对付这样的UDP轰炸有什么对策？

pwolf · 发表于 2006-11-2 22:47:58

统计                                                                         当前
网络流量                      字节       数据包       利用率          每秒位数    每秒包个数
总共流量                33.054 MB    34,551    42.402%    42.402 Mbps    5,240
发送广播流量             3.986 KB       35    0.004%    3.696 Kbps       3
发送组播流量                970  B       4    0.002%    2.416 Kbps       1
数据包大小分布                   字节       数据包       利用率          每秒位数    每秒包个数
<=64                4.625 KB       74    0.010%    9.728 Kbps       19
65-127             127.963 KB    1,554    0.136%    136.080 Kbps    204
128-255             84.082 KB       542    0.079%    79.144 Kbps       63
256-511             41.316 KB       105    0.050%    50.080 Kbps       16
512-1023          222.511 KB       348    0.200%    199.904 Kbps       41
1024-1517          32.577 MB    31,923    41.915%    41.915 Mbps    4,896
>=1518             7.412 KB       5    0.012%    12.144 Kbps       1
TCP数据包                   字节       数据包       利用率          每秒位数    每秒包个数
TCP同步数据包             4.359 KB       67    0.011%    11.056 Kbps       21
TCP结束连接数据包          1.395 KB       5    0.001%       512 bps       1
TCP复位数据包             512  B       8    0.001%       512 bps       1

编号          绝对时间                   源                         目标                               协议          大小          解码       概要
34539       22:34:00.237152       192.168.0.160:5444       203.194.197.100:www-http       UDP       1,070                   源端口=5444;目标端口=80;长度=1032;检验和=0x0D58 正确
34540       22:34:00.237281       192.168.0.160:5444       203.194.197.100:www-http       UDP       1,070                   源端口=5444;目标端口=80;长度=1032;检验和=0x0D58 正确
34541       22:34:00.237417       192.168.0.160:5444       203.194.197.100:www-http       UDP       1,070                   源端口=5444;目标端口=80;长度=1032;检验和=0x0D58 正确
34542       22:34:00.237551       192.168.0.160:5444       203.194.197.100:www-http       UDP       1,070                   源端口=5444;目标端口=80;长度=1032;检验和=0x0D58 正确
34543       22:34:00.237871       192.168.0.160:5444       203.194.197.100:www-http       UDP       1,070                   源端口=5444;目标端口=80;长度=1032;检验和=0x0D58 正确
34544       22:34:00.238005       192.168.0.160:5444       203.194.197.100:www-http       UDP       1,070                   源端口=5444;目标端口=80;长度=1032;检验和=0x0D58 正确
34545       22:34:00.238140       192.168.0.160:5444       203.194.197.100:www-http       UDP       1,070                   源端口=5444;目标端口=80;长度=1032;检验和=0x0D58 正确
34546       22:34:00.238281       192.168.0.160:5444       203.194.197.100:www-http       UDP       1,070                   源端口=5444;目标端口=80;长度=1032;检验和=0x0D58 正确

如上所见，用百兆LAN攻击路由，路由被他堵死了。。。防火墙完全防不住，。想了下，好像用VLAN也无法防御，怎么处理呢？7秒就截获了16M的数据包，路由还是有QOS功能的，也被他堵死了。。

大水牛 · 发表于 2006-11-2 23:54:47

既然找到机器源,为什么不直接到192.168.0.160上探个究竟,看是什么进程在发起这样的数据包,将其杀掉才能真正解决问题啊.

pwolf · 发表于 2006-11-3 02:06:38

难道...每次都冲过去拔网线,这个攻击器是某些程序里面隐藏的,运行这些程序就自动开始攻击,不是病毒

wwwang · 发表于 2006-11-3 11:40:09

原帖由 pwolf 于 2006-11-3 02:06 发表
难道...每次都冲过去拔网线,这个攻击器是某些程序里面隐藏的,运行这些程序就自动开始攻击,不是病毒

可以用一些安全检测程序看看,是不是线程插入在作怪.建议使用"冰刃"!

