内网攻击问题,有图
想问一下有什么好用的监控软件,方便提出来一下, sniffer add chain=forward in-interface=lan src-address=!192.168.5.0/24 action=log log-prefix="" comment="" disabled=no建这样的几条规则。记录非内网IP段的连接,然后建个远程日志服务器。
ROS死之前也会给你留下点东西。查内网ddos攻击源并不难。 add chain=forward in-interface=lan src-address=!192.168.5.0/24 action=log log-prefix="" comment="" disabled=no
你这里!192.168.5.0/24的意思是不是排除你内网192.168.5.0这个网段
如果我的内网是192.168.0.0的话。这里是不是填写!192.168.0.0/24? in-interface=lan “lan”也改成你的内网接口名。
精华贴里面有ros远程日志服务器的建立方法。
[ 本帖最后由 ksw520 于 2007-6-24 21:29 编辑 ] 原帖由 ksw520 于 2007-6-24 21:26 发表 http://bbs.routerclub.com/images/common/back.gif
in-interface=lan “lan”也改成你的内网接口名。
精华贴里面有ros远程日志服务器的建立方法。
按了精华的贴子设了还是连不上,看图。。。 怎么回事?
帮人帮到底吧。周一上午没事。 多谢ksw520,正需要这个,你的意思是即使路由死了,凭记录里的src-mac来查内网syn攻击源吧
[ 本帖最后由 laotoulyh 于 2007-6-25 11:37 编辑 ] 非常谢谢~~~~攻我者打....哈哈 该打 问一下:
那个RX rate 96.7Mbps
表示什么意思? 有个问题,就是添加这条规则后
add chain=forward in-interface=lan src-address=!192.168.1.0/24 action=log log-prefix="" comment="" disabled=no把!叹号去掉就可以记录,但记录比较繁忙,一直在快速记录,没去!叹号的话就只能记录进出入路由和更改的动作,不能查看内网ddos攻击源,请问你的是这样吗?
图:
建议楼上的多学点基础知识。
”叹号去掉就可以记录,但记录比较繁忙,一直在快速记录,“去了感叹号等于是记录内网的所有连接了。能不频繁么。
带上“!”号只是记录LAN口非内网地址的连接。你拿个dos攻击工具测试下就明白了。
ROS被ddos死之前肯定会记录下信息的。所以这方法可以很有效找出内网dos攻击源。 我只是问你是不是这样而已,你就说这说那的,我会的你也不会~~晕死 别问我。我什么也不知道。。。。。。。
页:
[1]
2