iT邦幫忙

1

不停發送發包該如何解決!!

robin12385 1 年前1196 瀏覽

最近公司從防火牆封包紀錄查看不停有內部IP發送封包,
導致網路有時會癱瘓,用了一些方法還是未能找出找去
電腦位置,想請問大大該如何解決此問題,麻煩謝謝!!

時間 來源位址 目的位址 埠號
05/25 15:14:41 192.168.1.18 140.124.13.91 24011688(WAN=2)
05/25 15:14:41 192.168.1.9 64.4.23.175 257140029(WAN=2)
05/25 15:14:41 192.168.1.9 157.55.56.162 257140019(WAN=1)
05/25 15:14:41 192.168.1.121 210.59.230.44 6330780(WAN=2)
05/25 15:14:41 192.168.1.121 210.59.230.44 6330680(WAN=2)
05/25 15:14:41 192.168.1.9 111.221.77.140 257140033(WAN=1)
05/25 15:14:41 192.168.1.9 111.221.77.169 257140004(WAN=1)
05/25 15:14:41 192.168.1.9 157.56.52.21 257140016(WAN=1)
05/25 15:14:41 192.168.1.9 111.221.77.160 257140010(WAN=1)
05/25 15:14:41 192.168.1.9 111.221.77.164 257140003(WAN=1)
05/25 15:14:40 192.168.1.18 173.194.72.138 2285443(WAN=1)
05/25 15:14:40 192.168.1.121 220.228.8.10 6330180(WAN=2)
05/25 15:14:40 192.168.1.18 74.125.203.93 2284443(WAN=1)
05/25 15:14:40 192.168.1.121 210.59.230.178 6328180(WAN=1)
05/25 15:14:40 192.168.1.121 220.130.119.40 6328380(WAN=1)
05/25 15:14:40 192.168.1.121 220.130.119.50 6328480(WAN=1)
05/25 15:14:40 192.168.1.121 220.130.119.50 6327980(WAN=1)
05/25 15:14:40 192.168.1.34 157.56.52.29 3737440005(WAN=1)
05/25 15:14:39 192.168.1.34 111.221.77.156 3737440010(WAN=1)
05/25 15:14:39 192.168.1.34 65.55.223.39 3737440033(WAN=1)


weiclin iT邦高手 7 級 ‧ 1 年前 檢舉
網路癱瘓也不一定是對外流量造成的, 也查一下區網的流量吧
5
窮嘶發發發
iT邦高手 1 級 ‧ 1 年前
最佳解答

整理一下你的 LOG紀錄

基本上都是內對外的連線紀錄,那裏有受外對內的攻擊咧

樓主應該不會連 內部IP都不認得吧,還有 埠號應該會認吧

這些埠號都是蠻正常的位置,我看裡面 80埠的,是什麼 GOOGLE PCHOME 這類的網址

真的一個一個查,還真的看不出有哪個IP 發出什麼攻擊的封包

時間 來源位址 目的位址 埠號
05/25 15:14:41 192.168.1.18 140.124.13.91 2401 1688(WAN=2)
05/25 15:14:41 192.168.1.9 64.4.23.175 2571 40029(WAN=2)
05/25 15:14:41 192.168.1.9 157.55.56.162 2571 40019(WAN=1)
05/25 15:14:41 192.168.1.121 210.59.230.44 63307 80(WAN=2)
05/25 15:14:41 192.168.1.121 210.59.230.44 63306 80(WAN=2)
05/25 15:14:41 192.168.1.9 111.221.77.140 2571 40033(WAN=1)
05/25 15:14:41 192.168.1.9 111.221.77.169 2571 40004(WAN=1)
05/25 15:14:41 192.168.1.9 157.56.52.21 2571 40016(WAN=1)
05/25 15:14:41 192.168.1.9 111.221.77.160 2571 40010(WAN=1)
05/25 15:14:41 192.168.1.9 111.221.77.164 2571 40003(WAN=1)
05/25 15:14:40 192.168.1.18 173.194.72.138 2285 443(WAN=1)
05/25 15:14:40 192.168.1.121 220.228.8.10 63301 80(WAN=2)
05/25 15:14:40 192.168.1.18 74.125.203.93 2284 443(WAN=1)
05/25 15:14:40 192.168.1.121 210.59.230.178 63281 80(WAN=1)
05/25 15:14:40 192.168.1.121 220.130.119.40 63283 80(WAN=1)
05/25 15:14:40 192.168.1.121 220.130.119.50 63284 80(WAN=1)
05/25 15:14:40 192.168.1.121 220.130.119.50 63279 80(WAN=1)
05/25 15:14:40 192.168.1.34 157.56.52.29 37374 40005(WAN=1)
05/25 15:14:39 192.168.1.34 111.221.77.156 37374 40010(WAN=1)
05/25 15:14:39 192.168.1.34 65.55.223.39 37374 40033(WAN=1)

