作者 主題: 網路 遭DOS攻擊一事 求救  (閱讀 1554 次)

0 會員 與 1 訪客 正在閱讀本文。

fl7725

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
網路 遭DOS攻擊一事 求救
« 於: 2014-02-10 11:23 »
不好意思! 因為我是新手菜鳥,還有很多要學的經驗
只是目前碰到這問題,讓我不知所措,好緊張~ 有點慌~
找好多文章,都找不到解決方法~ 擋IP 因IP一直變擋不住
怎麼辦?

想用Wireshark軟體來查,但因為192.168.222.16(mail server)是Linux介面(無圖形介面),無法安裝軟體在此電腦伺服上,讓我不知如何查。
附件01、02 為Mail server 的介面
附件01:https://docs.google.com/file/d/0B8ttz09mnCKqY1JTLXprWGczX28/edit
附件02:https://docs.google.com/file/d/0B8ttz09mnCKqdkZ4dWotaUMtbzQ/edit

附件03為路由器上的流量表:192.168.222.16 是Mail server 卻一直被佔線下不來
附件03:https://docs.google.com/file/d/0B8ttz09mnCKqZWJaT2FDek9oanc/edit

附件04是直接搜192.168.222.16,上傳頻寬大部分為411/416/6112/6240,不然就是皆為0
而且來源IP 一直在變,想先暫時封鎖IP 來暫緩頻寬,但都擋不完也擋不住
附件04:https://docs.google.com/file/d/0B8ttz09mnCKqRmRQbWtmVzBOcXc/edit



是否有高手能給意見
我急壞了~"~

第一次發文,請多指教~有PO錯地方之情形,歡迎告知,盡速改進
« 上次編輯: 2014-02-11 09:06 由 fl7725 »

u8526425

  • 俺是博士!
  • *****
  • 文章數: 1135
  • 性別: 男
    • 檢視個人資料
Re: server 遭DOS攻擊一事 求救
« 回覆 #1 於: 2014-02-10 13:10 »
異常流量的TCP : 53為DNS服務

也許是這種問題
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7379
如果不是很特殊的話
把你的外部DN設定為ISP代管
再關閉tcp 53的通道
即可避免此類問題
« 上次編輯: 2014-02-10 13:13 由 u8526425 »
多見者博,多聞者智,拒諫者塞,專己者孤

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
Re: server 遭DOS攻擊一事 求救
« 回覆 #2 於: 2014-02-10 14:54 »
找廠商吧,看這套不是一般自己裝會選擇版本
網路架構也很怪

fl7725

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
Re: server 遭DOS攻擊一事 求救
« 回覆 #3 於: 2014-02-10 16:37 »
找廠商吧,看這套不是一般自己裝會選擇版本
網路架構也很怪

您好!  可能我比較不會表達,所以讓您感到架構怪怪的
其實,只是單純 路由器->switch->Mail server
從路由器的流量統計log查看,Mail server這台電腦一直從53port被攻擊

因53 port是DNS,所以無法直接檔53port,怕擋了會收不到信..
DNS服務應該在連線數上,本來就會比較高
不論是網頁、郵件收送,都會跟DNS詢問
只是流量平常都不會這麼高,而且好多天都下不來了


Mail server 廠商回復我,說:
在那統計流量中,出現的是被瞬間的 DNS port 53 佔住服務
所以,你們無法收送信件是因為 DNS被卡住,所以”找不到”主機,而無法完成送信


所以想在這詢問是否有高手能幫忙解決..

另外,我想請問一下,這樣應該算是網路問題及資安問題吧! 移到Linux 版 會不會有問題?

希望版大高手能多多指教^^ :)

fl7725

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
Re: server 遭DOS攻擊一事 求救
« 回覆 #4 於: 2014-02-10 16:42 »
異常流量的TCP : 53為DNS服務

也許是這種問題
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7379
如果不是很特殊的話
把你的外部DN設定為ISP代管
再關閉tcp 53的通道
即可避免此類問題

哈囉! 您好!
是的! 在那統計流量中,出現的是被瞬間的 DNS port 53 佔住服務
所以,造成無法收送信件是因為 DNS被卡住,所以”找不到”主機,而無法完成送信

DNS服務應該在連線數上,本來就會比較高
應該不論是網頁、郵件收送,都會跟DNS詢問
只是流量突然被佔線,且一佔就佔了一個多禮拜都下不來...

進來的IP也不斷在變,只擋IP好像都擋不住..

不知道能怎麼解決..

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
Re: 網路 遭DOS攻擊一事 求救
« 回覆 #5 於: 2014-02-11 09:44 »
找廠商是因為,看你的描述,就知道,你根本沒能力解決,連log在哪邊看都不知道
這家不行就找別家

fl7725

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
Re: 網路 遭DOS攻擊一事 求救
« 回覆 #6 於: 2014-02-11 10:55 »
找廠商是因為,看你的描述,就知道,你根本沒能力解決,連log在哪邊看都不知道
這家不行就找別家


= ="
所以我才說我是菜鳥新手上路,才想請您們幫忙提供意見解決.. 不是來被酸的..


另外,昨晚我自己解決了..


damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
Re: 網路 遭DOS攻擊一事 求救
« 回覆 #7 於: 2014-02-11 16:38 »
建議你找廠商是因為就算這裡的人告訴你怎麼查問題,也未必有用,沒能力處理,最好別亂動
聽不聽隨你

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
Re: 網路 遭DOS攻擊一事 求救
« 回覆 #8 於: 2014-02-12 00:23 »
上面的有答案了阿 .. DNS 代管

既然是公司 , 直接打 hinet 說要代管 DNS ... 順便在前端先幫忙檔掉
多少錢我們老闆都答應 , 中午前動作 ..... 多簡單阿 ~~



...... 帳單 .. 三個月後來請款