iT邦幫忙

1

不停發送發包該如何解決!!

封包
robin12385 2016-05-25 15:25:002548 瀏覽

  • 分享至 

  • xImage

最近公司從防火牆封包紀錄查看不停有內部IP發送封包,
導致網路有時會癱瘓,用了一些方法還是未能找出找去
電腦位置,想請問大大該如何解決此問題,麻煩謝謝!!

時間 來源位址 目的位址 埠號
05/25 15:14:41 192.168.1.18 140.124.13.91 24011688(WAN=2)
05/25 15:14:41 192.168.1.9 64.4.23.175 257140029(WAN=2)
05/25 15:14:41 192.168.1.9 157.55.56.162 257140019(WAN=1)
05/25 15:14:41 192.168.1.121 210.59.230.44 6330780(WAN=2)
05/25 15:14:41 192.168.1.121 210.59.230.44 6330680(WAN=2)
05/25 15:14:41 192.168.1.9 111.221.77.140 257140033(WAN=1)
05/25 15:14:41 192.168.1.9 111.221.77.169 257140004(WAN=1)
05/25 15:14:41 192.168.1.9 157.56.52.21 257140016(WAN=1)
05/25 15:14:41 192.168.1.9 111.221.77.160 257140010(WAN=1)
05/25 15:14:41 192.168.1.9 111.221.77.164 257140003(WAN=1)
05/25 15:14:40 192.168.1.18 173.194.72.138 2285443(WAN=1)
05/25 15:14:40 192.168.1.121 220.228.8.10 6330180(WAN=2)
05/25 15:14:40 192.168.1.18 74.125.203.93 2284443(WAN=1)
05/25 15:14:40 192.168.1.121 210.59.230.178 6328180(WAN=1)
05/25 15:14:40 192.168.1.121 220.130.119.40 6328380(WAN=1)
05/25 15:14:40 192.168.1.121 220.130.119.50 6328480(WAN=1)
05/25 15:14:40 192.168.1.121 220.130.119.50 6327980(WAN=1)
05/25 15:14:40 192.168.1.34 157.56.52.29 3737440005(WAN=1)
05/25 15:14:39 192.168.1.34 111.221.77.156 3737440010(WAN=1)
05/25 15:14:39 192.168.1.34 65.55.223.39 3737440033(WAN=1)

weiclin iT邦高手 4 級 ‧ 2016-05-26 17:24:35 檢舉
網路癱瘓也不一定是對外流量造成的, 也查一下區網的流量吧
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

3 個回答

5
窮嘶發發發
iT邦高手 1 級 ‧ 2016-05-25 15:54:17
最佳解答

整理一下你的 LOG紀錄

基本上都是內對外的連線紀錄,那裏有受外對內的攻擊咧

樓主應該不會連 內部IP都不認得吧,還有 埠號應該會認吧

這些埠號都是蠻正常的位置,我看裡面 80埠的,是什麼 GOOGLE PCHOME 這類的網址

真的一個一個查,還真的看不出有哪個IP 發出什麼攻擊的封包

時間 來源位址 目的位址 埠號
05/25 15:14:41 192.168.1.18 140.124.13.91 2401 1688(WAN=2)
05/25 15:14:41 192.168.1.9 64.4.23.175 2571 40029(WAN=2)
05/25 15:14:41 192.168.1.9 157.55.56.162 2571 40019(WAN=1)
05/25 15:14:41 192.168.1.121 210.59.230.44 63307 80(WAN=2)
05/25 15:14:41 192.168.1.121 210.59.230.44 63306 80(WAN=2)
05/25 15:14:41 192.168.1.9 111.221.77.140 2571 40033(WAN=1)
05/25 15:14:41 192.168.1.9 111.221.77.169 2571 40004(WAN=1)
05/25 15:14:41 192.168.1.9 157.56.52.21 2571 40016(WAN=1)
05/25 15:14:41 192.168.1.9 111.221.77.160 2571 40010(WAN=1)
05/25 15:14:41 192.168.1.9 111.221.77.164 2571 40003(WAN=1)
05/25 15:14:40 192.168.1.18 173.194.72.138 2285 443(WAN=1)
05/25 15:14:40 192.168.1.121 220.228.8.10 63301 80(WAN=2)
05/25 15:14:40 192.168.1.18 74.125.203.93 2284 443(WAN=1)
05/25 15:14:40 192.168.1.121 210.59.230.178 63281 80(WAN=1)
05/25 15:14:40 192.168.1.121 220.130.119.40 63283 80(WAN=1)
05/25 15:14:40 192.168.1.121 220.130.119.50 63284 80(WAN=1)
05/25 15:14:40 192.168.1.121 220.130.119.50 63279 80(WAN=1)
05/25 15:14:40 192.168.1.34 157.56.52.29 37374 40005(WAN=1)
05/25 15:14:39 192.168.1.34 111.221.77.156 37374 40010(WAN=1)
05/25 15:14:39 192.168.1.34 65.55.223.39 37374 40033(WAN=1)

