請教各位前輩,這是DNS被攻擊嗎?要怎麼阻擋呢?
公司有五台主機,接在Internal界面,一直被攻擊的是Web Server(10.0.1.2)和Mail Server(10.0.1.3)二台,DNS架在web Server上面,我有試著阻擋來源IP,但IP會變動><
已邀請的邦友 {{ invite_list.length }}/5
一早頭腦不清楚,要刪回應竟然把回答刪了. 補一下資料:
一.利用Custom IPS signature過濾非必要的DNS查詢
http://video.fortinet.com/video/81/create-custom-ips-signatures-to-block-attacks
二.擋國家地址的設定步驟如下,
1.先建立地址物件
在Fortigate的Web管理介面,政策&物件>物件>地址,新建一個類型為"地裡位址"的物件.
2.若有多個國家就要先建多個地理物件,再建地址群組把這些地理物件加入.
3.在firewall policy就可以用這些物件當來源或是目的條件.
請問原POST
當公司郵件主機收到信件,一封信件是5MB
您覺得這樣算是一次連線,傳遞大小5242880 bytes
還是
您覺得這是5242880次DDoS呢?
不知版大是否有購買IPS服務的授權,
然後也有將IPS防護放入規則中
按圖1看起來連線數很低,來源也不算多
未必是DNS Amplification Attack,
版大可以觀察一下CPU及memory數值是否很高
以FG80CM來說,受攻擊時數值會很明顯到很高
當然查清楚web server及DNS server的設定也很重要
Fortigate上有IPS功能可以自動隔離攻擊者IP若干時間
當然也有防DDoS部分功能的設定(還有進階隱藏版指令)
如果您有維護的設備廠商,應請其提供相關技術支援
版大在查明Server內容後,應當加強Fortigate的防護
Hi mytiny:
CPU使用率10%以下,記憶體使用率一直維持在48%,
公司有買Fortigate服務,但不知是否有含IPS服務的授權?
你說Fortigate上有IPS功能可以自動隔離攻擊者IP若干時間,是否採取行為"封鎖",就可以做到此功能呢?謝謝您~
版大CPU,memory使用率不高,主機是否也是不高呢?
一般DDoS攻擊或Amplification Attack會非常明顯佔用資源
即便用slow attack,您都會感到主機明顯異常
貴司有含IPS等"全"授權(簡稱BDL),至今年底12-30
小弟倒是好奇怎麼沒有廠商做技術支援服務呢?
zyman2008大提供的影片,建議仔細看看,特別是4:50-5:35,
要做到自動隔離攻擊者IP若干時間,請改採用"隔離"
但建議版大或服務廠商要把IPS好好重新設定一下
順便提醒版大OS版本太舊,5.0到11月就EoS嘍
Hi mytiny:
1,請問BDL全名是?
有簽維護確沒有廠商做技術支援服務,一言難盡啊!
之前負責同事已離職,我沒DNS/FW實務經驗(趕鴨上架),
配合的廠商態度強硬,怕我把FW設定搞壞,他們要來收拾善後咩,
問相關設定都say no,之前想更新firmware也被一口回絕,所以...
我只能求助google大師和像你們這些熱心的朋友了><
2,請教更新fotigate firmware要一版一版更新上去,請問順序對嗎?
110c
目前版本:v4.0,build0303,101214 (MR2 Patch 3)
更新順序:4.2.13 ► 4.3.6 ►4.3.11 ►4.3.15 ►5.0.7 ► 5.0.10 ► 5.2.3
80CM
目前版本:v5.0,build0252(GA Patch 5)
更新順序:5.0.7 ► 5.0.10 ► 5.2.3
更新至最新版本的firmware好像Browser的版本也要配合?
因我用新版本的Browser登入v4.0有些畫面會hold住
3,5.0到11月就EoS, eoS??指的是?
謝謝喔
http://www.fortinet.com.tw/partners/taiwanpartners.html
可直接找fortinet台灣經銷商協助排除問題,
即使你不是他們的配合廠商他們也會提供協助。
配合的廠商如果知道自己要被換掉,
態度應該就硬不起來了吧。
BDL= UTM Bundle License:意指:含硬體保固及AV,IPS,webfilter,spam服務授權
如果更新OS超過3級,小弟建議不如重新灌OS重設吧
所以可以試試FG80CM,在5.0升5.2要特別小心點
那台FG110C,建議找人重做一下
至於瀏覽器,說實話確實有些限制(原廠有公告)
小弟個人習慣用Chrome,但是版本要很注意
目前如果使用Chrome44以上都會有奇怪現象,建議用Chrome40
如果版大操作OS4.x版本,建議要用Chrome38以下版本
更正一下OS到11月應該是EOES(原廠最新修正)
Fortinet產品生命週期用語如下:
EOO : End of Order Date
LSED: Last Service Extension Date
FFR : Final Firmware Release
EOS : End of Support Date
EOES: End of Engineering Support Date
Hi wtlin:謝謝你的提供的建議.^^
Hi mytiny:
謝謝你,請問官網哪邊可以找到firmware版本和建議使用搭配的broswer版本呢?
您對fortinet的產品很熟悉嗎?方便之後如果有f/w問題私訊問你嗎
ps:我之後會把問題刪除,上面有一些doman name和外部ip
官網上每個OS的Release Notes裡面的Product Integration and Support
都有很詳細的說明各Broswer及相關產品的搭配(只是發現很少人去看)
歡迎互相切磋琢磨。
補充回應關於版大的主題:
在防火牆上常看到一些不明的IP來對公司主機做莫名的"服務"要求
例如版大Box Mail Server被詢問DNS
通常有可能是因為主機內的問題所引來(例如不提供DNS卻一直被詢問)
防火牆可以在Wan1 > Internal 做政策來管理
先deny某些IP,某些服務,可以
但是虛擬IP對應,也可鎖定只提供某些port service
或是在服務的部份把all取消,改採開放使用到的service
(版大的圖看不出虛擬IP是否有對應Port還是整個IP對應,請自行查證)
至於IPS設定似乎沒有產生作用,因為在Log上"威脅"是完全空白
請自行到政策中再檢查一下
Hi mytiny:
1,了解,我再去官網找Release Notes,
2,上面圖log都是"轉發流量"截取的,下圖是從secuity log截取,狀態是dropped,所以應該是有作用的
3,前同事把所有的服務都打開了,所以正確的FW Policy應該只開放服務使用到的port,而不是像目前的policy,遇到哪些port一直被攻擊就Deny,覺得這好像不是正確ploicy的設定,對嗎?
4,BOX Mail Server一直有外部IP對它做DNS查詢,請問這是代表mail server有提供DNS的服務,所以才會有外部對它做查詢DNS服務嗎?如果是的話還真的不太了解為什麼mail Server須要提供DNS的服務,我會問問廠商.
除了上面各位大大提到的之外,留意一下內部,曾遇過的狀況是,內部有電腦中鏢,被植入惡意程式,進而攻擊內部的伺服器.因此,也不要忘了內部可能也是攻擊源頭之一.
iThome鐵人賽
看影片追技術