网吧又被攻击了，请各位老大帮忙分析下，小弟在这里先谢谢大家了！

tenxp · 发表于 2009-12-5 19:52:22

本帖最后由 tenxp 于 2009-12-18 19:21 编辑

本来的语言表达能力不是很强，但我会尽量把事情描述清楚，请个位老大帮忙分析下，小弟不胜感激！

已上传科来分析的攻击数据，请大家帮我分析下！

故障描述

故障地点：

江苏省镇江某网吧

网络环境：

网吧大概有150台电脑，采用单WAN出口（电信）访问互联网，网络结构较为简单，外网（电信34M光纤) 路由器(RouterOS2.9.27) 主交换机(D-Link 5024T) 二层交换机(D-Link 1024T) 客户端(WinDows XP sp3系统，1000M网卡）。

故障详细描述：

最近1周每天基本晚上9点-10点出现间断性掉线，掉线时，客户机ping路由延时基本<1ms正常，ping电信分配的外网网关出现严重掉包，并且延时平均在10ms左右(正常1ms左右)，连接路由ROS界面可以看到，内网卡的流量在500-600K左右徘徊，而外网卡固定在34.1M不动。拔外网线做单机测试(测试电脑为笔记本，XP系统 100M网卡），设置好公网IP，任务管理器-联网-网络占有率直接上升到35%左右不动，ping电信分配的电信网关还是严重掉包，后来电信给了个抓包工具EtherDetect - Packet Sniffer 1.2，获取到如下图所示的攻击数据。

下面是科来最新抓包的截图！

至此本人基本确定，网吧断网为外网的恶意攻击。可是经过1个礼拜的观察，出现了几个本人想不通的现象，还请各位帮忙分析分析。
一.按正常情况如果本网吧受到DDOS攻击，通过更改IP(电信分配给我们的有5个IP)应该能暂时解决这个问题，可是我发现我更改IP以后，攻击还是会继续，毫无任何效果（不间断）。（电信分的5个地址在同一段，掩码255.255.255.248，所以在这个广播段内改IP 必然没效果！）
二,经过多次观察，发现每次攻击的时候，如果你不去理会，攻击基本会保持1-2小时左右，但如果我把外网线拔到其他电脑做单机测试（此时问题依旧）再拔回来基本上攻击就没了（应该说变掉很小，还有少量的工具数据，也不是说拔过去再拔回来攻击数据肯定会变小，但多次观察只要我动过外网线都会发现攻击时间都变的很短，也许是偶然？）（这个问题，这么长时间观察，确实是偶然，偶然！）

===================================================================

我更改了新IP，使用科来分析抓抱发现，攻击包的目标IP还是我原先的IP，我已经更改IP ，为啥工具原IP的数据还是发送到我这里呢？（这个就是第一个问题）

===================================================
快一个月过去了，攻击还是每天都来，而且最近还越来越强，下午6点打到第2天早上8点，攻击还变着花样，有时是cpu 直接100% （外卡流量，不是很高）大多数是外网卡流量满了！

为什么大家都认为是内网攻击呢？被攻击的时候外网网卡流量全满？这个和内网攻击有关系吗？我抓取的内容都是在单台电脑的情况下抓取的，这个跟内网有关系吗？？？

等下上传新的攻击数据！

IP的第二列全是 193 基本应该判断IP为伪造的了吧！还有，我所有的图，都是在单机状态下获取的，已经断开内网，如果还有人怀疑内网请给解释！

本人的联系QQ:357715

saibei · 发表于 2009-12-7 10:06:18

这个问题好
这是典型的网络现象，几乎每个内网接入都会出现，我遇到的抓捕后
能够发现就是内网某台电脑中毒所致。关闭部分流量大的电脑
可以解决部分问题。打开路由器的防火墙也可能起到一定作用

徐徐渐进 · 发表于 2009-12-7 10:15:28

本帖最后由徐徐渐进于 2009-12-7 11:32 编辑

针对描述，建议咨询电信分配的5个IP是怎么工作的,
有可能攻击知道你这5个IP地址。

gu_chong · 发表于 2009-12-7 10:43:34

地址改了，路由没有变吧，方向哪些ip的包还是会发到你那去，还是会把你们的带宽堵死，要电信那端把这些攻击源地址过滤掉才行

saibei · 发表于 2009-12-7 14:39:39

也有可能是DNS失效，
把路由器的防火墙功能打开。我觉得ddos攻击可能性不大

飞雪 · 发表于 2009-12-8 09:49:42

SCCP基于MTP3上，提供面向连接的服务，主要用于GT寻址

liuheliuxi · 发表于 2009-12-8 16:25:51

只能打开更改IP的数据，正常的没法打开，我看了一下工程包
1、外网连接你的都是2000端口，这是黑洞远程控制软件的默认端口，应该是你的内网有电脑中了木马了
2、建议你在内网抓一次包，看看哪台电脑用2000端口和外网联系，那么就是那台中毒了
3、在路由器上设置禁止端口2000试试