窮嘶發發發 iT邦高手 1 級 ‧ 1 年前 檢舉

時間 來源位址 目的位址 埠號

05/25 15:14:41 192.168.1.18 140.124.13.91 2401 1688(WAN=2)

05/25 15:14:41 192.168.1.9 64.4.23.175 2571 40029(WAN=2)

05/25 15:14:41 192.168.1.9 157.55.56.162 2571 40019(WAN=1)

05/25 15:14:41 192.168.1.121 210.59.230.44 63307 80(WAN=2)

05/25 15:14:41 192.168.1.121 210.59.230.44 63306 80(WAN=2)

05/25 15:14:41 192.168.1.9 111.221.77.140 2571 40033(WAN=1)

05/25 15:14:41 192.168.1.9 111.221.77.169 2571 40004(WAN=1)

05/25 15:14:41 192.168.1.9 157.56.52.21 2571 40016(WAN=1)

05/25 15:14:41 192.168.1.9 111.221.77.160 2571 40010(WAN=1)

05/25 15:14:41 192.168.1.9 111.221.77.164 2571 40003(WAN=1)

05/25 15:14:40 192.168.1.18 173.194.72.138 2285 443(WAN=1)

05/25 15:14:40 192.168.1.121 220.228.8.10 63301 80(WAN=2)

05/25 15:14:40 192.168.1.18 74.125.203.93 2284 443(WAN=1)

05/25 15:14:40 192.168.1.121 210.59.230.178 63281 80(WAN=1)

05/25 15:14:40 192.168.1.121 220.130.119.40 63283 80(WAN=1)

05/25 15:14:40 192.168.1.121 220.130.119.50 63284 80(WAN=1)

05/25 15:14:40 192.168.1.121 220.130.119.50 63279 80(WAN=1)

05/25 15:14:40 192.168.1.34 157.56.52.29 37374 40005(WAN=1)

05/25 15:14:39 192.168.1.34 111.221.77.156 37374 40010(WAN=1)

05/25 15:14:39 192.168.1.34 65.55.223.39 37374 40033(WAN=1)

窮嘶發發發 iT邦高手 1 級 ‧ 1 年前 檢舉

既然是 多WAN 分享器,很簡單的設定,每個 IP 去限制 SESSION 跟 流量,這都是基本要設定的
還有,基本的防火牆功能要開,另外 CPU 不夠強的 分享器,請不要開 LOG 發送功能,會很容易當機的
基本上這台的等級沒有三萬以上千萬不要開 LOG 發送功能,或是大量的 LOG 行為也會讓機器當機

robin12385 iT邦新手 5 級 ‧ 1 年前 檢舉

謝謝大大們提供訊息 問題已解決

1
WilliamHuang
iT邦大師 1 級 ‧ 1 年前

設定IPS政策不就好了
基本上我以前都是收到大陸攻擊
我們是買專業IPS不是合在一起的FW
不然你可以攔國際網段(那個區域的攻擊一定會被攔下)
但是跨國企業 要確定沒在該國 但是就算攔了
還是可以將分公司網路往段排除完成連線
^^

1
yesongow
iT邦大師 4 級 ‧ 1 年前

http://ithelp.ithome.com.tw/upload/images/20160526/20075153RWagxewsN2.jpg

您的Port號,真的有這麼大嗎?

這些都是內部IP(192.168.1.x)對外部的連線!

除了Port太大,我無法分析該行為是否正常!

看更多先前的回應...收起先前的回應...
yesongow iT邦大師 4 級 ‧ 1 年前 檢舉

你要找公司內部電腦(192.168.1.9)的位址?
請至交換器上查詢ARP對應表,應該可以知道該IP的MAC-ADDRESS及Switch Port關係吧!

窮嘶發發發 iT邦高手 1 級 ‧ 1 年前 檢舉

那個 PORT 號 前面是 來源 後面是 目的
以 257140033 => 2571 40033 來源與目的
這個表,我上面回復有放

cpj2028 iT邦新手 4 級 ‧ 1 年前 檢舉

看起來應該是192.168.1.9有問題

michaelwan iT邦高手 1 級 ‧ 1 年前 檢舉

192.168.1.9 幾乎都是連到微軟去, 如何判定有問題?

yesongow iT邦大師 4 級 ‧ 1 年前 檢舉

192.168.1.9有異常session連線的現象!

192.168.1.34有異常session連線的現象!

robin12385 iT邦新手 5 級 ‧ 1 年前 檢舉

謝謝大大們提供訊息 問題已解決

0
newkevin
iT邦高手 1 級 ‧ 1 年前

1 那些台有共同的程式嗎
2 時段固定嗎
3 有共同的工作內容 上同樣的網站嗎

robin12385 iT邦新手 5 級 ‧ 1 年前 檢舉

謝謝大大們提供訊息 問題已解決

我要發表回答

立即登入回答