iT邦幫忙

0

Server 一直發出 DOSS-ip-frag-oddness 對外攻擊

各位好,

我的Server 是MAC OS X 它上面的服務我們有用到DNS及MAIL、WIKI、AFP、SMB等服務,而我們的網路:
我們出去一律都會經過60C…
我們現在的接法是這樣:(我們上網有二個:ADSL及專線)
專線-->60C-->Switch3-->Switch2-->Switch1-->"WIFI-->ADSL"
--------------------|-----------|------------|--------------|
-----X Server(DNS/Web)--user---------user---------WIFI/DHCP
(WIFI接四條網路線:ADSL、Switch1.2.3) 只是為了表示整個網路有串連起來上面才這樣表示。

今天大約在十一點,信突然就無法收發,寄出的信也被退回,並顯示因無法連接DNS所以錯誤(不好意思,信被刪掉了),但只有一次,而後,就沒再出現。
但是從這開始,雖然信沒再被退回來,但是卻遲遲無法寄出(延遲),有時候又可以在幾秒內立即收到(但三小時內只有三次),其他時候,有時候可能要等上10分鐘、半小時,甚至一小時後對方才能收的到信,收信也差不多這種情況,雖然快一些,但都無法像平常那樣很快速的就收到了。

我看60C的log檔,也沒發現有異常,於是我就覺得也許是我們MAC上的DNS或MAIL service有問題,我就重啟服務,重啟後,可以正常的寄出,但2分鐘後,又來了,又得等上10分鐘或半小時對方才能收的到信。
我感覺是網路塞車了,但我不知道有什麼情況會導致網路塞車?
因為這DNS service是走專線,而我去查這條線路的網路流量,並沒有跑足20M,而且,我無法PING到這個IP!
後來,測了很久,也找了很久的解決方法,在三點半時,我去查了中X電信的資安報表,發現到就在11點的時候大量的**"DOSS-ip-frag-oddness"**出現,由內>外攻擊!
Port有很多個,44117、46813、35295、37941、17246...等,目標IP在同一時段內是同一個。(因為它是算次的)
例:11:20 有5筆攻擊(但PORT不一定相同) 64.94.XX.XX
12:00 有6筆攻擊(但PORT不一定相同) 182.94.XX.XX
短短三小時內,就累積了450次。

在我的淺淺淺的認知中,若是DDOS攻擊,應該不是會把目標打掛嗎?可是沒有,我們在四點時,數字明顯的下降,雖然還有,但就一小時可能就只有5、6筆,信也可以正常收發了!
代表說,它,似乎停下來了?
但是,或許是它的目的達到了?所以停止了?
而除了收發MAIL,在這期間網路在其他方面並沒有受到任何影響。(一直以來不知為何就是很慢?我們用100M/40M的,但總是覺得只有20M的速度,實際卻都有85M上下)

於是我就想說,也許是誤判?會不會是中X電信的資安防護把這個當作異常,給擋下來了?
可是又覺得不太可能,因為擋下來了,應該就不會只是延遲而已了吧?應該就會完全收不到了吧?

我真的不曉得這個是怎麼一回事?!
我全機掃描,完全沒發現到病毒。
現在,還是沒有完全停止**"DOSS-ip-frag-oddness"**內對外攻擊,但次數明顯的降低,現在一小時平均只有5、6次,信件也都正常,但是這情況依然還在,我不曉得什麼時候它會再發動攻擊?
從九點到現在都沒有人在收發信了,這攻擊報表數字完全掛0!
我更混亂了……

請求各位前輩高手能幫我看看這到底是什麼問題呢?!
謝謝!!

看更多先前的討論...收起先前的討論...
CalvinKuo iT邦大師 7 級 ‧ 2014-07-10 09:43:59 檢舉
先試著在60C建個MAC OS X的IP專用防火牆規則,在打開IPS看看有沒擋到東西...
IPS網路協定還要加DNS(下面是我的郵件伺服器用的IPS).
先讓你的Server不要去攻擊別人,再處理Server問題...

