内网攻击问题,有图

windowsfeng2008 · 发表于 2007-6-24 16:52:01

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

想问一下有什么好用的监控软件,方便提出来一下,

石开 · 发表于 2007-6-24 17:09:19

sniffer

ksw520 · 发表于 2007-6-24 18:00:18

add chain=forward in-interface=lan src-address=!192.168.5.0/24 action=log log-prefix="" comment="" disabled=no
建这样的几条规则。记录非内网IP段的连接，然后建个远程日志服务器。

ROS死之前也会给你留下点东西。查内网ddos攻击源并不难。

njzam · 发表于 2007-6-24 21:02:42

add chain=forward in-interface=lan src-address=!192.168.5.0/24 action=log log-prefix="" comment="" disabled=no
你这里！192.168.5.0/24的意思是不是排除你内网192.168.5.0这个网段

如果我的内网是192.168.0.0的话。这里是不是填写！192.168.0.0/24？

ksw520 · 发表于 2007-6-24 21:26:50

in-interface=lan “lan”也改成你的内网接口名。
精华贴里面有ros远程日志服务器的建立方法。

[ 本帖最后由 ksw520 于 2007-6-24 21:29 编辑 ]

sxmong147 · 发表于 2007-6-25 01:46:55

原帖由 ksw520 于 2007-6-24 21:26 发表

 登录/注册后可看大图

in-interface=lan “lan”也改成你的内网接口名。
精华贴里面有ros远程日志服务器的建立方法。

按了精华的贴子设了还是连不上，看图。。。怎么回事？

ksw520 · 发表于 2007-6-25 11:08:23

帮人帮到底吧。周一上午没事。

laotoulyh · 发表于 2007-6-25 11:34:35

多谢ksw520，正需要这个，你的意思是即使路由死了，凭记录里的src-mac来查内网syn攻击源吧

[ 本帖最后由 laotoulyh 于 2007-6-25 11:37 编辑 ]

windowsfeng2008 · 发表于 2007-6-25 12:00:38

非常谢谢~~~~攻我者打....哈哈

laotoulyh · 发表于 2007-6-25 13:18:07

该打

TechNet · 发表于 2007-6-25 13:34:12

问一下：
那个RX rate 96.7Mbps
表示什么意思？

sxmong147 · 发表于 2007-6-25 16:59:07

有个问题，就是添加这条规则后
add chain=forward in-interface=lan src-address=!192.168.1.0/24 action=log log-prefix="" comment="" disabled=no 把！叹号去掉就可以记录，但记录比较繁忙，一直在快速记录，没去！叹号的话就只能记录进出入路由和更改的动作，不能查看内网ddos攻击源，请问你的是这样吗？

图：

ksw520 · 发表于 2007-6-25 22:45:01

建议楼上的多学点基础知识。

”叹号去掉就可以记录，但记录比较繁忙，一直在快速记录，“去了感叹号等于是记录内网的所有连接了。能不频繁么。

带上“！”号只是记录LAN口非内网地址的连接。你拿个dos攻击工具测试下就明白了。

ROS被ddos死之前肯定会记录下信息的。所以这方法可以很有效找出内网dos攻击源。

sxmong147 · 发表于 2007-6-25 23:35:58

我只是问你是不是这样而已,你就说这说那的,我会的你也不会~~晕死

ksw520 · 发表于 2007-6-26 00:03:01

别问我。我什么也不知道。。。。。。。

账号		自动登录	找回密码
密码			注册

[其它] 内网攻击问题,有图

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。