一段超神奇的攻击~

ckb160 · 发表于 2008-3-20 19:20:25

本人当网吧管理员，已经有很多年了。一般的攻击都可以一分钟内解决
但是，前一个星期发生一件非常历害的攻击事件`！~就因为这事件我记认了科来
网吧定期掉线，掉线的时候不固定一般是人多的时候就掉，一天就掉个7次左右~掉线的时候 PING 网关掉包一分钟左右自动会好

~！简单的分析一次路由日字全正常`1~但是看了一下 NAT 联接数 1万6 正常`！情况下超过 NAT连接正不会超过 6000
这个时间我通过路由器内部命令查看到了当前连接网外会话数`1吓了一跳`！网吧内所有电脑都连接到一个地址`！221。221。221。221
IP 全部的电脑所有的服务器也是那样的`！然后就掉了`！我在路由上封了那个IP 也不行了
这时候我想起了用捉包软件etherpeek `！！~安装好软件`！~等掉线的捉包一看
每台机子按顺序一台一台的连接221。221。221。221 这个地址端口 80 而且是往那个地址发包 TCP包所见是 SYN 半连接攻击`！
但是不管怎么样分析都找到出是什么原因~！每次掉线都是这个样子，网吧300多台机子攻击221。221。221。221 这个地址 `！
掉线的原因是因为路由器CPU内存耗尽`！~ NAT 联机数到达1万路由就掉包了`！软件是英文的分析起来非常麻烦`！请了专业分析师也看了包查不出原因`1~！我本来想下载一个别的分析软件在进行捉包分析`1这时候我在网上找了找看到科来。因为科来软件在当时候的本类排行第一！
我抱着测试的心情`！下载了它`1安装了下面一台单机没有接到端像口上`！~
等我打开科来的时候`1`在快掉线的时候出现在一个非常奇怪的问题`！192。168。1。38这个台子`！ARP扫描`1 他扫描的的地址是内网没有的
我们的子网码是255。255。248。0 一共有7个网段`！现在用的网段是192。168。1。2-192。168。2。100 但是它扫描的是0。3。4。5。6。7网段一共有1000多台不存的IP ~！~！更加神奇的它不扫我们现在有的真实内网IP ，等它把1000多台没有假IP扫完之后就发动了
全网的SYN攻击~！~科来马上就提示 ARP请求风暴掉线了`！~etherpeek装在镜上口上马上捉包发现在`！~全部电脑又连接那个IP攻击
找马上关掉那台电脑这时候又好了`！~！但是一分钟以后`1又一台IP84电脑`！以同样的方法`1扫描虚IP地址1000多台`！扫描的速度
看着吓死人`！科来看来的整面全是它的一个IP扫完1000多台虚地址不过 15秒左右`！
我通过这个方法，扫到了7台给别人中了后门的电脑`~！进行了分析，发现在二个木马程序`！`一个木马程序是用日文编写的`！是灰鸽子之类的后门服务端`~！还多了一个日文服务在里面`！还有一个魔兽木马`1 我把那个病毒样本发给了`！`一个公司的软件工程师对方一看
吓到了`！~此木马样本是用多种编程语言进行编成的`1而且还有多国语合编而成`！~
我现在有非常多的问题`！对来说是个迷`！我机子是用了毒`！~为什么它在攻击前扫一个假的IP 地址~~！为什么等它扫完的时候
会掉线`！还有为什么`！网吧内只要能上网的机子都会加入到攻击`！~
请广大高手一起参加研究`！~我这里的病毒样本来`！~当时候用etherpeek捉的所有的包`！
我的QQ：43431222 `！请一定帮我解开它的`攻击原理以及如果控制我们全网电脑`！它只控制一台机子就可以控制全网如何做到的
还有听说`！~此人是别人网吧`！花费500元掉一次的费用请来了`~！攻击的手法`！可比的上专家级别`！

chinaheiyu · 发表于 2008-3-20 20:24:48

数据包呢，传上来见识下。

ckb160 · 发表于 2008-3-20 20:56:00

上传不上去啊`！~！~！等高手来加入一起研究
专家级别的攻击`！`

cocococoy · 发表于 2008-3-20 20:58:44

看看情况再说啦，有包最好

[ 本帖最后由 cocococoy 于 2008-3-20 21:00 编辑 ]

ckb160 · 发表于 2008-3-20 21:02:45

快点专家级别的攻击`！
就他的攻击费用都达到了几万了
现在公安局都查不到了
对我们网吧造成了无比的损失现在
网吧都没有人`！~！~！别人分析是别人网吧
请的专业黑客`~！~！！~

ckb160 · 发表于 2008-3-20 21:04:19

快来我在线一起研究下`！~

lvfengg · 发表于 2008-3-20 21:04:20

错字怎么这么多，让人看不懂……
对于这类问题，建议是，首先给出你的组网拓扑，尤其注明路由器、服务器、交换机（二层 or 三层）等情况，然后说明你的ip分布，你抓包的位置，给出你捕获的报文，此时外人才能给出比较有价值的分析啊！

