一段超神奇的攻击~

ckb160 · 发表于 2008-3-21 14:23:25

我现在对网吧的百分之30的机子进行了，系统还原
但是还没有解决`！~！
只是现在别人不攻击了`！~！
其实现在更本没有找到源头
`` 我先前的说是ARP风暴是错的`！
ARP扫完了也不会掉线
我今天看到了
当出现在连接在掉`！~！没有ARP风暴一样掉
`1！~
这几天平静是因为别人没有攻击了`！
以前是天天掉，现在是一个星期还有10天左右~！~
还是221 它又回来了`~！晕了`！~！

孤独的意尹者 · 发表于 2008-3-21 14:26:40

上面你提供的数据包仅能说明的确存在内部很多IP针对221。221。221。221这个地址的SYN请求包。而且基本上可以肯定是攻击行为。
不知道你是什么意思

ckb160 · 发表于 2008-3-21 14:29:14

每次人多的时候别人上网
我的网吧内所有电脑都去攻击别人
还有服务器`！~！4台服务器也参加攻击
源头在哪里
每个机子都中毒了吗
每个机子为什么要去攻击它
我并没有去攻击什么221
`！

孤独的意尹者 · 发表于 2008-3-21 14:30:09

我可以很负责的告诉你，是你那几个机器存在问题，中招了，你可以通过commview来确认一下发包的进程是哪一个，然后找个对系统比较牛的人分析一下该进程有什么玄机

qzyuanmu · 发表于 2008-3-21 14:32:23

原帖由 ckb160 于 2008-3-21 14:17 发表
没有找到好吗》？
你看数据包好吗~！~
其实不是这样的
IP请求那几个机子扫完了不掉线真真的原因不是请求风暴
这次掉线我才发现，我们错看了`！
我前面发错了`！`

LZ 应该整理好思路,究竟想知道什么问题 ?以及你现在面临什么问题 ?
要很清楚的明白病毒的运作原理是要很大的工程量的,而且得实地分析才行,靠简单的几个工程图比较有难度

ckb160 · 发表于 2008-3-21 14:35:03

我现在发现在一个问题`！~！每次
ARP请求的电脑都不同
现在是39号过会就是54号等我关掉这几台机子
它就转到别的机子上了`！我安装了`！安全卫士`！不是可以检查到
进程连接网络吗~！但是它没有显示`1！
安全卫士`！里面有个高极选择可以查到`！进程连接网络的情况`1
但是没有什么效果`！`
现在病毒源不停的变动`！`1如何下手`！

ckb160 · 发表于 2008-3-21 14:41:13

1：病毒可以活动性`！~！
2：可以传播到内网所有的电脑`！ 3：病毒`不定期发作`！
4：掉线前必须有个扫描全网过程`而且扫的都是假IP
每台电脑都装了进程查看器`！
360软件`！

孤独的意尹者 · 发表于 2008-3-21 14:46:10

原帖由 ckb160 于 2008-3-21 14:41 发表
1：病毒可以活动性`！~！
2：可以传播到内网所有的电脑`！ 3：病毒`不定期发作`！
4：掉线前必须有个扫描全网过程`而且扫的都是假IP
每台电脑都装了进程查看器`！
360软件`！

病毒可传播、定期爆发都很正常啊，这些都是很明显的病毒特征。
进程查看器无法告诉你那个进程是异常的，需要在中毒机器发包时通过commview查看是哪个进程发攻击数据包，从而来确认异常进程
至于分析病毒的东西，以前360上有很多高手，可惜坛子早关了～

qzyuanmu · 发表于 2008-3-21 14:47:06

利用科来分析下病毒是利用什么来进行网络攻击以及传播的,以做好查杀准备,

ckb160 · 发表于 2008-3-21 14:56:53

我查过上百电脑，也查出好多病毒
对有毒的机子进行了`1！还原
但是`！`还会掉线
我有个大敢的想法`1`根本就没有病毒`！`会不会有网吧内上网的人`！控制这一切的发生`1~！你们说有可能吗`1

owners3 · 发表于 2008-3-21 15:07:30

我不是说了。你也说是SYN 。十有89就是同行在搞鬼。破你的财路。你要查源头。不是抓包监控工具能查到的。是要你去抓人的。是人在搞鬼。TCP的三次握手是合法的TCP协议，DDOS攻击只不过没有4次断开，也就是他能通讯你。你不能找到他。正常的TCP要三次握手四次断开。他用代理虚拟几百万台机器一起攻击你就完了。你说所有机器都会去扫不是内网的IP 你称假IP 就是虚拟出来的。

owners3 · 发表于 2008-3-21 15:09:00

如果是DDOS唯一的办法就是抓到人。或者他搞烦了不来搞你。

owners3 · 发表于 2008-3-21 15:12:18

你知道前些年日本的一个网站的服务器被攻击么。就是用DDOS 还真攻破了。还有就是全世界的13台DNS服务器中有两台被DDOS攻下来2小时不能正常工作。用抓包什么软件，能抓到源头么。只有去抓人。。

ckb160 · 发表于 2008-3-21 15:14:11

用什么用方确定
一下网吧内`~！这么多上网的人
我也发现`！问题太古怪了`！
不简单只有病毒和木马`！
病毒和木马哪怎么可能这么好的活动行
想在哪里就在哪里`！~！
只有人就是活动了`！~！
就是人啊`！~！
给个方案捉人是最重要的`！

owners3 · 发表于 2008-3-21 15:22:33

目标：周边网吧或生意死对头或冤家
特征：暴满。一切正常。老板还笑呵呵的....特别是网吧内天天都是专机坐的人。一般用DDOS攻击都是用的linux 网吧机器一系统。装个linux 双系统所以都会是专机是没有还原卡。
你那地方就你一家网吧这样?

qzyuanmu · 发表于 2008-3-21 15:26:23

原帖由 ckb160 于 2008-3-21 15:14 发表
用什么用方确定
一下网吧内`~！这么多上网的人
我也发现`！问题太古怪了`！
不简单只有病毒和木马`！
病毒和木马哪怎么可能这么好的活动行
想在哪里就在哪里`！~！
只有人就是活动了`！~！
就是人啊`！~！
...

