如何判斷有外網(wǎng)流量攻擊

admin 百為流控評論1,207字數(shù) 1654閱讀模式

如何判斷有外網(wǎng)流量攻擊

文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

網(wǎng)吧是否遭受外網(wǎng)流量攻擊,主要看首頁的網(wǎng)口流量。文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

正常的網(wǎng)絡,WAN口收到的流量,需要轉(zhuǎn)發(fā)給內(nèi)網(wǎng)網(wǎng)卡,由內(nèi)網(wǎng)網(wǎng)卡發(fā)回給客戶機的。文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

通常情況下,WAN口收到的流量,要與LAN口發(fā)送的流量,大小相當(當然不是絕對的相等,多數(shù)情況WAN口收到的,會稍微多一點點)文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

就算是多線路,多個WAN口加起來的流量,也應跟LAN口的發(fā)送流量差不多大。文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

如下圖所示:eth1的 紅色方框 跟 eth0的紅色方框,以及eth1的藍色方框跟eth0的藍色方框 大小差不多 文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

如何判斷有外網(wǎng)流量攻擊文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

當外網(wǎng)遭受攻擊的時候,情況類似如下:文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

WAN口持續(xù)的收到很大的流量,但這些流量并沒有轉(zhuǎn)發(fā)到LAN口去??膳卸楣?span id="19rhrnnpt5f" class="beupset92">文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

如何判斷有外網(wǎng)流量攻擊文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

-----------------------------------------------------------------------------------------------------------------------------------------文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

如果沒法及時實時流量,可以通過查看流量日志,觀察LAN口和WAN口的歷史流量來判斷,[日志流量]→[日志記錄]→[接口流量日志]文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

選中WAN口,比如示例中的eth1,在藍色流量圖,用鼠標拉動時間范圍,會顯示出流量明細圖。文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

比如19:39分的時候網(wǎng)絡很卡,鼠標移動到曲線圖,可看到當時的流量。手工記錄下來。文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

如何判斷有外網(wǎng)流量攻擊文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

文章源自網(wǎng)吧系統(tǒng)維護-http://www.ykday.cn/1073.html

選中LAN口,比如示例中的eth0,在藍色流量圖,用鼠標拉動時間范圍,會顯示出流量明細圖。

同樣方法查看19:39分的時候的LAN口流量。手工記錄下來。

如何判斷有外網(wǎng)流量攻擊

通過對比 19:39 的WAN口LAN口歷史流量發(fā)現(xiàn),WAN口收到了很大流量,但流量并沒有轉(zhuǎn)發(fā)到內(nèi)網(wǎng)口去,這很大程度,就是外網(wǎng)攻擊了。

---------------------------------------------------------------------------------------------------------------------------------------

疑問1:外網(wǎng)流量攻擊路由能防么?

答:目前,外網(wǎng)流量攻擊,均為UDP洪水攻擊。攻擊者不管路由收不收這些攻擊數(shù)據(jù)。目的也不是為了攻擊路由。而是堵塞運營商的帶寬。

       打比方,電信給你開50M的帶寬,表示電信到網(wǎng)吧的這條路上,寬度50M。攻擊者發(fā)包過來,是已經(jīng)堵塞你電信到你網(wǎng)吧的這條“道路”

       路由收不收這些數(shù)據(jù),這條“路”永遠是堵塞的,除非停止攻擊?;蛘邠QIP。

疑問2:能知道是誰來攻擊我?

答復:在攻擊的時候,抓包。[設備維護]→[外網(wǎng)抓包],點擊開始抓包。

          如下如所示,比如網(wǎng)吧的IP是 59.40.64.98(目的IP),目的IP就是你網(wǎng)吧IP。源地址,就是攻擊者的IP

          通常,攻擊者的攻擊包的特點是,UDP包攻擊,并且包長都是一直固定的。

 比如下圖,舉例網(wǎng)吧之間惡意競爭,網(wǎng)吧A (168.192.103.252) 攻擊 網(wǎng)吧B(59.40.64.98)。這種情況一抓一個準,報警處理

如何判斷有外網(wǎng)流量攻擊

但現(xiàn)實中,現(xiàn)在流量攻擊,都是雇傭黑客,操縱全球中毒的電腦(俗稱肉雞)同時給你網(wǎng)吧發(fā)包攻擊。源頭根本就無從抓起。

其次,抓包的時候,抓包其實也包含了內(nèi)網(wǎng)的合法的數(shù)據(jù)包。比如有人在下載,抓包看到的,也包含了合法用戶的下載數(shù)據(jù),建議遭受攻擊,需要抓包分析時

先拔掉內(nèi)網(wǎng)交換機,只插一個電腦到路由來抓包分析,得到的數(shù)據(jù),才“干凈”。

新版本取消掉了抓包功能,用戶可自己使用抓包工具來抓包分析。

--------------------------------------------------------------------------------------------------------------------------------

結(jié)論:

遭受外網(wǎng)攻擊,最切實可行的辦法,是使用撥號,寬帶。因為寬帶每次撥號的IP地址,都變化著。用多個寬帶,可以把游戲,網(wǎng)頁,分到每個撥號去

即使遭受攻擊了。重撥寬帶換了IP,問題解決。

版權(quán)聲明:文章圖片資源來源于網(wǎng)絡,如有侵權(quán),請留言刪除!!!
廣告也精彩
admin
  • 本文由 發(fā)表于 2019年3月11日 07:28:43
  • 轉(zhuǎn)載請務必保留本文鏈接:http://www.ykday.cn/1073.html
匿名

發(fā)表評論

匿名網(wǎng)友 填寫信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: