你今天你被内网DDOS了吗?
不到一星期4次了,郁闷兄弟们给个解决办法吧!攻击的很快,ping网管延迟500-600一会就等不上路由器了,CPU占用100%,流量正常。想找出内网那台电脑,可不知道用什么软件好。。希望兄弟指点迷经。小弟在此先谢过了。
[ 本帖最后由 kelle10309 于 2007-5-26 02:58 编辑 ] ROS没死机之前,就可以用TORCH来检测那台机器发包量很大,一般是数千了。然后把那台网线拔了 加上这条规则试试,不过只能减轻攻击
/ ip firewall filter
chain=forward in-interface=lan src-address=!192.168.0.0/24 action=drop 原帖由 zooyo 于 2007-5-26 11:11 发表 http://bbs.routerclub.com/images/common/back.gif
ROS没死机之前,就可以用TORCH来检测那台机器发包量很大,一般是数千了。然后把那台网线拔了
不行啊,没有发包很大的。 原帖由 sxmong147 于 2007-5-26 12:14 发表 http://bbs.routerclub.com/images/common/back.gif
加上这条规则试试,不过只能减轻攻击
/ ip firewall filter
chain=forward in-interface=lan src-address=!192.168.0.0/24 action=drop
5分钟继续掉 这个规则只是不转发除内网以外的数据包。DDoS目的是将流经的服务设备的资源耗尽。此时内网或外网接口已经拥塞了。解决的办法只有靠各设备协同处理。 看看那个机器的流量比较大?最好做限速,这样就算这台机器占慢带宽也ddos不了你的服务器! 限速一开整个网络都要慢下来。 ping网管延迟500-600 ? PING 内网其他机器呢?
DORP INPUT 了吗? 交换机端口限速 原帖由 专卖精品 于 2007-5-27 23:50 发表 http://bbs.routerclub.com/images/common/back.gif
交换机端口限速
那需要网管交换机吧 用ROS自带工具sniffer pro 抓包查看连接多的且不是正常IP(比如1.215.4.8),再查看它的MAC地址跟你的客户机ARP表对比就是它了。或去网上下一个Sniffer Pro直接查看流量最大的那个IP就是了。
[ 本帖最后由 spook 于 2007-5-30 04:18 编辑 ] 看图片吧,我不懂怎么说,呵呵~~
[ 本帖最后由 spook 于 2007-5-30 04:05 编辑 ] 在OSI 七层模型中,交换机是工作在第二层,路由器是工作在第三层。所以ROS只能抓到某台客户机跟它连接的数据包,或者外网网关跟ROS连接的数据包。如果你要抓客户机与客户机之间的连接就要用sniffer pro了,且网卡要选混杂工作模式。
页:
[1]
2