找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 29501|回复: 23

查找内网DDOS攻击源的方法

[复制链接]
发表于 2007-6-2 15:31:08 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
       使用WINBOX进入ros路由设置,可以通过SYSTEM-RESOURCES查看当前路由器的CPU资源状况,正常情况下应保持在0%-10%之间。一旦内网中出现CPU资源占用达50%以上说明内网一定存在攻击源或病毒,
      此时应立即查看IP-FIREWALL-CONNECTIONS中的连接情况,可以通过二种排序方法进行排查,一是排序SRC.addrees查看是否存在非法IP,记录下其对应的DST.addrees,二是查看TCP STATE,查看是否存在大量的SYN SENT(半连接),二相映照,如果大量非法IP都对应的是SYN SENT就可以确定是存在内网攻击。
   此时进入TOOL-PACKET SNIFFER-GENERAL界面INTERFACE选择内网,TOOL-PACKET SNIFFER-FILTER,PROTOCOL选择IP ONLY ,ADDRESS1中选择刚才查到的DST.ADDRESS,选择APPLY,再选择START开始抓包,约30秒即可选STOP停止。
从抓包列表中双击非法IP,弹出的对话框中将显示SRC.MAC ADDRESS,再打开二个非法包的对话框看其SRC.MAC ADDRESS是否是一样的,如果一样可以确定该MAC地址一定是攻击源。MAC发现后,就好办了,
   进入IP-ARP可以查到该MAC地址对应的真实IP是多少进而决定是哪一台机。
routeros
发表于 2007-6-3 14:21:23 | 显示全部楼层
强,我试一下
routeros
回复

使用道具 举报

发表于 2007-6-3 15:08:34 | 显示全部楼层
routeros
回复

使用道具 举报

发表于 2007-6-4 04:37:46 | 显示全部楼层
强啊!
routeros
回复

使用道具 举报

发表于 2007-6-4 14:04:17 | 显示全部楼层
强啊!!!!比较实用的东西!!!高人出手了!!!
routeros
回复

使用道具 举报

发表于 2007-6-4 14:06:01 | 显示全部楼层
效果不错!!!精华!!!
routeros
回复

使用道具 举报

发表于 2007-6-6 19:40:07 | 显示全部楼层
毛用啊,routerOS CPU 100% 你连个鸭毛。
routeros
回复

使用道具 举报

发表于 2007-6-6 20:15:36 | 显示全部楼层
鉴于斑竹的错误引导,本人知道的东西不得不告诉大家。

routerOS现在没有比较好的预防内网DDOS的方法,而且在出现问题的时候也不能快速的排查故障源。

鉴于router的这个缺点,我不得不更换了monowall 这不是做广告。

monowall很强大的地方,mono遇到syn,或者是DDOS的时候也一样的掉线,这一点,我想没人会怀疑的。

但mono有个很强的地方就在于,无论什么时候(只要不是所有的内网一起攻击,内网是很少可能出现所有机器一起攻击的情况),你都能连接mono,查看攻击源。具体的方法很简单,查看”防火墙状态“,因为攻击,防火墙状态里连的最多的那个IP就是攻击源。再往后,你一定知道怎么办了。

有个选择的标准,如果你很少出现内网攻击的事件,你可以继续使用router OS, 如果经常出现,建议你更换路由为bsd系统内核的monoWall

个人善意的提醒。
routeros
回复

使用道具 举报

 楼主| 发表于 2007-6-6 20:27:22 | 显示全部楼层
严格意义上讲,任何内网攻击,路由都是无法控制的,MONO也是在一定程度攻击上可以连得上路由。当然会比ROS强点,因为他比较像是一个专业的防火墙。我这里说的也是轻度攻击时!特别是病毒引起的攻击,用这种方法查,还是可以的,人为开工具攻击的话,MONO一样连不上去,请楼上的不要太偏激!
routeros
回复

使用道具 举报

发表于 2007-6-6 20:44:20 | 显示全部楼层
原帖由 沉默刺客 于 2007-6-6 20:27 发表
严格意义上讲,任何内网攻击,路由都是无法控制的,MONO也是在一定程度攻击上可以连得上路由。当然会比ROS强点,因为他比较像是一个专业的防火墙。我这里说的也是轻度攻击时!特别是病毒引起的攻击,用这种方法 ...


我100M的网络。内网攻击达 90M的时候,ping 内网网关不丢一包。足以说明mono的可靠性。
routeros
回复

使用道具 举报

发表于 2007-9-28 03:14:54 | 显示全部楼层
不错,顶一下
routeros
回复

使用道具 举报

发表于 2007-9-28 11:17:51 | 显示全部楼层
ROS 一样可以做到内网攻击90M, PING 不掉包
routeros
回复

使用道具 举报

发表于 2007-10-13 12:54:33 | 显示全部楼层
没话说,我顶。。。
routeros
回复

使用道具 举报

发表于 2007-10-14 13:00:40 | 显示全部楼层
原帖由 fysfxy 于 2007-6-6 20:15 发表
鉴于斑竹的错误引导,本人知道的东西不得不告诉大家。

routerOS现在没有比较好的预防内网DDOS的方法,而且在出现问题的时候也不能快速的排查故障源。

鉴于router的这个缺点,我不得不更换了monowall 这不 ...



唯心主义!!!!!!!!!!!!!
routeros
回复

使用道具 举报

发表于 2010-4-27 16:58:28 | 显示全部楼层
严格意义上讲,任何内网攻击,路由都是无法控制的,MONO也是在一定程度攻击上可以连得上路由。当然会比ROS强 ...
沉默刺客 发表于 2007-6-6 20:27



    ROS一样不掉 和网卡有关系
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-21 20:46 , Processed in 0.095523 second(s), 7 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表