不然等你處理好,也要換對外IP了(有可能進了多種品牌防火牆的黑名單)....
cat00814 iT邦新手 5 級 ‧ 2014-07-10 13:10:06 檢舉
囧
恩...這個... 咳咳,我剛看我們的IPS及網頁防護過期了 (驚!!),查看了一下,在7/9過期的,呃咳,剛好是昨天耶...。
cat00814 iT邦新手 5 級 ‧ 2014-07-10 13:10:37 檢舉
cat00814 iT邦新手 5 級 ‧ 2014-07-10 13:11:12 檢舉
12
summertw
iT邦好手 1 級 ‧ 2014-07-10 09:12:54
最佳解答

我想請問一下樓主,你的OSx Server是合法版本嗎??
很對不起,或失不應該這麼問,但這確是必要的....
Mac OSx 是Unux基礎的作業系統,因為它有很多的地方可以藏東西,再加上,現在的人對Unix了解並不如Windows這麼徹底,所以我才會這麼的問...
不知樓主你對OSx Server的系統了解多少??
從你的描述來看,這種攻擊不像是偶發的,你應上網去反查一下,它攻擊的目標是在哪裡...
感覺上最有可能的是你的伺服器只是一個跳板,也就是說有人在利用你的伺服器進行DDOS阻斷式的攻擊別人的伺服器...
你可以啟用你的OSx Server上的終端機程式,在以下指令【netstat -s | more】可以查看目前你伺服器所有通訊協定狀態(Show the statistics for each protocol)..
還有,你的伺服器是否有安裝什麼聲稱免費或自由軟體的東西,那些東西通常都是有問題的,一般它們都是令你的伺服器變成僵屍電腦的禍首...
Mac OSx作業系統很好,但由於它刻意的封閉,造成很多人不太了解它內部的作業流程;也因此,讓很熟知Unix/Linux作業系統的人,有機可趁,再加上所有Unix/Linux作業系統並沒有將它的Shell批次巨集加以限制,反而是不斷的加強它的功能,這使更多的有心人士不必去學那複雜的C語言,只要學會它的Shell巨集,就可以做很多很多的事;由於Shell都是文字檔,所以可以安全的避過防毒軟體的偵測;所以呢,若要使用OSx Server的話,應該先去學學Unix作業系統,並熟悉它所有的流程與操作,然後再去用它,這樣較不會有問題....
最後,祝樓主順利找到問題...

看更多先前的回應...收起先前的回應...
cat00814 iT邦新手 5 級 ‧ 2014-07-10 10:07:16 檢舉

您好!
我們的OS X Server是合法的唷. 謝謝
我對Mac..說熟不熟,說不熟又有點熟 ..XD
它攻擊的目標都在國外,但是因為我們email往來信件幾乎都是寄到國外各國去,它一小時內,可能最多有50筆,但在這50筆中,卻分別為8-10個不同的IP,有美國、阿根延、俄羅斯..等地,如若是有人在利用我們的Serer進行DDOS阻斷式攻擊,這行為我覺得好像有些異常?是變形種嗎?倒還是它一次要打很多個地方?!搖頭

還有,你的伺服器是否有安裝什麼聲稱免費或自由軟體的東西,那些東西通常都是有問題的,一般它們都是令你的伺服器變成僵屍電腦的禍首...

我們的Server除了Mac系統內建軟體之外,也只有裝RAID的軟體,而RAID的軟體也裝了好些年了,而且這也都是官方的,其他的沒了,因為我們蠻單純的,就是做share files和一些service(DNS、wiki、SMB、AFP..等)。

剛才看到60C的病毒撋截記錄,突然看到,昨天下午四點半,有6筆來自內部同仁的mail寄到國外的mail,以及同仁寄到同仁的mail被撋截下來,看到其中2筆,剛好是昨天和我反應信一直寄不出去的同仁所寄出的信。

60C裡的最大連線數,原本之前都看到的是內部IP,可現在看到的有很多都是外部IP?!其中一個去網路上查IP是來自U.S.
是..被駭客了嗎...?

