这几天好郁闷，不知道朋友们有没有遇到过呢？

zmc837

前段时间是arp欺骗在局域网内非常流行，近来arp欺骗几乎绝种了，但新的工具手法又出现了，尤其是这两天，此起彼伏，甚是郁闷，表现特征为利用udp协议快速传输数据包攻击外网的某一台主机（服务器？）结果也导致严重的局域网出口带宽被占满（我这里是10M带宽，轻松被搞定），其他主机无法建立连接，但ping网关正常（原因是比较好的路由器包转发率比较高，还没有导致路由拒绝服务地步），导致网络瘫痪，这两天最猖狂，不知道大家遇到否？

[ 本帖最后由 zmc837 于 2006-12-14 17:18 编辑 ]

KelvinFu

原帖由 zmc837 于 2006-12-14 17:06 发表
前段时间是arp欺骗在局域网内非常流行，近来arp欺骗几乎绝种了，但新的工具手法又出现了，尤其是这两天，此起彼伏，甚是郁闷，表现特征为利用udp协议快速传输数据包攻击外网的某一台主机（服务器？）结果也导致 ...

弄个数据包文件上看看啊！

zmc837

这周，到目前为止，已经抓了四台了，巨郁闷，不知道以后会如何呢

kyokof

只看到192.168.1.31在攻击华为的那个路由

jllsw

我这也遇到了，还没有解决呢，你们城域网都是怎么做的呀，交流一下吧

菜鸟人飞

传奇的相关服务器会使用UDP7000端口进行工作，某些私服，外挂也使用UDP7000端口。
故推测这可能是针对传奇的一种新型攻击手段。

且这种攻击发的数据包不一定每次都是相同的，有时的数据包A，有时是K，或者还可能是其它的。
且数据包的大小也不一定，有时是1070，有时是1092，。。。

在网络中搜索发现，有朋友针对该问题有如下的解答：

由于近来出现大批网吧掉线,要全部断电重启,或是找到那台机在用传奇外挂及时雨7.72的机器才能解决问题,我都碰上种问题,烦...

经过我分析出来.一打开这个外挂就会弹出二个网页.分别为
w w w . c q s f 9 9 9 . n e t
w w w . 4 5 b a n g .c o m
关了这个外挂还会弹出二个
w w w . 9 2 0 4 5.c o m
w w w . 4 5 b a n g.c o m
w w w . c q s f 9 9 9. n e t/ 网页中一段 里有隐藏代码打开  w w w . 5 1 9 8 2 .c o m /cr/cr.htm  之后在
你的C:\Documents and Settings\Administrator\Local Settings\Temp\ 下,发现有一个批处理 haotian.bat
这个批处理自动运行完后就在桌面生成一个delmeexe.bat
自动删了C:\Documents and Settings\Administrator\Local Settings\Temp\haotian.bat

搞怪就是在这里了. 就是导致网吧掉线的原因,问题是他何时发作.我测试过.这个文件应该是病毒作者定的时间,
我暂时发现多数是在晚上的时发作

本站也有相关的信息　http://www.csna.cn/forum.php?mod ... p;extra=&page=2


希望大家多多讨论！

zmc837

如果纯粹是有意瘫痪路由，对外网的ip或者端口可以是伪造的，如果目的不是为了瘫痪路由为目的，那么就是对外网发起dos或者是ddos的一台傀儡机，结果也是把路由拖瘫痪了，不知道有没有对策呢？请教

kyokof

原帖由 zmc837 于 2006-12-15 14:40 发表
如果纯粹是有意瘫痪路由，对外网的ip或者端口可以是伪造的，如果目的不是为了瘫痪路由为目的，那么就是对外网发起dos或者是ddos的一台傀儡机，结果也是把路由拖瘫痪了，不知道有没有对策呢？请教

限速，限并发连接

bjxuzhun

这种情况,我遇到似乎很象,不过在客人全走光后,又恢复正常了.看来要注意查找原因啊.

scesce

我这也是一样的呀,不知道你那现在怎么样了

huamao2006

既然已经找到了源头，那就“找到毒源、干掉毒源”，这是净化网络最好的方法！

long21china

原帖由 huamao2006 于 2006-12-22 14:16 发表
既然已经找到了源头，那就“找到毒源、干掉毒源”，这是净化网络最好的方法！

wwwang

楼主要小心流氓软件哦,源头有可能是它哦.现在很多!!!

雨中淋雨

哎,最近我这儿的网吧也遇到同样的问题

北风物语

很有可能是流氓软件,我遇到过这类软件,不停的往某个IP发数据包,也是UDP的.还好这个端口我关掉的,影响不大.