iT邦幫忙

0

請問 內部User中毒, 發出的 Ddos 癱瘓 Rounter

請問 內部User中毒, 發出的 Ddos 癱瘓 Rounter
這個該怎麼找出是那一個 IP!?

因為只要Rounter 一重開, 馬上就被癱瘓
拔網路線這招太土法, 不知道有沒有比較好的方法!?

之前想過用 Sniffer 軟體去看, 但是不夠明確, 容易誤判

另外想請教, 是否有那個 Rounter 是不會被 Ddos 癱瘓的呢!?
因為一般來說, 防火牆政策都會信任內網電腦, 但是一但信任了, 就容易被打到 Buffer out

0
perasa
iT邦新手 3 級 ‧ 2015-08-15 04:48:13
最佳解答

有遇過裝置造成網路掛掉的
連帶專線也被搞掛的
業者描述的雲淡風輕的只解釋為封包傳送速度過快
造成封包堆疊
或是電壓不穩定瞬間低電壓
將設備韌體的預設值改寫造成裝置不穩定
還告知可能是集線器太爛無法即時處理封包流量(如HP1480等)
問業者有無推薦的HUB僅告知可換摩托羅拉之類的分享器
反正能推都推完了

12
richardsuma
iT邦大師 1 級 ‧ 2015-08-13 21:02:05

能夠解決的方法就是好方法,無所謂土不土。

如果你用 sniffer 找出疑是問題的user,就先將這幾個網路一一拔掉,
就可以確認 Router 是否有恢復?

另外,可以進 Router 看一下 LOG,應該有發送的IP跟MAC address。

10
門神JanusLin
iT邦超人 1 級 ‧ 2015-08-14 07:17:37

土方法
看Switch act燈閃最快的那台

看更多先前的回應...收起先前的回應...
一尾 iT邦研究生 1 級 ‧ 2015-08-14 09:22:51 檢舉

順便看一下誰在上班時間BT嗎
偷笑

尼克 iT邦高手 1 級 ‧ 2015-08-14 10:51:45 檢舉

iT邦幫忙MVPjanuslin提到:
看Switch act燈閃最快的那台

這真是最簡單的方法。

CalvinKuo iT邦大師 7 級 ‧ 2015-08-14 11:21:34 檢舉

最好是啥Log都不用看,當掉就是DDOS攻擊...
搞不好只是 ARP詐欺,害大家都連不上Router...
或是 Switch 接成 Loop...

Lo哥是啥 ^^
魯蛇土砲拔線比較快 XD

2
darkslayer
iT邦好手 1 級 ‧ 2015-08-14 09:05:20

qwer4321提到:
拔網路線這招太土法, 不知道有沒有比較好的方法!?

能解決問題的方法就是好方法!
等你問到答案, 網路線都拔過幾輪了.

一尾 iT邦研究生 1 級 ‧ 2015-08-14 09:30:28 檢舉

darkslayer提到:
能解決問題的方法就是好方法!

按下「發問」
就該開始拔線了
至少讓事情有點進度而不是空等

tombo iT邦高手 1 級 ‧ 2015-09-14 17:16:15 檢舉

先看燈號狀況,判斷大概是哪一台交換器下的用戶在做怪,然後反覆用二分法去過濾 Bad User(s)
能快速解決問題最重要,反正 Router 都被攻掛了,網路暫時性的中斷影響也不會太大

0
newkevin
iT邦高手 1 級 ‧ 2015-08-14 10:55:29

確定是User,
不想拔網路線,
那就起個大早重開,
然後看哪一個同事開機後就癱瘓了,
應該更麻煩哈哈

0
htcj0110
iT邦新手 5 級 ‧ 2015-08-28 22:56:08

被內網的電腦打掛確實不太妙,防火牆或UTM可以給你線索,警示哪個ip or MAC address封包異常,若也沒有警示,拔線找出來仍是必要的緊急處理手段. vlan也有助於減少廣播.總之,經驗還是比使用的設備,工具...來的重要.

我要發表回答

立即登入回答