|
|
所在网吧 171台客户机 8台服务器,采用软路由Router OS2.9.27,客户机强制双绑(运行菜单即刷新arp)路由只回应arp,电信100M光纤,大概最近一个月出现了一些诡异的事情,出现不定时掉线,重启路由恢复这个月1号左右那时候比较严重一些,起初掉线症状为豪无征兆的内网就无法与网关通信了,但外网可连,服务器装有arp防火墙并部署有WinArpAttacker,这个软件可以监视网内的IP与MAC对应关系,发现单向的攻击或欺骗(实际测试效果是很好的),但是并没有发现什么异常,后来我准备了一台新做的软路由和新的网线备用,大概闹了有2天一天我的服务器收到一个arp攻击,但是因为手忙脚乱没看到是哪里的,我就把新路由器换上去了,并通知吧台发送信息至客户机,警告攻击者,结果当日再未掉线,一直到现在,路由器期间掉了3 4次线,但因为我当时都不在所以也没有进一步的信息,但WinArpAttacker上看不到什么非法的arp操作也并没有发现路由上存在任何新的arp信息(如果有伪造ip和arp并与路由通信则会出现相应的条目),昨天一口气掉了2次,因为几乎满人,所以掉线时我仅测试了一下路由器是否死机,并无死机,然后重新启动网络恢复,我重新部署了sniffer,我大概分析了一下,攻击可能是存在2类:
1 损失利己 中毒或有意欺骗其他机器 这种最为显性,包也应该是泛洪的广播包,没理由我的sniffer和WinArpAttacker没动静.
2 IP冲突,发布假包到冲突机导致其掉线或占用大量网络和CPU资源导致缓慢,我从vmware上试验来看,这类可能涉及到假的mac所以查找比较麻烦,但是我部署的嗅探器并未发现异常,WinArpAttacker也是,即没有新的arp地址或ip地址出现,甚至连个无请求应答也没,我现在部署的sniffer是在核心交换机上,我在sniffer上过滤了其他的地址,只保留了子网到路由的双向通信,暂时还没发现异常.
网络环境比较固定,我认为可以基本排除是广播风暴或环路,至于IP冲突或者更高级的SYN FLOOD或Ddos我想这样部署应该也可以捕获到相应数据吧
只是很难想像,毫无征兆,忽然断线,而且相当彻底,重启路由又恢复?
下面我想着如果再出我就把路由直接接到其他交换机看看如何.
因为硬件也换过了,所以暂时假定不是不稳定,还有就是ROS每秒大概处理在5-7000个包,下面不限速,但带宽一般保持在2 30Mbps,CPU也仅仅占用%10-%30左右.
发2个图
[ 本帖最后由 karlpopper 于 2008-12-19 14:48 编辑 ] |
|
发表于 2008-12-19 14:47:47