外网遇到udp flood attack,使用科来没有看出什么信息，求助大家

turnjian · 发表于 2010-4-6 15:13:59

本帖最后由 turnjian 于 2010-4-6 15:16 编辑

天融信IPS显示有公网IP222.184.253.102有udp flood attack攻击，每秒300次左右，使用科来在公网交换机上抓包，没有看出什么，希望大家帮看看~

Timer · 发表于 2010-4-6 17:18:20

路过。。顶之。。。。哈哈。。。。

Timer · 发表于 2010-4-6 17:22:13

还要顶。。。哈哈。。。。。。。。。。。。。。。。

wangluofang · 发表于 2010-4-6 17:22:14

udp洪流。每秒300次。不知道，你ips udp的阀值是多少？以及你ips的判断规则。如果只是简单的udp洪流那，那就。。。。

jickyy00 · 发表于 2010-4-6 19:09:36

学习学习！！！！！！！！！！！！！！！！！！！！！！

long_323 · 发表于 2010-4-6 22:59:27

晕，这还不明显，典型UDP flood attacks。
两处很明显可以确定
1、只有接收数据包，没有任何发送数据

2、单项矩阵

另外可以定位到这些DOS攻击的肉鸡（当然可以是伪造的IP）

turnjian · 发表于 2010-4-7 08:52:15

本帖最后由 turnjian 于 2010-4-7 08:53 编辑

回复版主~~

222.184.253.102是防火墙公网IP地址啊~

turnjian · 发表于 2010-4-7 08:59:44

IPS UDP阀值是每秒1000个。
IPS UDP阀值是每秒1000个。

gu_chong · 发表于 2010-4-7 10:09:29

UDP Flood就是采用大量发送udp数据包的方式消耗你的网络带宽资源以及防火墙的处理能力，从而导致你的网络性能下降甚至无法正常服务，从上面的图上确实能看到大量的internet主机（ip可能是伪造的）大量发送数据包到你的防火墙外网地址，通过这种方式对你的网络进行攻击。

Se7en · 发表于 2010-4-7 10:15:48

应该没有攻击行为，只是p2p类软件造成UDP数据每秒接收超过2000个造成的，可以吧IPS的阀值调高到1W。

ccs2001 · 发表于 2010-4-12 15:34:17

路过。。顶之。。。。哈哈。。。。