none
請問這種狀況是被人攻擊嗎?? RRS feed

  • 問題

  • 各位前輩:

     

    小弟公司有條固8IPADSL連接到ISA 2004 Firewall, ISA上面開80/443port ,將某一個IP對應到一台SSL VPN設備.

     

    最近每隔幾天就遇到服務中斷的問題, 在廠商的協助下抓封包後發現session數過多而導致機器服務不正常,

    其他的IP上面也有Mail/Web/FTP等服務, 但都很正常, 請問這樣是受到DOS攻擊嗎?? 該如何處理呢?

    Hinet反應有用嗎? 謝謝

     

     

    PS1: MRTG的流量無異常, 也排除中毒的可能性

    PS2: 圖片在 http://lcn0.myweb.hinet.net/image/a001.jpg

     

    2007年11月14日 上午 05:59

解答

  • 其實要分析幾個點

    1.你的VPN設備是否有最高Session數量限制

    2.看起來是被DOS或者病毒攻擊,因為都是在找不存在的檔案

    3.你看看要不要把PORT改掉看看會不會比較好一點

    2007年11月22日 下午 04:33
  • 我在想會不會是你的硬體被轟垮了,需要把網路設備斷電重開。

     

    若是的話,先看看該硬體有沒有韌體可更新,有的話更新後再試看看,如果不行,先跟廠商調借其他網路設備試看看。

     

    家用型的路由器、IP分享器或是無線基地台很容易被轟垮...

     

    至於是不是攻擊,當然是,這種攻擊每天都有上千次,已經是無差別攻擊了,但是一般不會要求一堆莫名其妙的網址,搞不好你這個固定 ip 以前曾經被人拿來架站過也不一定,你先換其他固定 ip 看看,如果其他固定 ip 也這麼嚴重,可以試著跟 ISP 業者協調換固定 ip 。

     

    因為我這也常被廣告程式攻擊,內容不是這樣,都是對我網站的攻擊

    2007年11月23日 上午 08:21

所有回覆

  • 其實要分析幾個點

    1.你的VPN設備是否有最高Session數量限制

    2.看起來是被DOS或者病毒攻擊,因為都是在找不存在的檔案

    3.你看看要不要把PORT改掉看看會不會比較好一點

    2007年11月22日 下午 04:33
  • 我在想會不會是你的硬體被轟垮了,需要把網路設備斷電重開。

     

    若是的話,先看看該硬體有沒有韌體可更新,有的話更新後再試看看,如果不行,先跟廠商調借其他網路設備試看看。

     

    家用型的路由器、IP分享器或是無線基地台很容易被轟垮...

     

    至於是不是攻擊,當然是,這種攻擊每天都有上千次,已經是無差別攻擊了,但是一般不會要求一堆莫名其妙的網址,搞不好你這個固定 ip 以前曾經被人拿來架站過也不一定,你先換其他固定 ip 看看,如果其他固定 ip 也這麼嚴重,可以試著跟 ISP 業者協調換固定 ip 。

     

    因為我這也常被廣告程式攻擊,內容不是這樣,都是對我網站的攻擊

    2007年11月23日 上午 08:21
  • 感謝兩位的回覆:


    我也覺得硬體被轟垮了沒錯,跟開始找代理商,之後原廠的工程師也來了,我們抓了封包才發現這種情形,
    據說他們全球所有出貨的設備中,還沒有遇過這種情形。

    目前只能用被動的方式解決,就是將設備移到另一條ADSL上,暫時將受攻擊的線路關閉一陣子看看。

    又,這個IP我們已經用了10年了,只是到目前才出狀況~

    2007年11月29日 上午 08:36