刚刚ros遭遇不明攻击，望各位赐教。。

yenan111

傍晚左右，ros突然效率低下，客户普遍反映网速变慢，进入winbox观察ROS，发现cpu使用严重，内存正常，在interface内仔细观察，

发现内网发送数据包猛增，约为正常的2-5倍，每秒发送约8000到9000数据包，最高达到20000数据包每秒，但是接受数据包正常，奇怪的

是发送如此多的数据包，但其流量却没动静，很正常的水平。不知道这个是何种攻击啊。
   
      怀疑肯定是内网某一机子在疯狂发包，耗尽ros的cpu，但是这些数据包却没有流量？由于连接过多，也没有办法查看当前connection，

winbox根本显示不出来，对每个网段进行ques分析，其流量，发包量都很正常，不知是何解？
     
     最终ros的现象就是cpu使用率过高，但未死，约在80~90左右，外线流量明显降低，约为平常50%。不知道下次该如何避免此问题，还

请各位赐教。。

[ 本帖最后由 yenan111 于 2006-12-5 21:06 编辑 ]

专卖精品

DDOS攻击，才2万个包，对方很客气了

yenan111

谢谢您，我已经按照网上的帖子增加了防ddos的啊，是不是不管用啊？还有更好的办法吗？可以判断是来自内网的攻击还是外网的攻击吗？

[ 本帖最后由 yenan111 于 2006-12-5 22:01 编辑 ]

host2318

内网
召集肌肉男，巡视，发现，KO之，以后免疫

naboo

内网有毒

zooyo

香水有毒

yenan111

关键是不好查啊，流量没有上升，就无法找到最大流量的机子，而且连接数也看不到，winbox没有响应，有什么好办法快速查出是哪个Ip机子中毒吗？有没有第三方的工具查看connection啊，像查看log日志的那样，远程记录，不用winbox，winbox处理不过来。

[ 本帖最后由 yenan111 于 2006-12-6 13:51 编辑 ]

cracy

sniffer

yenan111

看来只有这样了，想轻松是不可能的，还是得大动干戈，仔细查

naboo

你都知道“内网网卡发包”大了，还不就是有毒么～，一台两台发那不叫DDOS！

白头

你把3705-3708端口drop掉就行,ROS CPU占用率过高有时候并不是全部都因为内网攻击造成的,我就是个例子,是有人在用迅雷下东西!DROP掉这个端口,CPU占用率马上下降,效果非常明显!

xqs428

没抓包工具的时候使用观看交换机指示灯的办法也是可以的
在这种情况下，交换机的某个灯应该是狂闪的，那个就是的了