madlife 发表于 2005-3-13 17:25:31

具体情况如图,请高手看一下,是怎么回事??如何解决?

liucznt 发表于 2005-3-13 17:45:30

说实在的 syn攻击是没有根本的解决办法的 不过我以前在论坛里看到 可以减少每个连接在服务器中的存活时间 你找找看不能根本上解决 所以说你用来做路由的电脑配置要好一点受到攻击时还能多撑一会你要是用太差的挂的更快

madlife 发表于 2005-3-13 22:09:28

我对这张图看不明白啊受攻击不是105那台电脑可能是中毒还是怎么的,装了norton的,但没有反应105的电脑是内部的一台打字专用的电脑我前一个ROS中就没有碰到这样的问题所以,我还一下舍不得,将那台电脑格式化重装系统实在不行,将105那台装个防火墙有哪位高手看一下,这张图反应了一个怎么样的一个问题问题是怎么产生的?如何解决?受人为的攻击这我可以肯定不是的(这台电脑的配置很差的,32Medo内存,2.1G硬盘,200CPU)这个网络原来是用tplink402m做路由的我想,这个总比402m强很多吧

madlife 发表于 2005-3-13 23:38:43

jack_i5 发表于: Mar 2 2005, 10:12 PM    我早说过,你的防火墙有问题看吧,病毒来了吧过滤forward,防134-139端口的 tcp和udp连接我的是445口,这是一种什么病毒,怎么norton一点反应也没有?(原来在forward中也在drop134-139的,我没有设置)

madlife 发表于 2005-3-13 23:51:03

震荡波”与“冲击波”两蠕虫病毒技术对比 2004年05月02日21:01:21 金山毒霸安全资讯网  “冲击波”病毒:  短短一周之内,“冲击波”这个利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的Windows用户,使他们的计算机无法工作并反复重启,大量企业用户也未能幸免。该病毒还引发了DOS攻击,使多个国家的互联网也受到相当影响。“震荡波” 病毒:  5月1日早晨6点,金山反病毒中心率先检测到一个新的病毒――“震荡波”。该病毒可利用WINDOWS平台的Lsass漏洞进行广泛的传播。中招后的系统将开启上百个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停的进行倒计时重启。其中毒现象非常类似于去年的“冲击波”。共同点:   两者都会:  1、 不断重新启动计算机或者莫名其妙的死机  2、大量消耗系统资源,招系统速度极慢  3、阻塞网络,造成网速变慢直至无法上网不同点:1 冲击波 震荡波 利用的系统漏洞 利用系统的RPC 接口中的缓冲区溢出漏洞,导致RPC服务崩溃。 利用系统的LSASS服务中的缓冲区溢出漏洞 病毒文件 msblast.exe avserve.exe,avserve2.exe 利用端口 TCP 135端口,TCP 4444端口,UDP 69端口 TCP 5554端口,TCP 445端口,TCP 9996端口 攻击目标 有RPC漏洞的电脑和微软升级网站 有LSASS漏洞的电脑

madlife 发表于 2005-3-13 23:51:55

“震荡波”与“冲击波”病毒横向对比 2004-05-13 18:21 --------------------------------------------------------------   南方网讯 背景介绍:  冲击波(Worm.Blaster)病毒2003年8月12日全球爆发,该病毒由于是利用系统漏洞进行传播,因此,没有打补丁的电脑用户都会感染该病毒,从而使电脑出现系统重启、无法正常上网等现象。  2004年5月1日,“震荡波(Worm.Sasser)”病毒在网络出现,该病毒也是通过系统漏洞进行传播的,感染了病毒的电脑会出现系统反复重启、机器运行缓慢,出现系统异常的出错框等现象。  两大恶性病毒的四大区别:   一、利用的漏洞不同  冲击波(Worm.Blaster)病毒利用的是系统的RPC DCOM漏洞,病毒攻击系统时会使RPC服务崩溃,该服务是Windows操作系统使用的一种远程过程调用协议。震荡波(Worm.Sasser)病毒利用的是系统的LSASS服务,该服务是操作系统的使用的本地安全认证子系统服务。  二、产生的文件不同  冲击波(Worm.Blaster)病毒运行时会在内存中产生名为msblast.exe的进程,在系统目录中产生名为msblast.exe的病毒文件,震荡波(Worm.Sasser)病毒运行时会在内存中产生名为avserve.exe的进程,在系统目录中产生名为avserve.exe的病毒文件。  三、 利用的端口不同  冲击波(Worm.Blaster)病毒会监听端口69,模拟出一个TFTP服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,尝试用有RPC漏洞的135端口进行传播。震荡波(Worm.Sasser)病毒会本地开辟后门,听TCP的5554端口,然后做为FTP服务器等待远程控制命令,并疯狂地试探连接445端口。  四、 攻击目标不同  冲击波(Worm.Blaster)病毒攻击所有存在有RPC漏洞的电脑和微软升级网站,而震荡波(Worm.Sasser)病毒攻击的是所有存在有LSASS漏洞的电脑,但目前还未发现有攻击其它网站的现象。编辑:林洁珊

fjingxu 发表于 2005-3-14 08:13:07

中了病毒了。装一个防火墙就可以了,绝对没有问题的。别忘了打补丁。

madlife 发表于 2005-3-14 08:20:38

装这个ROS的网络我是刚接手过来, 我倒啊,一半楼层之间是用光纤相连的我没想到那么垃圾的网络,基础那么好更垃圾的是原来的管理员居然新购的设备是HAB,倒难怪要被他的领导炒了忙了几天查了一下线路网络的结构只能说是电脑之间是通的,呵呵,与城域网全通倒,我可以在家里telnet 内网的sco系统

madlife 发表于 2005-3-14 09:59:15

QUOTE (fjingxu @ Mar 14 2005, 08:13 AM)
中了病毒了。装一个防火墙就可以了,绝对没有问题的。别忘了打补丁。
你是指在ROS中设置一下?还是指中毒的电脑中装个防火墙?如是后者,解决上有问题,不是自己的电脑不好给他乱装什么的

hzkane 发表于 2005-3-14 14:06:33

??上就有防火?的??..

madlife 发表于 2005-3-14 14:37:56

我的防火在forward中没有设置将头上的直接导入后add dst-address=:445 protocol=tcp action=drop log=yes comment="" disabled=no 这一条就产生大量的数据了呵呵,这什么电脑啊445没了又跑出来25的这一次,我看了头上的了25prot是smtp的,倒啊还有53,晕死啊53               UDP      o      DNS攻击还是舍不得将这台电脑重装,哈哈反正用的人已习惯那种速度了
页: [1]
查看完整版本: 求助。关于syn sent 的问题