如何判斷有外網(wǎng)流量攻擊

admin 百為流控評論1,201字?jǐn)?shù) 1654閱讀模式

如何判斷有外網(wǎng)流量攻擊

網(wǎng)吧是否遭受外網(wǎng)流量攻擊,主要看首頁的網(wǎng)口流量。

正常的網(wǎng)絡(luò),WAN口收到的流量,需要轉(zhuǎn)發(fā)給內(nèi)網(wǎng)網(wǎng)卡,由內(nèi)網(wǎng)網(wǎng)卡發(fā)回給客戶機的。

通常情況下,WAN口收到的流量,要與LAN口發(fā)送的流量,大小相當(dāng)(當(dāng)然不是絕對的相等,多數(shù)情況WAN口收到的,會稍微多一點點)

就算是多線路,多個WAN口加起來的流量,也應(yīng)跟LAN口的發(fā)送流量差不多大。

如下圖所示:eth1的 紅色方框 跟 eth0的紅色方框,以及eth1的藍(lán)色方框跟eth0的藍(lán)色方框 大小差不多 

如何判斷有外網(wǎng)流量攻擊

當(dāng)外網(wǎng)遭受攻擊的時候,情況類似如下:

WAN口持續(xù)的收到很大的流量,但這些流量并沒有轉(zhuǎn)發(fā)到LAN口去??膳卸楣?/p>

如何判斷有外網(wǎng)流量攻擊

-----------------------------------------------------------------------------------------------------------------------------------------

如果沒法及時實時流量,可以通過查看流量日志,觀察LAN口和WAN口的歷史流量來判斷,[日志流量]→[日志記錄]→[接口流量日志]

選中WAN口,比如示例中的eth1,在藍(lán)色流量圖,用鼠標(biāo)拉動時間范圍,會顯示出流量明細(xì)圖。

比如19:39分的時候網(wǎng)絡(luò)很卡,鼠標(biāo)移動到曲線圖,可看到當(dāng)時的流量。手工記錄下來。

如何判斷有外網(wǎng)流量攻擊

選中LAN口,比如示例中的eth0,在藍(lán)色流量圖,用鼠標(biāo)拉動時間范圍,會顯示出流量明細(xì)圖。

同樣方法查看19:39分的時候的LAN口流量。手工記錄下來。

如何判斷有外網(wǎng)流量攻擊

通過對比 19:39 的WAN口LAN口歷史流量發(fā)現(xiàn),WAN口收到了很大流量,但流量并沒有轉(zhuǎn)發(fā)到內(nèi)網(wǎng)口去,這很大程度,就是外網(wǎng)攻擊了。

---------------------------------------------------------------------------------------------------------------------------------------

疑問1:外網(wǎng)流量攻擊路由能防么?

答:目前,外網(wǎng)流量攻擊,均為UDP洪水攻擊。攻擊者不管路由收不收這些攻擊數(shù)據(jù)。目的也不是為了攻擊路由。而是堵塞運營商的帶寬。

       打比方,電信給你開50M的帶寬,表示電信到網(wǎng)吧的這條路上,寬度50M。攻擊者發(fā)包過來,是已經(jīng)堵塞你電信到你網(wǎng)吧的這條“道路”

       路由收不收這些數(shù)據(jù),這條“路”永遠(yuǎn)是堵塞的,除非停止攻擊?;蛘邠QIP。

疑問2:能知道是誰來攻擊我?

答復(fù):在攻擊的時候,抓包。[設(shè)備維護(hù)]→[外網(wǎng)抓包],點擊開始抓包。

          如下如所示,比如網(wǎng)吧的IP是 59.40.64.98(目的IP),目的IP就是你網(wǎng)吧IP。源地址,就是攻擊者的IP

          通常,攻擊者的攻擊包的特點是,UDP包攻擊,并且包長都是一直固定的。

 比如下圖,舉例網(wǎng)吧之間惡意競爭,網(wǎng)吧A (168.192.103.252) 攻擊 網(wǎng)吧B(59.40.64.98)。這種情況一抓一個準(zhǔn),報警處理

如何判斷有外網(wǎng)流量攻擊

但現(xiàn)實中,現(xiàn)在流量攻擊,都是雇傭黑客,操縱全球中毒的電腦(俗稱肉雞)同時給你網(wǎng)吧發(fā)包攻擊。源頭根本就無從抓起。

其次,抓包的時候,抓包其實也包含了內(nèi)網(wǎng)的合法的數(shù)據(jù)包。比如有人在下載,抓包看到的,也包含了合法用戶的下載數(shù)據(jù),建議遭受攻擊,需要抓包分析時

先拔掉內(nèi)網(wǎng)交換機,只插一個電腦到路由來抓包分析,得到的數(shù)據(jù),才“干凈”。

新版本取消掉了抓包功能,用戶可自己使用抓包工具來抓包分析。

--------------------------------------------------------------------------------------------------------------------------------

結(jié)論:

遭受外網(wǎng)攻擊,最切實可行的辦法,是使用撥號,寬帶。因為寬帶每次撥號的IP地址,都變化著。用多個寬帶,可以把游戲,網(wǎng)頁,分到每個撥號去

即使遭受攻擊了。重?fù)軐拵Q了IP,問題解決。

版權(quán)聲明:文章圖片資源來源于網(wǎng)絡(luò),如有侵權(quán),請留言刪除!!!
廣告也精彩
admin
  • 本文由 發(fā)表于 2019年3月11日 07:28:43
  • 轉(zhuǎn)載請務(wù)必保留本文鏈接:http://yudch.cn/1073.html
匿名

發(fā)表評論

匿名網(wǎng)友 填寫信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: