iT邦幫忙

0

關於防火牆DOS攻擊的信息解讀

120131511 5 年前33450 瀏覽

居易 2920防火牆,設有防火牆DOS攻擊的EMAIL通知,
每隔5-10分鐘會收到下面訊息,如下:
2011/08/21 23:14:03 -- [DOS][Block][trace_route][169.254.116.134:62747->224.0.0.252:5355][UDP][HLen=20, TLen=50]
2011/08/21 23:14:03 -- [DOS][Block][trace_route][61.221.64.137:62747->224.0.0.252:5355][UDP][HLen=20, TLen=50]
2011/08/21 23:14:02 -- [DOS][Block][fraggle_attack][0.0.0.0:68->255.255.255.255:67][UDP][HLen=20, TLen=334]

請問就上面的意思是(猜想)

169.254.116.134,61.221.64.137(網站中獎被當魁儡?)、0.0.0.0:68為發動攻擊方,
攻擊61.221.64.135,要將訊息傳到224.0.0.252?

還是
224.0.0.252為攻擊方,攻擊61.221.64.135~137所有的電腦?

感謝有經驗的大大給予指點

目前的網路設定
有3個固定IP 61.221.64.135~137
防火牆IP為61.221.64.135
61.221.64.137為網站(伺服器直接接實體IP,未經防火牆)

pqr0007 iT邦研究生 1 級 ‧ 5 年前 檢舉
update 防火牆的軟體!!...
14
zyman2008
iT邦大師 9 級 ‧ 5 年前
最佳解答

這是我的解讀:
(1) -> 224.0.0.252:5355, 這應該是 windows 的 LLMNR 封包.
當 windows vista/7 DNS 解析不到對方時,會嘗試用 LLMNR 作解析.
不過會中 2920 trace_route 這條規則, 到是覺得像是誤擋. 這點你可以
問一下 DreyTek, http://www.draytek.com.tw/user/SupportEmailto.php

(2) 0.0.0.0:68->255.255.255.255:67
DHCP client 作 DHCP discover 的動作. fraggle_attack 是 2920 針對
WAN 端封包作比對, 請確認 WAN 端是否有其他的電腦在發這些封包.

光靠 firewall 的 log 無法知道真正的封包是甚麼. 我記得 Dreytek 2920 好像有 port mirror 功能,可以把裝有 wireshark 的電腦,接到那個 mirror port 去錄封包,直接看封包就知道是否有問題了.

6
pisceseros
iT邦新手 3 級 ‧ 5 年前

在goole 上打224.0.0.252去搜尋,好像有很多相同的資訊可以參考

120131511 iT邦研究生 4 級 ‧ 5 年前 檢舉

找過224.0.0.252,但信息很雜亂,想知道有經驗的人,是否有一針見血的解答。

4
harrier7
iT邦研究生 2 級 ‧ 5 年前

個人看法:
1.169.254.x.x 是 DHCP 抓不到時,自動指定的 IP,詳見 http://tools.ietf.org/html/rfc3927;(所以你有主機設 DHCP 卻找不到 DHCP server 或要不到 IP)
2.224.x.x.x 表示該主機對外使用 multicast,詳見 http://en.wikipedia.org/wiki/IP\_multicast;(有很多情況會使用 multicast 功能,例如 WebLogic 的 Cluster 功能)
3.你的網路上有主機開啟 "透過網路開機" 的功能,見 http://en.wikipedia.org/wiki/IP\_multicasthttp://tools.ietf.org/html/rfc951,這功能使用 67/68 port。
看起來是有些設定不夠紮實所致。

我要發表回答

立即登入回答