cwym29 · 发表于 2006-11-3 13:35:16

使用防火墙封掉192.168.0.160的5444端口，再看下是什么情况、

pwolf · 发表于 2006-11-3 14:55:18

不是每次都是5444端口发送的,只不过这次抓的是5444

的确是线程插入在作怪,这个我是知道的,当发作的时候也知道是什么机器,什么软件造成,我想知道的是防御手段,而不是对实施攻击的计算机进行处理

wwwang · 发表于 2006-11-3 15:59:56

如果说被动防御的话,只有用路由器防火墙进行阻隔.但这是没有办法的办法! <不明白楼主的意思???>

dqsuper · 发表于 2006-11-3 17:30:04

跟我们这儿一样！已经半个多月了！被攻击的是一个网吧！后来没办法！换IP了！
我这儿更恨！每秒约600M的攻击！完全堵死一个百兆口。

[ 本帖最后由 dqsuper 于 2006-11-3 17:32 编辑 ]

LeeKeng · 发表于 2006-11-3 20:28:22

晕，说说是哪个程序在做怪呀。要不咋想办法。我这儿天天都有这样的事情发生，而且全部是网吧。

pwolf · 发表于 2006-11-4 01:16:17

主要攻击的程序是WG999上的各类私服登陆器，全部内置UPD攻击进程，QNO的QOS路由器，完全防不住，我准备退货，虽然飞鱼的东西不一定比QNO做的好，至少能防止UPD轰炸，准备立刻换个，要不就用服务器作软路由。。。

911killer · 发表于 2007-3-19 13:52:47

对付这个问题~~~除了把问题机器恢复以外
还有其他的办法没有

playerwhj · 发表于 2007-3-19 17:20:54

找到木马线程,配置杀毒软件,防止线程插入!!

20544832 · 发表于 2007-3-25 20:38:25

既然有了源地址，那么直接去看那台机器好啦，如果不好直接去看那台机器，完全可以通过路由等，去禁止该机器WAN，LAN嘛。或者用一些网络管理软件，禁止上网也可以啦

当然最有效的，就是去那台机器，查看进程和容易藏匿病毒木马的地方，如Document下的相关用户的临时文件，WINDOWS下，SYSTEM下，TEMP下，等等，这些都很基本啦，当然卡卡助手，安全卫士360都是不错的查恶意程序的工具

thh915 · 发表于 2007-3-27 10:57:27

怎么解决问题？
被动防御：楼主要的是一劳永逸的方法，防火墙，路由器里设置看能不能屏蔽掉，可能性不大。
主动攻击：找出问题计算机，利用冰刃查出作怪的进程，解决问题。
好的解决方案还没有，路由器、防火墙那种傻瓜型的东西太笨了。

thh915 · 发表于 2007-3-27 11:04:53

UDP洪水
（UDP flood）

各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。
　　
防御：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求
UDP洪水攻击，必掉，紧急求救

这几天总是不定那台机器被UDP洪水攻击

防火墙日志上纪录内网某IP端口5444到外网某IP的8000端口，每秒无数次的连接

造成全网掉线看防火墙日志，找出那台机器重起它几秒后网络恢复正常。

无奈啊！客户机系统XP2最新全部补丁,TCP并发数为10

因为网吧小，用原始的双网卡代理上网，防火墙为瑞星2007，已在防火墙里加了封堵源5444到任意端口的TCP/UDP禁止，无效，防火墙连提示都不提示，下了阿拉丁UDP洪水攻击2.0一般攻击1秒就必掉，关了后几秒后正常，郁闷之极！

求解决办法，买硬路由限制上传流量？软路由放弃了

在线急等！ARP能防住又来了UDP，大多是外挂上带的，现在知道的是劲舞团的拒捕宝贝
好多人

wangyun522 · 发表于 2007-3-27 11:23:59

绿盟的NIPS吧，窜在链路与路由之间，统统过滤掉，防火墙的策略太简单，根本没用的。

红盟过客 · 发表于 2007-3-27 13:01:05

你可以先接一个入侵检测系统，像绿盟的黑洞什么的。然后接入防火墙，

sz_cai · 发表于 2007-3-29 15:23:56

在交换机上。。。做一条acl。。。。把5444端口封了。。。。

最好连其他病毒常用端口。。一起全封了。。。

对付这样的UDP轰炸有什么对策？

被动防御

udp洪水攻击