[求助]今天被人从外网攻击了

firehydra

路由器配置：CY2.4G,256M内存，intel865主板（板载一intel pro 100网卡和显卡），独立intel pro 100网卡。ros2.816


被攻击情况：被攻击之后ping路由器经常性丢包。我把内网网线拔掉，然后叫朋友从外网ping我路由器，不通，此时我网吧ping网关是正常的。应该是外网问题了。
我找了台机器一直ping着内网网关，发现每丢15-18个包之后会通一段时间，最开始延迟是<1ms，大约5个包之后逐渐升高，最高到6ms，再继续几个包之后就time out了，显得比较有规律。
ping的时候我一直试图用winbox连接路由器（比较菜，不大熟悉命令行模式，所以不能直接在路由器上操作），从晚上8：30到深夜将近1点钟这将近5个小时内，只连到过6次，发现下行流量不大，20多M，我上限是30M，但是看了一下发包，居然是4w多/s，当然上行流量几乎是没有，另外cpu使用率100%。其中有三次查到了抓包，发现绝大多数包的目标地址都指向我内网的两个ip（都是真实ip，北京的朋友应该都知道，北京网吧都是用真实ip），而三次的源地址居然没有一个是一样的，端口从几十到6W多都有，说明这些ip应该都是假的。这两个ip的机器根本就没开，我开了一台试一下，进入万象的时候提示“管道错误”，熟悉万象的人可能知道，如果网卡没装就进入万象就会出现这种情况。
没辙了，打电话给电信通的人吧。但是他们也没办法，只能够看这些包的目标地址是哪个，就把哪个ip给封掉。。。
封了两个ip之后，确实好了一段时间，但是过不了多久就又掉了，好不容易连上去看了一下，目标地址又换了。。。
。。。。。。
就这样，直到将近一点钟，估计攻击的人过足了瘾，不想玩了，我们才能上网。


这个就是传说中的syn攻击吗？有什么方法可以防御或者处理吗？

xrfadmin

你在运行里面
netstat -an看一下

xrfadmin

如果出现以下情况
TCP    192.168.1.106:1104     219.133.60.243:8000    TIME_WAIT
TCP    192.168.1.106:1466     219.133.60.243:8000    TIME_WAIT
TCP    192.168.1.106:2664     219.133.63.142:443     TIME_WAIT
TCP    192.168.1.106:2773     125.91.12.71:80        TIME_WAIT
TCP    192.168.1.106:2896     59.36.96.132:80        TIME_WAIT
TCP    192.168.1.106:2897     59.36.96.132:80        TIME_WAIT
TCP    192.168.1.106:2898     59.36.96.132:80        TIME_WAIT
TCP    192.168.1.106:2899     59.36.96.132:80        TIME_WAIT
TCP    192.168.1.106:2900     59.36.96.132:80        TIME_WAIT
TCP    192.168.1.106:2901     59.36.96.132:80        TIME_WAIT
TCP    192.168.1.106:2902     59.36.96.132:80        TIME_WAIT
TCP    192.168.1.106:2903     59.36.96.132:80        TIME_WAIT
TCP    192.168.1.106:2904     59.36.96.132:80        TIME_WAIT
TCP    192.168.1.106:2905     59.36.96.132:80        TIME_WAIT


就是被DDOS攻击了