summertw iT邦好手 1 級 ‧ 2014-07-10 16:18:58 檢舉

其實,有沒有被駭,在這裡,確實無法辦識,因為我沒有看到你們的伺服器..
你有提到,從國外(U.S.)來的一個IP,那請問,你目前伺服器攻擊的目標是指向哪裡??
...
用一個很笨的方法,你可試試...
把你查到的那個來自美國的IP,用防火牆把它擋掉,如果,這是一個正常運作的IP,那麼,很快的就會有人連絡你了...
但這個做法,仍然可能會有遺漏,因為如果是遠端發送搖控指令,那肯定不只一個IP在發送遠端發送搖控指令...
DDoS阻斷式攻擊,不只會致受攻擊者短暫的失去連線功能,就連自己也會受到影響...
另外,我曾處理過一個案例,就是信箱遭入侵的問題,最後該公司因為一直沒有注意,損失了10萬美金,因為你有提到你們是與外國客戶通信,目前觀察你們的現像,問題極可能出在信件往來時發生漏洞..
你也提到,你們是合法版權的OS,那就不用客氣,把訊息提供給台灣Apple,如果Mail Server也是使用Apple的,那就更好處理了,相信apple會很樂意幫你們的忙的...
抓這種問題,如大海撈針一樣,要很有耐心,有時你也要與駭客鬥智,你目前,要朝駭客的思維方向去想,他們想要什麼...如我問的【你目前伺服器攻擊的目標是指向哪裡】這句話,就是一個終點,那起點就會是你提供的【外國(U.S.)的IP】,因為那會是相對應的...
DDoS的阻斷,通常會是一種弱點測試,很少會有駭客用亂槍打鳥法在網路上尋找攻擊目標,一般都是已鎖定的目標,才會分佈僵屍點開始進行攻擊,高明的駭客會讓你抓不到攻擊的周期,所以你還得觀察在你伺服器發動攻擊的周期...
以上為個人淺見提供你參考,祝你順利。

summertw iT邦好手 1 級 ‧ 2014-07-10 16:28:33 檢舉

對了~~
請先在防火牆上,把你但對外網使用terminal的通訊埠(UTP/TCP)及Telnet的(UTP/TCP)全部關掉,內網的部份,看你的需要,如果你認為你沒有在終端電腦上操作Server的需求,那就全部關掉...

cat00814 iT邦新手 5 級 ‧ 2014-07-10 20:44:02 檢舉

您好:

【你目前伺服器攻擊的目標是指向哪裡】這句話,就是一個終點,那起點就會是你提供的【外國(U.S.)的IP】,因為那會是相對應的...

關於這點,被攻擊的目標有很多個,一天約400多次:
--來源IP-----目標IP--Port--------攻擊名稱-------Bytes----時間
我們的DNS IP---U.S.--51343--DOSS-ip-frag-oddness--0----19:35:11
我們的DNS IP---U.S.--51343--DOSS-ip-frag-oddness--0----19:35:11
我們的DNS IP---PH----37505--DOSS-ip-frag-oddness--0----19:37:11
我們的DNS IP---PH----37505--DOSS-ip-frag-oddness--0----19:37:11
我們的DNS IP---SPAIN-59439--DOSS-ip-frag-oddness--0----19:37:16
我們的DNS IP---SPAIN-59439--DOSS-ip-frag-oddness--0----19:37:16
我們的DNS IP---SPAIN-59439--DOSS-ip-frag-oddness--0----19:37:16
我們的DNS IP---SPAIN-59439--DOSS-ip-frag-oddness--0----19:37:16

像這種的,每小時都有數據,都算集中時間,這是七點時候的數據,每次的目標IP都不一樣,我覺得真的很不像DDOS攻擊,但我不敢確定…
另外,雖然我們是合法的版權,但APPLE他們要我先付錢,才要幫我解決,他們說我過保了……Orz

請先在防火牆上,把你但對外網使用terminal的通訊埠(UTP/TCP)及Telnet的(UTP/TCP)全部關掉,內網的部份,看你的需要,如果你認為你沒有在終端電腦上操作Server的需求,那就全部關掉...

