000) was exceeded. [count=x] localIP RemoteIP
这种情况会持续大约一分钟,每次事件会引发大约 25 条通知。每个试图连接的外部 IP 都会引发一条通知。
我与终端操作员进行了交谈,时间似乎是用户重新启动终端并首次恢复在线时。我怀疑是恶意软件或病毒,但扫描没有发现任何可疑之处。
有什么想法可能导致这种情况,或者我需要哪些其他信息来排除故障?
答案1
要排除配置错误的网络适配器,您应该执行以下操作:假设您有一个实时启动 USB 或 CD,请尝试实时启动客户端,看看是否可以复制该行为。如果不能,请使用 wireshark 监控连接。
客户端正在尝试使用什么协议?