这几天老被攻击掉线。换了4次IP了大家帮忙分析分析

keermimi

这几天老掉线
让电信查了
是被攻击
最开始说我内网有病毒
我全部重新做了系统
换了IP 不到1天 又开始间歇性大姨妈了
操他奶奶的！这些人脑子是不是进水了没事情干老攻击我！
这次抓包是直接用单机连接光纤收发器抓的
请各位帮忙分析分析下了。
感谢！！

数据我来抓

没有去分析你上传的数据包，一般来说这样的情况即使抓包分析也没多大的作用，因为发起攻击的地址基本都是伪装且变换的，单靠前端防火墙封地址是不行的，即使将你的公网IP全部换完也基本是徒劳。
我倒是可以建议楼主让电信帮你在你的对端电信网关处做一条ACL控制，电信一般会同意你的要求，将到你的公网IP地址段的UDP 1024--65535 Drop，注意不是让你在你这端的防火墙上来做。这是一个经过测试过的方法，你可以试试看有没有用。

[ 本帖最后由 数据我来抓 于 2008-4-4 00:35 编辑 ]

keermimi

楼上的意思是从电信那边封掉我的部分UDP端口？
但是我抓包看到的。
那些IP全都攻击我的80端口。。
不知道是什么攻击
而且那些IP每次攻击的时候我都查了 确实地理位置是天南地北的差距

keermimi

楼上的意思是，让电信那边封掉我的部分UDP端口？那这样对有些网络出访有没有什么影响？
另外我对科来只是能用而已
分析的话，确实是个菜鸟
我当时看到很多80端口的东西，那些IP全是在攻击我的80端口
但是我是网吧 根本就没有什么对外服务器的。对外一个端口都没开。
要是再这样下去的话，都不知道怎么办了。
我试试叫电信的做一下ACL！

tennisboy

电信可能也不会管的  她提供公网给你  保证网络同  不管别的了     一般是不会管你太多的    （要是网络通的   但是你的设备受不了  还是要你自己想办法的

tennisboy

刚看了数据  不是很简单吗    把到你的ip的80口上的udp包 扔掉 或者 封掉就好了啊

数据我来抓

原帖由 keermimi 于 2008-4-4 13:01 发表
楼上的意思是，让电信那边封掉我的部分UDP端口？那这样对有些网络出访有没有什么影响？
另外我对科来只是能用而已
分析的话，确实是个菜鸟
我当时看到很多80端口的东西，那些IP全是在攻击我的80端口
但是我是网吧 ...

只能说你的情况是DDOS攻击你的http 80，这是目的。我补充一下：方法是基于源而不是目的的

溺水鱼

我这里也一个样,,,,,,,
就不晓得什么原因

huagea

UDP 80端口能封吗?或者0-65535的UDP在电信的中转路由全封了,没有关系吧,不会影响正常上网吗?

我记得有时QQ连接就是通过UDP中转的吧

oldjiang

QQ使用UDP 8000
工程里的UDP-OTHER包的时间差达到0.000010秒，够恐怖的，不过外网是怎么知道内网机器IP的呢？

robur

我详细的看了，攻击确实很猛烈，应该是明显的UDP Flood。
如果你们的带宽足够的话，应该是没问题。UDP数据包每个64字节，换算得出：
64*6000=3000kbps，也就是消耗大约3Mbps的带宽。这个带宽，对于大多数商用线路而言，都不是什么问题，属于可以忽略的损耗。
但是，对于服务器系统的压力，就显而易见了。所以说，有独立的防火墙的好处就是这个！
从抓取的数据包看来，攻击主要来自几个IP地址，是更换IP进行的DOS，而绝非狭义的DDOS，这是我的观点。
看看IP的IDF字段即可大致推断出，这些数据包都是连续发送的，IDF字段一直在连续第增长。
至于防御，我看还是需要上硬件防火墙吧。或者类似的装载防火墙软件的独立网关计算机。
祝好运～

keermimi

原帖由 robur 于 2008-4-6 21:55 发表
我详细的看了，攻击确实很猛烈，应该是明显的UDP Flood。
如果你们的带宽足够的话，应该是没问题。UDP数据包每个64字节，换算得出：
64*6000=3000kbps，也就是消耗大约3Mbps的带宽。这个带宽，对于大多数商用线路而 ...