可是我們的這台SERVER需要網路,我不確定服務要怎麼開or關?
內網的話,我都是用遠端桌面在遠端連進機房的server的。
謝謝!

summertw iT邦好手 1 級 ‧ 2014-07-11 08:48:27 檢舉

Unix/Linux系列的 service port會放在一個etc的資料夾裡..檔案名稱應為 services 吧(對不起,很久沒去碰了,應該是不會錯才對)..
用vi去查看,指令:vi /etc/services,(大小寫有差別),所有的服務所使用的Port都在裡面,可以只留下你要的,其他先關掉,以下是常用的Port,樓主可酌情增減之...
◦ftp:21
◦telnet:23 <=遠端接入伺服器所需..
◦smtp:25 <=電子郵件所需
◦http:80 <=網頁伺服器所需
◦pop-3:110 <=電子郵件所需
◦netbios-ssn:139
◦squid:3128
◦mysql:3306 <=有安裝時才需要,若是使用PHP伺服器,這個可以關閉
下面這個網站的說明可能會是你需要的..
http://linux.vbird.org/linux\_security/old/04\_3remove\_services.php
裡面有提一個用rpm安裝軟體的功能,OSx應該是沒有這項功能,你可以上apple官網找一下nmap套件(dmg套件),請嚴記作者這一段話【這個軟體請千萬不要去偵測他人的網站,否則可能會被提出告訴喔!】~~
Unix很好玩,對工程師而言,它是一個大玩具,一個可以一直探底(確探不到底)的玩具,Mac把它的作業系統建構在Unix之上,加上一個XWindows的Funcrtion,再加上自己的一些指令與功能(如dmg)就成了現在的OSx~~
好好的玩吧,樓主,相信你只要解開這次的攻擊問題,你就會拿到進入Unix世界的門票了...

summertw iT邦好手 1 級 ‧ 2014-07-11 08:57:42 檢舉

http://nmap.org/book/inst-macosx.html
這是非官網的nmap貼文,若要測這個,請另外會一台Mac的電腦測,不要在你的OSx Server上測。

summertw iT邦好手 1 級 ‧ 2014-07-11 09:09:52 檢舉

我查了一下,OSx的防火牆設定不需像Unix那樣,使用指令來操作,只要使用圖型界面即可..
1.從 Apple 功能表中,選取“系統偏好設置”。
2.點按“安全性”。
3.點按“防火牆”標籤。

cat00814 iT邦新手 5 級 ‧ 2014-07-12 10:09:00 檢舉

您好!謝謝
我昨天試著要打開防火牆,在系統偏好設罝裡/安全性,裡面沒有防火牆..只有這二個選項

然後我到Server Admin/Firewall裡,想啟用它,但是Server Admin會Error關閉,遠端也就無法連線。

所以我就想說用60C那台來做,我設置為:
internal>wan1
來源/目的:all
服務:DNS/HTTP/HTTPS/IMAP/IMAPS

這樣,可是還是一樣。

cat00814 iT邦新手 5 級 ‧ 2014-07-12 10:21:22 檢舉

此外,我一直PING不到那個DNS的外部IP,但在資安報表裡它一直在發動攻擊,我不知道為什麼?

  1. 我PING不到它。
  2. 這IP原本是我們的DNS的外部IP,但是從寄發mail出問題後,不知為什麼被改掉了!所以我們的mail會延遲寄出,和這也有很大的關係,原本是直接由DNS出去,後來現在被改回內部IP,再繞出去,所以會比較慢。(我想)
    不過我有去查中華的流量,這個IP也沒在線上也沒流量,雖說有攻擊次數(中華的資安報表),但都是0bytes,我不知道為什麼??Orz...
cat00814 iT邦新手 5 級 ‧ 2014-07-12 10:55:16 檢舉


另外想請問...60C 會有像這樣出現不屬於內部IP的情況發生嗎?(除了192.168.x.x之外的)
謝謝!

