啊信 发表于 2006-10-1 10:06:45

内网出现很多不正常IP。。网络卡死

内网出现很多不正常IP。。网络卡死



大清早送来国庆节的礼物

内网出现很多不正常IP。。网络卡死

整个网络都很卡。。。路由器基本是动不了。。。

谁遇到过这种问题。。。

会不会又是病毒。。。

zbhdpx 发表于 2006-10-1 13:19:01

看ip fireware connection 里边的,这些连接类弄应该为syn sent 这个没有办法解决,
源地址和目的地址都不存在,是伪造的,应该是攻击

我是这样思考的,如果发现连接为一连接固定地址,那么你可以把内网的一台机器ip地址改为此地址,这样把流量引导到本机,从而不让路由转发,减轻路由负担!

没有测试过,

seignior 发表于 2006-10-1 13:26:17

sny攻击,虽然的确源地址可以虚构,但目的地地址不应该是虚构的吧?否则他攻击谁呢?(源和目的地都虚构这样的情况惟一只能在局域网内发作并且仅仅用于攻击该局域网网管,但这也太劳师动众并且得不偿失了吧?)

楼主的问题的确属于攻击,也的确像是syn,个人建议look mac,先找到机器再说,至于是杀是剐,就和我无关了.

至于2楼的办法,是不行的,因为ros还要寻找源地址,但实际源地址是虚构的,所以他当然找不到,所以就...................

[ 本帖最后由 seignior 于 2006-10-1 13:27 编辑 ]

zbhdpx 发表于 2006-10-1 14:10:50

的确,9月29日晚,我遇到的就是源地址和目的地址都会假的,
内网我用的是192.168.0.0/24网段,
当目的地址为:192.168.1.X时,在本地因为查不到这个地址,所以,就会转交到路由器转发,
因为而消耗路由器资源,

如果在内网中存在于这样的地址,流量都会由交换机直接转送到你修改为目的地址的交换机端口,而不会从路由转发,

ipV4不检查源地址,这个缺陷,现在是没有办法解决的,

至于三楼不相信目的地址都是虚构的,我也没有办法让你相信,9月29日,那天我没有留下图,希望一楼能发出来ip firware connection下的图,就可以看出来,至于目的地址,只要不是和内网的一个网段的就能够实现攻击!

我遇到的攻击目的地址为:192.168.1.2:80,源地址和一楼的地址大致相同,9月30日,我一个网管,找到了这种攻击器,只有16KB!我觉得大部分人的网络使用的都是192.168.0.0/24网段,就很容易造成路由性能低下,但不会断线,如果要是使用192.168.1.0/24网段,则最多是192.168.1.2这台机器网络丢包,出问题,而不会对路由造成任何影响!

[ 本帖最后由 zbhdpx 于 2006-10-1 14:14 编辑 ]

seignior 发表于 2006-10-1 15:53:02

我不是不相信,我相信可以这样实施,问题是,这样实施的话,就只能攻击该局域网的网关了(我3楼打错字了),而并不是用于平常syn攻击某个指定ip.这样实施的确是可以的,问题是,我实在是觉得太劳师动众了一点,就为了攻击自己所在局域网的网关+_+"(有N+X种办法更有效安全实施攻击啊)

另外,在局域网这种情况下(nat或者masquerade),是必须查证源的吧?至少要在网关相同掩码下才能nat或者masquerade的吧?(这个我不是绝对肯定,请高手指正)

你举的例子,目的ip还是固定的啊?至于这类软件...我04年末就已经写过了(当然绝大部分还是抄别人范程的,现努力寻找反弹型模型中.)当时正是因为写那软件,而自己又对协议细节不了解,当时在局域网测试过,也是导致网关/交换机挂掉,当时请教其他高手,记忆中就是的解释就是因为网关/交换机要寻址导致的问题.


"如果在内网中存在于这样的地址,流量都会由交换机直接转送到你修改为目的地址的交换机端口,而不会从路由转发"
这个描述应该是错的吧?我记得应该是,首先查arp表,有则直接传递,没有则在掩码控制下广播,有响应则传递,没有响应则直接把包扔给路由.
例如我192.168.0.0/24,源地址虚构就先不管了,目的地地址是10.10.10.10,那么因为我的掩码是24,所以就已经直接判出不在同网段内,所以必然要扔给路由的,而因为我们是nat,因为要建立转发,所以nat应该先查证确认源地址(我猜测的)以便建立转发,同时修改报文的源地址并向目的地ip发出请求.
在这种情下,即使你局域网内有台机器是10.10.10.10,.也不见得交换机/路由就会把包扔给他啊,因为这台10.10.10.10根本就不在路由表里面.这就好比我在局域网内ping 61.147.254.73 (routerclub ip),并且你在局域网也有一台机器的ip是这个ip,不见得你ping的是局域网的机器而是真正的routerclub.

[ 本帖最后由 seignior 于 2006-10-1 16:12 编辑 ]

啊信 发表于 2006-10-1 16:23:26

问题暂时解决了。。不知道还会不会出现这样的情况?
ip firware connection图已经没有办法抓了。。。。。

啊信 发表于 2006-10-1 16:26:36

找到一组交换。。。
把关换机的网线拔了就没事
只要接上。。就产生很大的流量
交换机上只有三台机器是开着的。。。
结果拔了一台就正常了。。
接上去后。。就不会出现大流量。。。
一切正常。。
我检察过交换机上的三台机器。。。一切都很正常。。。
进程里面的东西都很正常。。。

很奇怪。。为什么拔了插回去就没事了。。

zbhdpx 发表于 2006-10-1 16:42:03

楼上这样说也有道理,
但是,比如多个ip(几个ip在不同的网段如:192.168.0.23:   192.168.1.23       192.168.2.23)绑定到一个网卡上,这个有点特别,都是c 类地址,同样的掩码,内网直接可以由arp表寻址,而不会交由路由来处理了,
内网地址比较混乱,有三个网段的,那么,如果源地址是假的,目的地址也正好是上边三个中的一个,这样的话,就不必由路由转发,

你QQ是多少,我想和你讨论一下,长点经验!

啊信 发表于 2006-10-1 16:57:51

哈哈
楼上的也加我的QQ
学点东西...
9923800
页: [1]
查看完整版本: 内网出现很多不正常IP。。网络卡死