公司防火牆被攻擊

shuanyao76 2015-06-17 10:45:30 ‧ 7063 瀏覽

分享至

最近在研究公司防火牆的內部設定和事件
發現每天都有不明IP在攻擊
大部分都是外部IP
所以都直接在用防火牆阻擋
但其中有幾個事件紀錄令我頗擔憂

白色部分是公司的固定IP
因此我不能直接阻擋
但是這個攻擊事件每天都會有
小弟不才不知道如何解決
想請教各位大大有沒有什麼方向可以解決這個攻擊事件

看更多先前的討論...收起先前的討論...

一尾 iT邦研究生 1 級 ‧ 2015-06-17 10:53:19 檢舉

固定IP就是固定在那邊
每個人都有機會去PING到

所以我也很想知道有沒有什麼方法可以讓人家不要打他

阿豪 iT邦新手 5 級 ‧ 2015-06-17 10:58:31 檢舉

如果是防火牆本身對外的固定IP應該是可以設定不讓人家Ping!
ping不到可以減少一些攻擊!!

CalvinKuo iT邦大師 7 級 ‧ 2015-06-17 11:18:58 檢舉

你的Log顯示被TearDrop攻擊...
那麼你的防火牆有掛掉或很慢嗎? 若有你的防火牆要更新韌體或更換一台.
Teardrop攻擊

圖片來源

hon2006 iT邦大師 1 級 ‧ 2015-06-17 15:08:30 檢舉

被攻擊的ip是防火牆自己的ip,還是對應到主機的ip,
如果是主機的ip,
你可以限制目的ip的連線數,
至少保護主機不會掛掉

halawing iT邦新手 2 級 ‧ 2015-06-17 16:50:13 檢舉

從圖中的描述, 好像是白布IP主機有攻擊行為吧?
既然說那是內部使用的IP, 是否應該去檢查該主機為何會進行這種行為?

CalvinKuo iT邦大師 7 級 ‧ 2015-06-17 17:38:38 檢舉

既然版大有此擔憂，那就用WireShark之類的軟體抓那條發Teardrop攻擊封包看看有沒有蛛絲馬跡可以追查來源....

mytiny iT邦超人 1 級 ‧ 2015-06-17 18:30:24 檢舉

白色部分是公司的固定IP，因此我不能直接阻擋

版大描述不夠清楚
到底是如標題的防火牆IP，還是內部主機IP
啟用IPS功能應該都要能擋呀
ShareTech是國內UTM知名品牌
可以請原廠支援一下技術

但如果是問怎樣讓攻擊不再來
應該是公司內部主機有狀況
所以引外面一直有攻擊的嘗試

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

randoll

iT邦新手 4 級 ‧ 2015-06-23 12:11:25

最佳解答

看攻擊了類型 teardrop 主要是要癱瘓你的系統

有可能攻擊者，偽造來源IP，導致偵測到的IP就是
自己的IP

或許可以接個SNIFFER環境看看

回應
分享
檢舉

登入發表回應

阿豪

iT邦新手 5 級 ‧ 2015-06-17 10:55:38

公司的防火牆品牌是??
有沒有考慮換個品牌看看!!

回應 1
分享
檢舉

shuanyao76 iT邦新手 5 級 ‧ 2015-06-17 10:59:00 檢舉

sharetech bm-188a

登入發表回應

尼克

iT邦大師 1 級 ‧ 2015-06-17 11:38:53

防火牆被攻擊算是正常的事情。
應該換一個角度看，是否攻擊到火牆無法回應、其它服務無法運作或是有硬體有漏洞需要升級，這幾個方向去考慮。

回應 3
分享
檢舉

vino1 iT邦大師 1 級 ‧ 2015-06-17 16:28:10 檢舉

發問的版主他的點在於...攻擊防火牆的是他們家的專線IP

尼克 iT邦大師 1 級 ‧ 2015-06-17 16:37:16 檢舉

vino1提到：
攻擊防火牆的是他們家的專線IP

真是窘呀！
若是公司內部的話，直接看一下是否中毒或是使用者故意囉！

shuanyao76 iT邦新手 5 級 ‧ 2015-06-18 09:13:52 檢舉

vino1大,正中我擔心的問題,謝謝啦
抱歉其他各位大大我可能沒表達清楚

登入發表回應

yyliu

iT邦研究生 2 級 ‧ 2015-06-17 17:17:51

Jun 15 02:19:19 2015 The system has detected the attack of UDP FLOOD , suspected to be 91.250.82.235
Jun 15 02:19:21 2015 The system has detected the attack of UDP FLOOD , suspected to be 167.114.209.147

發問者的畫面與公司的負載平衡器,長的一樣,都使 SHARETECH (眾至)的,類似上述的攻擊事件每天最少都數百筆,若為周休假日,多則 2000~4000 筆,見怪不怪,已經麻痺,不想理會了.

回應 3
分享
檢舉

shuanyao76 iT邦新手 5 級 ‧ 2015-06-18 09:11:12 檢舉

大大太強了,這樣都被你發現

diskdupekimo iT邦新手 2 級 ‧ 2015-06-18 23:42:44 檢舉

服務不死掉應該沒關係啦...

lucon iT邦新手 5 級 ‧ 2015-06-27 05:58:27 檢舉

的確...
網路攻擊是常態...
只要服務不至於被癱瘓
或效能變差...
其實不用理會...

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22202 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