交流 › RouterOS › 你今天你被内网DDOS了吗？

kelle10309 发表于 2007-5-26 02:53:34

你今天你被内网DDOS了吗？

不到一星期4次了，郁闷兄弟们给个解决办法吧！

攻击的很快，ping网管延迟500-600一会就等不上路由器了，CPU占用100%，流量正常。想找出内网那台电脑，可不知道用什么软件好。。希望兄弟指点迷经。小弟在此先谢过了。

[ 本帖最后由 kelle10309 于 2007-5-26 02:58 编辑 ]

zooyo 发表于 2007-5-26 11:11:20

ROS没死机之前，就可以用TORCH来检测那台机器发包量很大，一般是数千了。然后把那台网线拔了

sxmong147 发表于 2007-5-26 12:14:52

加上这条规则试试，不过只能减轻攻击
   / ip firewall filter
    chain=forward in-interface=lan src-address=!192.168.0.0/24 action=drop

kelle10309 发表于 2007-5-26 13:49:02

原帖由 zooyo 于 2007-5-26 11:11 发表 http://bbs.routerclub.com/images/common/back.gif
ROS没死机之前，就可以用TORCH来检测那台机器发包量很大，一般是数千了。然后把那台网线拔了
不行啊，没有发包很大的。

kelle10309 发表于 2007-5-26 13:49:23

原帖由 sxmong147 于 2007-5-26 12:14 发表 http://bbs.routerclub.com/images/common/back.gif
加上这条规则试试，不过只能减轻攻击
   / ip firewall filter
    chain=forward in-interface=lan src-address=!192.168.0.0/24 action=drop
5分钟继续掉

ddr 发表于 2007-5-27 02:56:35

这个规则只是不转发除内网以外的数据包。DDoS目的是将流经的服务设备的资源耗尽。此时内网或外网接口已经拥塞了。解决的办法只有靠各设备协同处理。

ruilan45 发表于 2007-5-27 08:37:53

看看那个机器的流量比较大？最好做限速，这样就算这台机器占慢带宽也ddos不了你的服务器！

kelle10309 发表于 2007-5-27 12:51:43

限速一开整个网络都要慢下来。

fuse 发表于 2007-5-27 23:35:19

ping网管延迟500-600 ?

fuse 发表于 2007-5-27 23:36:41

PING 内网其他机器呢？

DORP INPUT 了吗？

专卖精品 发表于 2007-5-27 23:50:34

交换机端口限速

TechNet 发表于 2007-5-29 14:15:47

原帖由 专卖精品 于 2007-5-27 23:50 发表 http://bbs.routerclub.com/images/common/back.gif
交换机端口限速
那需要网管交换机吧

spook 发表于 2007-5-30 03:52:37

用ROS自带工具sniffer pro 抓包查看连接多的且不是正常IP(比如1.215.4.8),再查看它的MAC地址跟你的客户机ARP表对比就是它了。或去网上下一个Sniffer Pro直接查看流量最大的那个IP就是了。

[ 本帖最后由 spook 于 2007-5-30 04:18 编辑 ]

spook 发表于 2007-5-30 03:55:35

看图片吧，我不懂怎么说，呵呵~~

[ 本帖最后由 spook 于 2007-5-30 04:05 编辑 ]

spook 发表于 2007-5-30 04:17:23

在OSI 七层模型中，交换机是工作在第二层，路由器是工作在第三层。所以ROS只能抓到某台客户机跟它连接的数据包，或者外网网关跟ROS连接的数据包。如果你要抓客户机与客户机之间的连接就要用sniffer pro了，且网卡要选混杂工作模式。

查看完整版本: 你今天你被内网DDOS了吗？