cat00814 iT邦新手 5 級 ‧ 2014-07-12 10:58:18 檢舉

因為DNS原本的外部IP一直去攻擊別人,所以我就先把它DENY了...現在觀察中。

summertw iT邦好手 1 級 ‧ 2014-07-12 22:17:07 檢舉

看來你們一開始就沒有規劃好你的伺服器網路資安規則...
你的伺服器應該已完全讓人家從外面掌控了,你可能再不用多久,就會有電信警察找上門了(這是我猜的,請注意了)...
因為關閉侵服器要付出很大的代價,所以你應該也不知道要如可關閉吧~~
Apple真的很差,系統的防火牆,內定是關閉的,居然不提醒使用者,出問題,還強要收費才願意替使用者解決,這令我懷疑,是Apple的人在駭你們(是我猜的啦,這句話可以忽略)...
先行你們的60C硬體防火牆著手,只留MAIL要用的Port,先讓Mail通順,再一一的問啟你們常用的Port,現在看來只能先這樣了...
祝你成功...

cat00814 iT邦新手 5 級 ‧ 2014-07-14 08:31:57 檢舉

謝謝
我現在把DNS DENY掉了,就沒有再去攻擊人家的數字了。
我想DNS被人家攻擊..
然後像您說的....應該是被人家控制了...倒
我把我們60C的policy重新設定,
內>外,policy現只開放基本的一些services,HTTP,HTTPS,IMAP,IMAPS.......嘆氣 不過這好像不是長久之道?

2
u8526425
iT邦大師 1 級 ‧ 2014-07-10 08:46:14

無端會攻擊別人
服務會停擺
很可能已經變僵屍網路的一員

自己可以做的
防毒/系統/應用程式的更新
防火牆設定確認
電腦帳號與權限確認
可疑process確認 (可以透過sniffer程式從流量追朔到process->執行檔案)
全面性掃毒
如果還有問題
請向資安廠商求助

4
mytiny
iT邦大師 1 級 ‧ 2014-07-10 13:16:47

這位版大相同的困擾問過好幾次了
可見問題一直沒有找到,並好好解決
建議您:

  1. 好好調整網路架構,並且善用你的FG-60C
    比如說開啟它的DoS防護(需要用CLI)
    設定IPS的政策及阻止Bot Net連線
  2. 仔細整理您的Server,觀察它的各項紀錄
    總是有蛛絲馬跡可循的。
  3. 與其一個人搞一兩個月讓公司一直暴露在風險下
    不如盡早讓廠商來協助你

你的防火牆原廠有很多資料可以看
請上網G一下

cat00814 iT邦新手 5 級 ‧ 2014-07-10 20:58:44 檢舉

所以我認為那不是DDoS

我也覺得很混亂,因為我也覺得它不像DDOS的行為,況且我們的服務根本就沒有被真正STOP,加上我覺得要是DDOS的話,網路流量應該會整個滿載才是,但卻沒有!
而您提到的

多半都是一下上千次到十多萬次,持續好一陣

…我認知中也是的,但資安報表這樣秀…我不得不去查原因。

您上面提到的一些,是的,我的確一直有這方面的問題,這個解決了,下一個又來,事實上是差不多的問題,您說的第一及第二點,我正在努力研究中,但是您說的第三點.....這就不是我所能決定的事情了,所以我只好…努力研究ING…。

不過,查了一下,我們的DNS被改掉了,原本設定是對外的IP(DNS>WAN1),但現在被改成內部IP了,所以總是要先內部IP>外部DNS>才能寄出,就是要等比較久,因為多走了一些路吧?也不知道為什麼會被改掉?沒人動它的說……。汗
但是後來一樣內部IP的設定卻已經不再延遲了,我也不曉得為啥?噎到

0
CyberSerge
iT邦好手 1 級 ‧ 2014-07-11 05:27:49

我不確定你的OS X版本,但是通常有內建簡單的防火牆,既然Mac Server只是做很簡單的幾項服務,不如以防火牆拒絕所有通訊,只允許自己用的幾項服務。

cat00814 iT邦新手 5 級 ‧ 2014-07-11 08:51:19 檢舉

但我們MAC那台本身沒開防火牆,就直接用60C當防火牆。
我的OS X版本是10.6.8,我們現在外對內只有開IMAP、HTTP而已,不知內對外是否也可以這樣開?
我們有mail server、web server、wiki service、DNS都在這台中使用。

謝謝。

我要發表回答

立即登入回答