请问下
有没相关的该缓冲服务器的架设资料??

robur

原帖由 keermimi 于 6/4/2008 22:16 发表

请问下
有没相关的该缓冲服务器的架设资料??

没有什么技术含量，很简单～
就是用一台PC做一个软路由（专用的软件、系统或者Win自带的路由和远程访问服务都可以），然后在上面进行有针对性包过滤～
就是过滤现在的UDP 80入站包……
当然了，可能效率并不一定很好（毕竟PC机不是被设计当作独立的防火墙用的），但是至少不会拖垮你们的服务器了。
上面的帖子里面我似乎没有看到你们的服务器是做什么用途的，是Web么？

你说，你们的服务器在变换IP？是不是你们用了DDNS之类的东西啊……

[ 本帖最后由 robur 于 2008-4-6 23:37 编辑 ]

huagea

我也遇到了,每秒钟3万多个包,网络时断时续,一样是80端口的UDP攻击
我的是网吧路由器
电信说我内网的机器有病毒,但内网LAN镜像口上抓包没有这么多数据包,到是直接接外网,16M缓存一两秒钟就满了.
我路由器上设置的是忽略外网的所有请求,但是我估计UDP是把我的带宽堵塞满了导致掉线的,而不是路由当机.因为PING不通外网时,或PING外网掉包时,PING路由的LAN口,还是正常的

这种情况又应该怎么办呢?我也换过一次IP,是电信给调了的,换IP后清静了5天

keermimi

原帖由 robur 于 2008-4-6 23:35 发表

没有什么技术含量，很简单～
就是用一台PC做一个软路由（专用的软件、系统或者Win自带的路由和远程访问服务都可以），然后在上面进行有针对性包过滤～
就是过滤现在的UDP 80入站包……
当然了，可能效率并不一定 ...

我内网上只有2个服务器，是应用于无盘的服务器。
没有任何对外开放任何东西。
也不知道这些人脑袋里到底在想啥来攻击80端口。
我的IP是电信给换的，前前后后换了4次了

huagea

80端口被屏蔽了,对网吧应用来说没有影响吧,直接让电信屏掉80端口算了

keermimi

原帖由 huagea 于 2008-4-7 15:20 发表
80端口被屏蔽了,对网吧应用来说没有影响吧,直接让电信屏掉80端口算了

封了开不了网页吧？？？

robur

你可以自己先动手看看。
在你的网络防火墙上，丢弃所有入站的UDP 80数据包。
再看看效果如何。
不会影响HTTP的，因为仅仅是入站UDP 80……你理解有误

hudeg632

顶，现在网络好象出现了DNS攻击，和UDP攻击。这个怎么做到的？

ckb160

你的数据不是很全`！我简单的分析一下~！你现在的包很难跟踪到攻击源头
你所有的数据都是经过路由器转发进来的`！下次在发生这样的问题：请直接用一台机子
连接不要通过路由器`

直接把从光猫连接路由器那跟线，连接最近的电脑上~！然后把你的电信给你的IP和掩码地址设在这台电脑中`！（通过捉包数据可以分析到，对方是跟据虚造IP地址攻击还是真实肉G攻击）
对方攻击的端口只有一个就是80，如果我估计的不错，你现在关掉80端口！对方还会检查到你路由器上其它的存活的端口`！在发起攻击
在攻击的那个时段内是很多台电脑同时向你的IP发包`！在几秒中你的带宽就耗尽了！~
`！加我QQ：43431222在给一些包我`1
我可以保证你，我有百分之80的把握`1可以帮你锁定到攻击源`！