小贝优选——某局点UR/ERG3设备受到SYN Flood攻击导致内存资源耗尽重启典型案例

ERG3设备不定时自动重启，查看日志内容，日志显示为：重启原因：内存资源耗尽，设备自动重启

当设备出现频繁重启，并且日志内显示重启原因为”内存资源耗尽”时，考虑设备受到外部网络安全攻击。

现象分析：

通过内网抓包，查看是否有某一终端短时间内发送大量报文连接：

以此局点为例，从截图中可以看到大量的 SYN_SENT 状态连接，目标端口是 80（HTTP），这通常是进行 DDoS 攻击（如 SYN Flood）或僵尸网络扫描的特征。

在设备管理界面查看连接数是否有异常：

以此局点为例，网络连接数在短时间内飙升至7W+。

这是一个典型的网络安全事件，通常被称为 “IP 欺骗”（IP Spoofing） 或 “源地址伪造”。简单来说，这台设备并没有真实的在发送这些数据包，有人在“冒充”它发送数据，瞬间申请大量内存，导致设备内存耗尽重启。需要确认内网中是否有此IP终端，如果它是真实存在的，那么就是被感染了；如果不存在，那么这就是有人利用设备的网络出口 IP 段进行攻击。

1. 若内网真实存在此终端，将此终端断开验证。可通过设备ARP确认。

2. 部署DDOS（排除问题后建议关闭）+防火墙+网络连接数限制。