查找内网DDOS攻击源的方法

沉默刺客

       使用WINBOX进入ros路由设置，可以通过SYSTEM-RESOURCES查看当前路由器的CPU资源状况，正常情况下应保持在0%-10%之间。一旦内网中出现CPU资源占用达50%以上说明内网一定存在攻击源或病毒，
      此时应立即查看IP-FIREWALL-CONNECTIONS中的连接情况，可以通过二种排序方法进行排查，一是排序SRC.addrees查看是否存在非法IP，记录下其对应的DST.addrees，二是查看TCP STATE，查看是否存在大量的SYN SENT（半连接），二相映照，如果大量非法IP都对应的是SYN SENT就可以确定是存在内网攻击。
   此时进入TOOL-PACKET SNIFFER-GENERAL界面INTERFACE选择内网，TOOL-PACKET SNIFFER-FILTER，PROTOCOL选择IP ONLY ，ADDRESS1中选择刚才查到的DST.ADDRESS,选择APPLY，再选择START开始抓包，约30秒即可选STOP停止。
从抓包列表中双击非法IP，弹出的对话框中将显示SRC.MAC ADDRESS,再打开二个非法包的对话框看其SRC.MAC ADDRESS是否是一样的，如果一样可以确定该MAC地址一定是攻击源。MAC发现后，就好办了，
   进入IP-ARP可以查到该MAC地址对应的真实IP是多少进而决定是哪一台机。

cmck999

强,我试一下

inrmpfi

xc81877996

强啊！

君君

强啊！！！！比较实用的东西！！！高人出手了！！！

君君

效果不错！！！精华！！！

fysfxy

毛用啊，routerOS CPU 100% 你连个鸭毛。

fysfxy

鉴于斑竹的错误引导，本人知道的东西不得不告诉大家。

routerOS现在没有比较好的预防内网DDOS的方法，而且在出现问题的时候也不能快速的排查故障源。

鉴于router的这个缺点，我不得不更换了monowall 这不是做广告。

monowall很强大的地方，mono遇到syn,或者是DDOS的时候也一样的掉线，这一点，我想没人会怀疑的。

但mono有个很强的地方就在于，无论什么时候（只要不是所有的内网一起攻击，内网是很少可能出现所有机器一起攻击的情况），你都能连接mono，查看攻击源。具体的方法很简单，查看”防火墙状态“，因为攻击，防火墙状态里连的最多的那个IP就是攻击源。再往后，你一定知道怎么办了。

有个选择的标准，如果你很少出现内网攻击的事件，你可以继续使用router OS, 如果经常出现，建议你更换路由为bsd系统内核的monoWall

个人善意的提醒。

沉默刺客

严格意义上讲，任何内网攻击，路由都是无法控制的，MONO也是在一定程度攻击上可以连得上路由。当然会比ROS强点，因为他比较像是一个专业的防火墙。我这里说的也是轻度攻击时！特别是病毒引起的攻击，用这种方法查，还是可以的，人为开工具攻击的话，MONO一样连不上去，请楼上的不要太偏激！

fysfxy

原帖由 沉默刺客 于 2007-6-6 20:27 发表

                               
登录/注册后可看大图

严格意义上讲，任何内网攻击，路由都是无法控制的，MONO也是在一定程度攻击上可以连得上路由。当然会比ROS强点，因为他比较像是一个专业的防火墙。我这里说的也是轻度攻击时！特别是病毒引起的攻击，用这种方法 ...

我100M的网络。内网攻击达 90M的时候，ping 内网网关不丢一包。足以说明mono的可靠性。

lomey

不错，顶一下

txwwy

ROS 一样可以做到内网攻击90M, PING 不掉包

446549167

没话说，我顶。。。

ddr

原帖由 fysfxy 于 2007-6-6 20:15 发表

                               
登录/注册后可看大图

鉴于斑竹的错误引导，本人知道的东西不得不告诉大家。

routerOS现在没有比较好的预防内网DDOS的方法，而且在出现问题的时候也不能快速的排查故障源。

鉴于router的这个缺点，我不得不更换了monowall 这不 ...

唯心主义！！！！！！！！！！！！！

xbin2002

严格意义上讲，任何内网攻击，路由都是无法控制的，MONO也是在一定程度攻击上可以连得上路由。当然会比ROS强 ...
沉默刺客 发表于 2007-6-6 20:27

                               
登录/注册后可看大图

    ROS一样不掉 和网卡有关系