你网络结构如何 ?
如果是人为攻击,他应该这样做,先开一台机器,运行攻击软件,后再开几台,配合强悍点的攻击软件(应该2台够了)
此软件用虚拟数据包进行攻击,以躲开分析软件的追查,同时有假冒其他客户端,以造成管理员的错误判断,
为此,应该对交换机等中心交换设备的各个端口进行监控,以便快速找出攻击源头,
另当故障发生的时候可以使用 "排查法" 具体实现不难,
方法供参考

[ 本帖最后由 qzyuanmu 于 2008-3-21 15:31 编辑 ]

ckb160 · 发表于 2008-3-21 15:35:11

路由器`！侠诺Q500网吧型
主交换机`！华维S5000
子交换机一般的`！`带2个千M口是华维的`
网吧分二层二楼160台三楼150台
每20台机子连接一个交换机~！千M交换机`！连接所有的子交换机的千M口上`~！
每子交换机连接22台电脑`！`！
二台收银机`！一台接千M 一台接路由`！镜像口
二台电影服务器全接千M上
一台游戏服务器服器`红帽子系统~！ULIK系统接千M交换机上`！

qzyuanmu · 发表于 2008-3-21 15:40:14

华为 S5000 可以查看端口流量的吧,端网的时候注意查看一下,
子交换机如果也可以的话,那最好了,
试着这样去解决下

ckb160 · 发表于 2008-3-21 15:41:50

221这个IP地址能PING通`1！~
这是一个真实的存在的地址`！

ckb160 · 发表于 2008-3-21 15:43:06

而且，`MAC地址是路由器
因为它要通过路由器才能转发出去
只能看到路由地址`！

qzyuanmu · 发表于 2008-3-21 15:45:31

掉线不过10S,说明其软件有自动检测功能,发现攻击成功,路由宕机以后,就提醒其攻击发起者,所以才能那么好的控制,一效果达到,二还不被发现
所以建议不要等掉的时候再去查找,平时也要多多分析,或立志24小时监控,抓到人直接拉派出所

ckb160 · 发表于 2008-3-21 15:48:58

现在能用什么好的工具能全天24时候的间控
捉包软件都有缓存限制`！！~！
最多5分钟了`！~！`！！

qzyuanmu · 发表于 2008-3-21 15:56:47

你那路由有什么管理功能没 ?
从路由上做好MAC-IP策略,只允许合法的可以访问外网,其他的忽略 .
还有交换机你也得充分发挥它的功能,
如此设置一番,应该有所效果,

qzyuanmu · 发表于 2008-3-21 15:58:58

花高价请专业网络工程师去帮你们解决,几个周期之内应该可以帮你们解决,并抓到攻击人员.

ckb160 · 发表于 2008-3-21 15:59:54

路由器上我们把221这个地址都封了
不充连接它，但是效果不大
因为当时候路由器的调试工程师改了很多东西
也升级了版了`~！加了安全列表`！还是不行`！
最后他说句你换个2万多的吧
一定可以防止的`！`

ckb160 · 发表于 2008-3-21 16:03:26

很多人拿到我捉的包的时候
都是呆惊口呆的`！最终的结果都一直
你网吧内的所有的机子都去攻击别人`！`1
等专业网络分析师的时候
他就不掉了`~！上次不是来了等了二天都不掉`！

qzyuanmu · 发表于 2008-3-21 16:05:28

ISA 2006 可以防止网络攻击,也可以满足网吧的NAT应用,同时提供多种策略,可以比得上一个高级的路由,
具体速度如何没有研究过,望LZ 换2003+ISA 2006看看
说到底,还得请专业好点的工程师,

qzyuanmu · 发表于 2008-3-21 16:06:18

原帖由 ckb160 于 2008-3-21 16:03 发表
很多人拿到我捉的包的时候
都是呆惊口呆的`！最终的结果都一直
你网吧内的所有的机子都去攻击别人`！`1
等专业网络分析师的时候
他就不掉了`~！上次不是来了等了二天都不掉`！

别人一使坏就出问题的网络,并不是一个好的网络工程.

ckb160 · 发表于 2008-3-21 16:09:40

可以是一哈`！~！我是着做一个测试但是一定可以限速才行啊`！！
不过，我们现在站在攻击者角度去想`！
他下一步会做什么？

qzyuanmu · 发表于 2008-3-21 16:18:57

服务器配置要好稍微好点 ,最主要内存配2G双通道,网卡也用OK点的,
配置ISA 2006 的时候要注意点,有点麻烦的
实在不懂的话,就先用 2003自己带的NAT看下先,

一段超神奇的攻击~

我现在对网吧的百分之30的机子

我的机子为什么参加攻击

好的`1它还会来的

经过10天的分析`！

病毒是有`！

现在不能专门靠软件`！

网吧布线图`！

回复 48# 的帖子

掉线的时候还有一个、情况

回复 50# 的帖子

回复 52# 的帖子

回复 54# 的帖子

这个问题`！~1不没有哪个网吧有这样的情况`！

回复 58# 的帖子