你说了这么多，我也不明白你的网络分布，大概只知道：
1、你们300台pc通过nat连外网
2、300台pc有7个网段
3、有一个网段的pc，扫描不存在网段的地址

针对此，我只能给出扫描不存在的网段，本来就是常见的攻击手段：每一次扫描，路由器都需要发送一次arp请求，由于对方不存在，路由器会请求多次，由此，当扫描范围加大、加快，路由器cpu迅速到100%，你的出口肯定挂了！

建议：配置一个三层交换机，开启system-guard功能，能够防扫描。

ckb160 · 发表于 2008-3-20 21:07:29

好爽啊`~科来可以打开etherpeek的包
万岁太好了`！~！

ckb160 · 发表于 2008-3-20 21:13:05

`！这个包经过三个专业分析师
都无法找到答案来了
现在是对你们的技术考验的时候到了`！！能解开迷底着`！~！可以绝对是高手中的高手
我在线等`1待着`！~！科来真是最好的软件
希望科来的版主技术员也来帮助分析一下`！~
迷底会在大家中的找寻中解开的`！~！

chinaheiyu · 发表于 2008-3-20 21:21:12

源文件，不是图片，老大！

ckb160 · 发表于 2008-3-20 21:27:17

我现在在传一次高手们`！

chinaheiyu · 发表于 2008-3-20 21:40:13

注意附件不在超过2MB。。

ckb160 · 发表于 2008-3-20 21:56:54

可以上传了高手快来分析哈子`1~！

ckb160 · 发表于 2008-3-20 22:26:50

大家看了半天回个话啊`！~！到底是怎么回事啊！
难到真的是没无法解决的问题吗？
难到道高一尺，魔永远高一丈吗？
我这里还有很多数据包，你要一个不够我马上传`！只是数据包都是这样的 `！
全网参加攻击~！~！

高手，我等待着你的出现~！

ckb160 · 发表于 2008-3-20 23:45:34

我先前上传的包可以看到，本网吧内所有的机子去攻击那个IP
221。221。221。221处理的方法是复位和重新、连接
`！~现在我上传的看到，221。221。221。221  已经不对攻击做出回应了
本网吧的所以IP 每个IP每秒风狂的对它进行同步请求
`！~电信局，称当时攻击那台电脑~IP个数不会少于
2万台`！对病毒样本检查发现在
全日本编辑  很有可能对方就是日本人~！~！

请中国人重注一下好吗？如果你还是中国人`！

qzyuanmu · 发表于 2008-3-21 08:23:05

建议把你网吧的系统漏洞都补一下 ,
从LZ的描述的情况可以得知,此病毒先扫描网内计算机 ,后进行控制,由此可以大概知道,肯定是客户端的系统有攻击漏洞.
漏洞有很多种, 如网吧常用的计费系统,更新系统以及微软本身系统的.
至此如果开始攻击之前都由固定一台电脑先发起扫描后攻击的话,那LZ应该庆幸,此病毒可能未扩散到全网,可针对其客户端进行针对性解决,如果相反,则建议全网重新安装.

孤独的意尹者 · 发表于 2008-3-21 09:03:30

原帖由 ckb160 于 2008-3-20 23:45 发表
我先前上传的包可以看到，本网吧内所有的机子去攻击那个IP
221。221。221。221处理的方法是复位和重新、连接
`！~现在我上传的看到，221。221。221。221 已经不对攻击做出回应了
本网吧的所以IP 每个IP每秒风狂 ...

你上面不是已经说出问题的原因了吗？
就是你网吧内的机器向221。221。221。221这个地址发送基于80端口的SYN请求包啊，前期该地址回应RESET包，应该是该地址的80端口未打开或前端相关安全设备发送的，后期不回包了，应该是服务器挂了或前端相关安全设备挂了～～
唯一值得考虑的是：攻击包的源是否为真实的？
如果是虚假的话，可能需要通过交换机的相关命令或多次抓包确认真实攻击地址的VLAN或具体交换机上的接口；
如果是真实的话，那么，很不幸的告诉楼主，你发现的太晚了点吧！！内网这么多机器中招？？赶快找个系统病毒高手，给你提取一下病毒样本吧，重装系统估计你人就废掉啦，呵呵

[ 本帖最后由孤独的意尹者于 2008-3-21 09:06 编辑 ]

