关于DNS放大攻击的检测

tanggao · 发表于 2008-5-6 22:30:40

今天做了个dns放大攻击的试验，
192.168.1.1 SOHO家用路由器
192.168.1.11 攻击者（把源ip改为12，然后向1大量请求dns request）
192.168.1.12 目标（受害者）装有科来
192.168.1.13 （旁路）装有科来
11发动攻击后，在13上的工程状态栏上显示捕获大量数据包，可是在数据包标签上却是空白一片。
12只是说是dns查询包，然后是大量的1和12之间的dns查询流量。根本就不知道是11发动的攻击。
难道非要在路由上部署么？
求教如何才能知道是11发送的数据包！！！！！！！！！！！！

oldjiang · 发表于 2008-5-7 08:07:40

1、“旁路”是什么意思？
2、13上的工程状态栏，有接受、拒绝的包吗？有过滤器吗？
3、SOHO家用路由器支持端口镜像不？
4、最好把12、13的数据包传上来看看

tanggao · 发表于 2008-5-7 14:54:04

13上的状态栏虽然显示有捕获数据包的，可是数据包，诊断等地方却看不到任何内容，即和没有一样，，普通的家用路由器不支持镜像的，只能端口映射的！12，13上显示都是一样的，因为没有任何数据包可以解码，所以，我也没办法，，，要不晚上我再去试下，截图过来好了，

老兵 · 发表于 2008-5-7 15:04:40

把截获的数据包发上来看看可以吗？

robur · 发表于 2008-5-7 15:09:50

配置问题？？你看看科来的状态，“接受数据包”和“丢弃数据包”里面的值？
如果接受数据包>0，而又现实不出来，恐怕是bug？我记得科来早期版本有类似的bug。

回#2，如果没理解错，旁路（英文叫Pass-By）是类似镜像的一种技术，把一段线路上的数据可以完整地复制下来，网线上接个HUB连台电脑，即是……

oldjiang · 发表于 2008-5-7 15:11:23

路由器什么型号？