不知道能否有效，你试试，然后把试验过程和结果都发上来，大家再研究研究

44411 · 发表于 2009-12-8 21:07:04

期待结果~~~共同探讨！！！！！！！！！

sky1qaz · 发表于 2009-12-10 09:55:10

觉得是内部电脑的问题，应该先查下内部电脑的病毒，估计可能是内部电脑病毒定时爆发，使网络出现租塞现象~~

矢诺 · 发表于 2009-12-11 21:28:43

是什么病毒请！！！！我的也是啊

robur · 发表于 2009-12-11 23:43:53

地址改了，路由没有变吧，方向哪些ip的包还是会发到你那去，还是会把你们的带宽堵死，要电信那端把这些攻击源地址过滤掉才行
gu_chong 发表于 7/12/2009 10:43

我也想说这个问题。。。如果电信把去往你这5个IP的流量，都路由到你的这条线路上，你再怎么改IP都没用。

tenxp · 发表于 2009-12-18 16:09:37

等下上传新的攻击数据！
!!!!!!

tenxp · 发表于 2009-12-18 16:50:30

只能打开更改IP的数据，正常的没法打开，我看了一下工程包
1、外网连接你的都是2000端口，这是黑洞远程控制软件的默认端口，应该是你的内网有电脑中了木马了
2、建议你在内网抓一次包，看看哪台电脑用2000端口和外 ...
liuheliuxi 发表于 2009-12-8 16:25

之前确实是 2 0 0 0 端口后来我让电信屏蔽掉了2 0 0 0端口，就缓解了2天，后来又开始查看了下端口，全部变成 21 了！

liuheliuxi · 发表于 2009-12-18 17:32:25

本帖最后由 liuheliuxi 于 2009-12-18 17:35 编辑

外网攻击的应该不是你的路由地址吧，按照你断内网就能恢复正常的情况，外网攻击的是某个内网IP地址（或者说有内奸给外贼引路）
你应该先在内网抓包，找到内网的那台电脑，然后断开它的网线看看是否正常。如果正常，那么好好研究这电脑中什么病毒了，几时中毒的，中毒的时间谁在使用这台电脑？
如果杀毒完后，网吧正常一段时间后又有电脑这样，那么铁定是有人故意的，查看中毒电脑那几天都有谁动过，然后报警

tenxp · 发表于 2009-12-18 19:12:45

外网攻击的应该不是你的路由地址吧，按照你断内网就能恢复正常的情况，外网攻击的是某个内网IP地址（或者说有内奸给外贼引路）
你应该先在内网抓包，找到内网的那台电脑，然后断开它的网线看看是否正常。如果正常， ...
liuheliuxi 发表于 2009-12-18 17:32

断内网不能恢复正常啊！！！！！

动天 · 发表于 2009-12-27 16:38:12

我是个菜鸟，我觉的如果是别人恶意攻击，那么你的外网IP在同一段的情况下，不管理你怎么做他的攻击都是能够占用你这一条线，也就是说你做什么都不能解决这个问题（除非你改个不同段的IP）
我感觉应该先判断一下是内网引路还是恶意攻击？
你向电信申请个临时IP先用着看看，如果用临时的IP（注意让电信把他们路由去掉），上去之后你的内网一开起来就有攻击那就是内网的问题！（当天判断会更好，因为这个时候只有电信的和你们的内网PC知道你们IP换了）
反之我觉的这个时候你就该报警了，这是有个恶意攻击你们网吧！~

sam.chen · 发表于 2009-12-28 10:00:58

严重关注这个问题！

Martin338110 · 发表于 2010-1-26 15:43:13

这个多数是内网病毒的问题。这联想到几年前QQ号码还值钱的时候（有几年时间，QQ不能申请），有些人就是到网吧去，在某些机子上植入一个木马程序，过几天他就?G收号，只要在那台机子上上过Q的密码都被盗取。这个有点类似，假如是你内网中毒，你内网首先发起连接，所以你把线换到其它电脑上，还是一样，再换回去就可以了。LZ可以试一下，被攻击的时候，把网线都拔了，过几分钟，再接上去看一下，如果刚接上去是好的，就可以判断是内网中木马程序了。因为从LZ抓的包来看，光是SYN初始化连接数据包都有30多M，这个可是一个不小的流量。

mzr525 · 发表于 2010-2-23 14:08:15

试着抓下内网的数据包吧；
这是典型的DOS攻击，使用DOS混合攻击方法，既有ping flood 又有UDP flood 还有SYN攻击。

55902000 · 发表于 2010-2-26 19:32:25

本帖最后由 55902000 于 2010-2-26 21:33 编辑

我怀疑你母盘装了P2P播放器或者是恶意程序带P2P功能。。所以会出现问题。。

wangluofang · 发表于 2010-3-24 17:00:23

本帖最后由 wangluofang 于 2010-3-24 17:04 编辑

大量的icmp包！ dos攻击。“攻击包的目标IP还是我原先的IP” 我很奇怪。不过icmp协议不应为广播方式呀！如果不行，建议修改防火墙，丢弃所有广域网icmp包。

jickyy00 · 发表于 2010-3-24 18:10:32

学习学习啦！！！！！！！！！！！！！！！

cfh416 · 发表于 2010-3-24 22:30:23

你用的是有盘了，还是无盘了？，，先查毒，要不容易走弯路

网吧又被攻击了，请各位老大帮忙分析下，小弟在这里先谢谢大家了！

本帖子中包含更多资源

评分