飞雪 · 发表于 2008-3-21 09:59:49

楼主说的这种攻击我感觉应该是分布式拒绝攻击，攻击源可能冒充221.221.221.221这台计算机，然后实施的。

owners3 · 发表于 2008-3-21 10:01:24

给你个提义。仅作参考。报案。让他们到你所在地方所有网吧。在你频繁掉线的时候。查是否有网吧不掉线一切正常。网警逐个排查。如果是同行所为会有收获的。
在我认为是DDOS攻击的基础上加以控制。类似灰鸽子。如果是同行。十有八9是DDOS。虽然TCP协议有防御DDOS。他找个代理。虚拟几百万台一起攻击。那所谓的防御也就不存在了。DDOS攻击而且是有效的，TCP三次握手，都是查不出来的。

xmubbs · 发表于 2008-3-21 10:43:45

看了楼主错字连篇的帖和一些回帖，觉得有点乱

首先说一下病毒爆发的状态
先扫描同段不存在的IP，然后网内所有的机器向221.221.221.221发连接，导致路由负载过重，网络瘫痪

既然已经查出有问题的机器一共7台，那么直接清理不就解决了么？
楼主的最终目的是想搞明白运作机制，而不仅仅是解决问题？

ckb160 · 发表于 2008-3-21 11:34:08

问题已经找到，已知道是内网攻击那个IP 是SYN的请求`！`！~

通过那么多数据包分析，找不出一个共同性`！~是通过如何的方法集合`我内网的所有电脑
而且`！就用科来单一的软件，是很难锁定到`！病毒源机子`！~我通了多种方法`！
每布是的内外网捉包`！我先前发的只有`！我捉的内网到外网的包`！~
十天以后，每天抽出5个小时分析包。但是找不到`！~别人攻击的手法`！~
只能看到攻击的过程`！难到说到方的攻击是很简单的吗？攻击的方法不高明`！
大家说值不值得找出`！最终的答案~！
楼主的最终目的是想搞明白运作机制，而不仅仅是解决问题？

ckb160 · 发表于 2008-3-21 11:39:03

大家要明白`1通过镜像口捉的包是不会提示ARP风暴
只要通过内网`！捉的数据包才提示ARP风暴

这到底是怎么回事`~！
很多迷`~！真的`！（本人打字，打了就打了从不会修改的，也不会写了在从头检查一次的！如果有错字
是正常的`！~相信你们能理解`！~）

ckb160 · 发表于 2008-3-21 11:47:28

221。221。221。221 是真实的
电信相关人士通过电话`！~去联系网通
IP是真的性。对方很快得到回复
受到严重的攻击~！网通也对这个IP的80端口进行了封锁`！

本站主数据：北京市网通(海淀区)

而且是个很重要的部门`！~！IP

czxroy · 发表于 2008-3-21 12:14:24

这个ip 这么特殊一看就不会是普通的用户

czxroy · 发表于 2008-3-21 12:17:49

有人说这个ip 貌似是网通的网关

丫丫的~~~

owners3 · 发表于 2008-3-21 13:06:30

果然被我说中DDOS攻击(SYN)。查起攻击源不是一般的麻烦。

ckb160 · 发表于 2008-3-21 13:48:02

科来的技术人员，和版主`！以及管理员
你们看过本人上传的包了吗？
难到`！你们的沉没就是给我的回答吗》？
如果连你们也分析不到源头~！那我也就无话可说了`！~
所有有软件都有局限性`！科来也只能发挥到它的极限了吗`！
源头在哪，如何集合`！`
又如何`！发动集攻`！我等待者你们专业分析`！~！

owners3 · 发表于 2008-3-21 13:57:24

科来是专门用来局域网抓包。局域网的网络异常。
DDOS攻击有可能你在中国。日本那边用这边的代理服务器攻击你。我建议在你周边网吧配合网警一起查。主要对像。你掉线别人那里生意火暴。网吧一切正常的。尤其是那几个网吧天天有人专机的那几台机器。只是一个建议。

孤独的意尹者 · 发表于 2008-3-21 14:14:52

原帖由 ckb160 于 2008-3-21 13:48 发表
科来的技术人员，和版主`！以及管理员
你们看过本人上传的包了吗？
难到`！你们的沉没就是给我的回答吗》？
如果连你们也分析不到源头~！那我也就无话可说了`！~
所有有软件都有局限性`！科来也只能发挥到它的 ...

真不知道你有没有认真的看上面的人包括我给你的回复，我觉得你发这个求助帖，最起码应该尊重一下我们的劳动成果！
你要什么？定位源？源在数据包中不是很明显了吗，就那几个IP啊，难道还要我们把你的所有有问题的IP写出来给你看吗？
问题已经很清楚了，还有什么好讨论的！！

ckb160 · 发表于 2008-3-21 14:17:39

没有找到好吗》？
你看数据包好吗~！~
其实不是这样的
IP请求那几个机子扫完了不掉线真真的原因不是请求风暴
这次掉线我才发现，我们错看了`！
我前面发错了`！`

一段超神奇的攻击~

加QQ43431222 看包啊`！包有点大`

我捉了几个图哈哈

本帖子中包含更多资源

还有一张图片`！~！

本帖子中包含更多资源

评分

哈哈科来可以打开etherpeek的包

本帖子中包含更多资源

高手们~！现在测试你们的技术来了

本帖子中包含更多资源

5555555上传报错晕了`！~

可以上传了`！~！见意一哈子吧

本帖子中包含更多资源

包也上传了，图片也发了

看看我上传的第二个包，你们会明白`！

本帖子中包含更多资源

xmubbs知音`啊`！

大家要明白`1通过镜像口捉的包是不会提示ARP风暴

IP的真实性`！

难到说科来的极限已经到了吗`！

没有源头好不