居易 2920防火牆,設有防火牆DOS攻擊的EMAIL通知,
每隔5-10分鐘會收到下面訊息,如下:
2011/08/21 23:14:03 -- [DOS][Block][trace_route][169.254.116.134:62747->224.0.0.252:5355][UDP][HLen=20, TLen=50]
2011/08/21 23:14:03 -- [DOS][Block][trace_route][61.221.64.137:62747->224.0.0.252:5355][UDP][HLen=20, TLen=50]
2011/08/21 23:14:02 -- [DOS][Block][fraggle_attack][0.0.0.0:68->255.255.255.255:67][UDP][HLen=20, TLen=334]
請問就上面的意思是(猜想)
169.254.116.134,61.221.64.137(網站中獎被當魁儡?)、0.0.0.0:68為發動攻擊方,
攻擊61.221.64.135,要將訊息傳到224.0.0.252?
還是
224.0.0.252為攻擊方,攻擊61.221.64.135~137所有的電腦?
感謝有經驗的大大給予指點
目前的網路設定
有3個固定IP 61.221.64.135~137
防火牆IP為61.221.64.135
61.221.64.137為網站(伺服器直接接實體IP,未經防火牆)
已邀請的邦友 {{ invite_list.length }}/5
這是我的解讀:
(1) -> 224.0.0.252:5355, 這應該是 windows 的 LLMNR 封包.
當 windows vista/7 DNS 解析不到對方時,會嘗試用 LLMNR 作解析.
不過會中 2920 trace_route 這條規則, 到是覺得像是誤擋. 這點你可以
問一下 DreyTek, http://www.draytek.com.tw/user/SupportEmailto.php
(2) 0.0.0.0:68->255.255.255.255:67
DHCP client 作 DHCP discover 的動作. fraggle_attack 是 2920 針對
WAN 端封包作比對, 請確認 WAN 端是否有其他的電腦在發這些封包.
光靠 firewall 的 log 無法知道真正的封包是甚麼. 我記得 Dreytek 2920 好像有 port mirror 功能,可以把裝有 wireshark 的電腦,接到那個 mirror port 去錄封包,直接看封包就知道是否有問題了.
在goole 上打224.0.0.252去搜尋,好像有很多相同的資訊可以參考
個人看法:
1.169.254.x.x 是 DHCP 抓不到時,自動指定的 IP,詳見 http://tools.ietf.org/html/rfc3927;(所以你有主機設 DHCP 卻找不到 DHCP server 或要不到 IP)
2.224.x.x.x 表示該主機對外使用 multicast,詳見 http://en.wikipedia.org/wiki/IP_multicast;(有很多情況會使用 multicast 功能,例如 WebLogic 的 Cluster 功能)
3.你的網路上有主機開啟 "透過網路開機" 的功能,見 http://en.wikipedia.org/wiki/IP_multicast 和 http://tools.ietf.org/html/rfc951,這功能使用 67/68 port。
看起來是有些設定不夠紮實所致。
iThome鐵人賽
看影片追技術