iT邦幫忙

0

公司防火牆被攻擊

最近在研究公司防火牆的內部設定和事件
發現每天都有不明IP在攻擊
大部分都是外部IP
所以都直接在用防火牆阻擋
但其中有幾個事件紀錄令我頗擔憂

白色部分是公司的固定IP
因此我不能直接阻擋
但是這個攻擊事件每天都會有
小弟不才不知道如何解決
想請教各位大大有沒有什麼方向可以解決這個攻擊事件

看更多先前的討論...收起先前的討論...
一尾 iT邦研究生 1 級 ‧ 2015-06-17 10:53:19 檢舉
固定IP就是固定在那邊
每個人都有機會去PING到

所以我也很想知道有沒有什麼方法可以讓人家不要打他
阿豪 iT邦新手 5 級 ‧ 2015-06-17 10:58:31 檢舉
如果是防火牆本身對外的固定IP應該是可以設定不讓人家Ping!
ping不到可以減少一些攻擊!!
CalvinKuo iT邦大師 7 級 ‧ 2015-06-17 11:18:58 檢舉
你的Log顯示被TearDrop攻擊...
那麼你的防火牆有掛掉或很慢嗎? 若有你的防火牆要更新韌體或更換一台.
Teardrop攻擊

圖片來源
hon2006 iT邦大師 1 級 ‧ 2015-06-17 15:08:30 檢舉
被攻擊的ip是防火牆自己的ip,還是對應到主機的ip,
如果是主機的ip,
你可以限制目的ip的連線數,
至少保護主機不會掛掉
halawing iT邦新手 2 級 ‧ 2015-06-17 16:50:13 檢舉
從圖中的描述, 好像是白布IP主機有攻擊行為吧?
既然說那是內部使用的IP, 是否應該去檢查該主機為何會進行這種行為?
CalvinKuo iT邦大師 7 級 ‧ 2015-06-17 17:38:38 檢舉
既然版大有此擔憂,那就用WireShark之類的軟體抓那條發Teardrop攻擊封包看看有沒有蛛絲馬跡可以追查來源....
mytiny iT邦大師 1 級 ‧ 2015-06-17 18:30:24 檢舉

白色部分是公司的固定IP,因此我不能直接阻擋

版大描述不夠清楚
到底是如標題的防火牆IP,還是內部主機IP
啟用IPS功能應該都要能擋呀
ShareTech是國內UTM知名品牌
可以請原廠支援一下技術

但如果是問怎樣讓攻擊不再來
應該是公司內部主機有狀況
所以引外面一直有攻擊的嘗試

0
randoll
iT邦新手 4 級 ‧ 2015-06-23 12:11:25
最佳解答

看攻擊了類型 teardrop 主要是要癱瘓你的系統

有可能攻擊者,偽造來源IP,導致偵測到的IP就是
自己的IP

或許可以 接個SNIFFER環境看看

2
阿豪
iT邦新手 5 級 ‧ 2015-06-17 10:55:38

公司的防火牆品牌是??
有沒有考慮換個品牌看看!!

sharetech bm-188a

6
尼克
iT邦高手 1 級 ‧ 2015-06-17 11:38:53

防火牆被攻擊算是正常的事情。
應該換一個角度看,是否攻擊到火牆無法回應、其它服務無法運作或是有硬體有漏洞需要升級,這幾個方向去考慮。

vino1 iT邦大師 1 級 ‧ 2015-06-17 16:28:10 檢舉

發問的版主他的點在於...攻擊防火牆的是他們家的專線IP毆飛

尼克 iT邦高手 1 級 ‧ 2015-06-17 16:37:16 檢舉

vino1提到:
攻擊防火牆的是他們家的專線IP

真是窘呀!
若是公司內部的話,直接看一下是否中毒或是使用者故意囉!

vino1大,正中我擔心的問題,謝謝啦
抱歉其他各位大大我可能沒表達清楚

0
yyliu
iT邦研究生 2 級 ‧ 2015-06-17 17:17:51

Jun 15 02:19:19 2015 The system has detected the attack of UDP FLOOD , suspected to be 91.250.82.235
Jun 15 02:19:21 2015 The system has detected the attack of UDP FLOOD , suspected to be 167.114.209.147

發問者的畫面與公司的負載平衡器,長的一樣,都使 SHARETECH (眾至)的,類似上述的攻擊事件每天最少都數百筆,若為周休假日,多則 2000~4000 筆,見怪不怪,已經麻痺,不想理會了.

大大太強了,這樣都被你發現

服務不死掉應該沒關係啦...

lucon iT邦新手 5 級 ‧ 2015-06-27 05:58:27 檢舉

的確...
網路攻擊是常態...
只要服務不至於被癱瘓
或效能變差...
其實不用理會...

我要發表回答

立即登入回答