刚刚ros遭遇不明攻击,望各位赐教。。
傍晚左右,ros突然效率低下,客户普遍反映网速变慢,进入winbox观察ros,发现cpu使用严重,内存正常,在interface内仔细观察,发现内网发送数据包猛增,约为正常的2-5倍,每秒发送约8000到9000数据包,最高达到20000数据包每秒,但是接受数据包正常,奇怪的
是发送如此多的数据包,但其流量却没动静,很正常的水平。不知道这个是何种攻击啊。
怀疑肯定是内网某一机子在疯狂发包,耗尽ros的cpu,但是这些数据包却没有流量?由于连接过多,也没有办法查看当前connection,
winbox根本显示不出来,对每个网段进行ques分析,其流量,发包量都很正常,不知是何解?
最终ros的现象就是cpu使用率过高,但未死,约在80~90左右,外线流量明显降低,约为平常50%。不知道下次该如何避免此问题,还
请各位赐教。。
[ 本帖最后由 yenan111 于 2006-12-5 21:06 编辑 ] DDOS攻击,才2万个包,对方很客气了 谢谢您,我已经按照网上的帖子增加了防ddos的啊,是不是不管用啊?还有更好的办法吗?可以判断是来自内网的攻击还是外网的攻击吗?
[ 本帖最后由 yenan111 于 2006-12-5 22:01 编辑 ] 内网
召集肌肉男,巡视,发现,KO之,以后免疫 内网有毒 香水有毒 关键是不好查啊,流量没有上升,就无法找到最大流量的机子,而且连接数也看不到,winbox没有响应,有什么好办法快速查出是哪个Ip机子中毒吗?有没有第三方的工具查看connection啊,像查看log日志的那样,远程记录,不用winbox,winbox处理不过来。
[ 本帖最后由 yenan111 于 2006-12-6 13:51 编辑 ] sniffer 看来只有这样了,想轻松是不可能的,还是得大动干戈,仔细查 你都知道“内网网卡发包”大了,还不就是有毒么~,一台两台发那不叫DDOS! 你把3705-3708端口drop掉就行,ROS CPU占用率过高有时候并不是全部都因为内网攻击造成的,我就是个例子,是有人在用迅雷下东西!DROP掉这个端口,CPU占用率马上下降,效果非常明显! 没抓包工具的时候使用观看交换机指示灯的办法也是可以的
在这种情况下,交换机的某个灯应该是狂闪的,那个就是的了
页:
[1]