如何判斷有外網(wǎng)流量攻擊
網(wǎng)吧是否遭受外網(wǎng)流量攻擊,主要看首頁的網(wǎng)口流量。
正常的網(wǎng)絡(luò),WAN口收到的流量,需要轉(zhuǎn)發(fā)給內(nèi)網(wǎng)網(wǎng)卡,由內(nèi)網(wǎng)網(wǎng)卡發(fā)回給客戶機的。
通常情況下,WAN口收到的流量,要與LAN口發(fā)送的流量,大小相當(dāng)(當(dāng)然不是絕對的相等,多數(shù)情況WAN口收到的,會稍微多一點點)
就算是多線路,多個WAN口加起來的流量,也應(yīng)跟LAN口的發(fā)送流量差不多大。
如下圖所示:eth1的 紅色方框 跟 eth0的紅色方框,以及eth1的藍(lán)色方框跟eth0的藍(lán)色方框 大小差不多
當(dāng)外網(wǎng)遭受攻擊的時候,情況類似如下:
WAN口持續(xù)的收到很大的流量,但這些流量并沒有轉(zhuǎn)發(fā)到LAN口去??膳卸楣?/p>
-----------------------------------------------------------------------------------------------------------------------------------------
如果沒法及時實時流量,可以通過查看流量日志,觀察LAN口和WAN口的歷史流量來判斷,[日志流量]→[日志記錄]→[接口流量日志]
選中WAN口,比如示例中的eth1,在藍(lán)色流量圖,用鼠標(biāo)拉動時間范圍,會顯示出流量明細(xì)圖。
比如19:39分的時候網(wǎng)絡(luò)很卡,鼠標(biāo)移動到曲線圖,可看到當(dāng)時的流量。手工記錄下來。
選中LAN口,比如示例中的eth0,在藍(lán)色流量圖,用鼠標(biāo)拉動時間范圍,會顯示出流量明細(xì)圖。
同樣方法查看19:39分的時候的LAN口流量。手工記錄下來。
通過對比 19:39 的WAN口LAN口歷史流量發(fā)現(xiàn),WAN口收到了很大流量,但流量并沒有轉(zhuǎn)發(fā)到內(nèi)網(wǎng)口去,這很大程度,就是外網(wǎng)攻擊了。
---------------------------------------------------------------------------------------------------------------------------------------
疑問1:外網(wǎng)流量攻擊路由能防么?
答:目前,外網(wǎng)流量攻擊,均為UDP洪水攻擊。攻擊者不管路由收不收這些攻擊數(shù)據(jù)。目的也不是為了攻擊路由。而是堵塞運營商的帶寬。
打比方,電信給你開50M的帶寬,表示電信到網(wǎng)吧的這條路上,寬度50M。攻擊者發(fā)包過來,是已經(jīng)堵塞你電信到你網(wǎng)吧的這條“道路”
路由收不收這些數(shù)據(jù),這條“路”永遠(yuǎn)是堵塞的,除非停止攻擊?;蛘邠QIP。
疑問2:能知道是誰來攻擊我?
答復(fù):在攻擊的時候,抓包。[設(shè)備維護(hù)]→[外網(wǎng)抓包],點擊開始抓包。
如下如所示,比如網(wǎng)吧的IP是 59.40.64.98(目的IP),目的IP就是你網(wǎng)吧IP。源地址,就是攻擊者的IP
通常,攻擊者的攻擊包的特點是,UDP包攻擊,并且包長都是一直固定的。
比如下圖,舉例網(wǎng)吧之間惡意競爭,網(wǎng)吧A (168.192.103.252) 攻擊 網(wǎng)吧B(59.40.64.98)。這種情況一抓一個準(zhǔn),報警處理
但現(xiàn)實中,現(xiàn)在流量攻擊,都是雇傭黑客,操縱全球中毒的電腦(俗稱肉雞)同時給你網(wǎng)吧發(fā)包攻擊。源頭根本就無從抓起。
其次,抓包的時候,抓包其實也包含了內(nèi)網(wǎng)的合法的數(shù)據(jù)包。比如有人在下載,抓包看到的,也包含了合法用戶的下載數(shù)據(jù),建議遭受攻擊,需要抓包分析時
先拔掉內(nèi)網(wǎng)交換機,只插一個電腦到路由來抓包分析,得到的數(shù)據(jù),才“干凈”。
新版本取消掉了抓包功能,用戶可自己使用抓包工具來抓包分析。
--------------------------------------------------------------------------------------------------------------------------------
結(jié)論:
遭受外網(wǎng)攻擊,最切實可行的辦法,是使用撥號,寬帶。因為寬帶每次撥號的IP地址,都變化著。用多個寬帶,可以把游戲,網(wǎng)頁,分到每個撥號去
即使遭受攻擊了。重?fù)軐拵Q了IP,問題解決。
評論