窮嘶發發發 iT邦高手 1 級 ‧ 2016-05-25 15:56:22 檢舉

時間 來源位址 目的位址 埠號

05/25 15:14:41 192.168.1.18 140.124.13.91 2401 1688(WAN=2)

05/25 15:14:41 192.168.1.9 64.4.23.175 2571 40029(WAN=2)

05/25 15:14:41 192.168.1.9 157.55.56.162 2571 40019(WAN=1)

05/25 15:14:41 192.168.1.121 210.59.230.44 63307 80(WAN=2)

05/25 15:14:41 192.168.1.121 210.59.230.44 63306 80(WAN=2)

05/25 15:14:41 192.168.1.9 111.221.77.140 2571 40033(WAN=1)

05/25 15:14:41 192.168.1.9 111.221.77.169 2571 40004(WAN=1)

05/25 15:14:41 192.168.1.9 157.56.52.21 2571 40016(WAN=1)

05/25 15:14:41 192.168.1.9 111.221.77.160 2571 40010(WAN=1)

05/25 15:14:41 192.168.1.9 111.221.77.164 2571 40003(WAN=1)

05/25 15:14:40 192.168.1.18 173.194.72.138 2285 443(WAN=1)

05/25 15:14:40 192.168.1.121 220.228.8.10 63301 80(WAN=2)

05/25 15:14:40 192.168.1.18 74.125.203.93 2284 443(WAN=1)

05/25 15:14:40 192.168.1.121 210.59.230.178 63281 80(WAN=1)

05/25 15:14:40 192.168.1.121 220.130.119.40 63283 80(WAN=1)

05/25 15:14:40 192.168.1.121 220.130.119.50 63284 80(WAN=1)

05/25 15:14:40 192.168.1.121 220.130.119.50 63279 80(WAN=1)

05/25 15:14:40 192.168.1.34 157.56.52.29 37374 40005(WAN=1)

05/25 15:14:39 192.168.1.34 111.221.77.156 37374 40010(WAN=1)

05/25 15:14:39 192.168.1.34 65.55.223.39 37374 40033(WAN=1)

窮嘶發發發 iT邦高手 1 級 ‧ 2016-05-25 16:00:03 檢舉

既然是 多WAN 分享器,很簡單的設定,每個 IP 去限制 SESSION 跟 流量,這都是基本要設定的
還有,基本的防火牆功能要開,另外 CPU 不夠強的 分享器,請不要開 LOG 發送功能,會很容易當機的
基本上這台的等級沒有三萬以上千萬不要開 LOG 發送功能,或是大量的 LOG 行為也會讓機器當機

robin12385 iT邦新手 5 級 ‧ 2016-05-27 11:34:57 檢舉

謝謝大大們提供訊息 問題已解決

登入發表回應
WilliamHuang
iT邦研究生 1 級 ‧ 2016-05-25 15:30:42
【**此則訊息已被站方移除**】
1
yesongow
iT邦大師 1 級 ‧ 2016-05-26 08:29:28

http://ithelp.ithome.com.tw/upload/images/20160526/20075153RWagxewsN2.jpg

您的Port號,真的有這麼大嗎?

這些都是內部IP(192.168.1.x)對外部的連線!

除了Port太大,我無法分析該行為是否正常!

看更多先前的回應...收起先前的回應...
yesongow iT邦大師 1 級 ‧ 2016-05-26 08:31:06 檢舉

你要找公司內部電腦(192.168.1.9)的位址?
請至交換器上查詢ARP對應表,應該可以知道該IP的MAC-ADDRESS及Switch Port關係吧!

窮嘶發發發 iT邦高手 1 級 ‧ 2016-05-26 08:52:54 檢舉

那個 PORT 號 前面是 來源 後面是 目的
以 257140033 => 2571 40033 來源與目的
這個表,我上面回復有放

cpj2028 iT邦新手 4 級 ‧ 2016-05-26 15:42:03 檢舉

看起來應該是192.168.1.9有問題

michaelwan iT邦高手 1 級 ‧ 2016-05-26 16:33:30 檢舉

192.168.1.9 幾乎都是連到微軟去, 如何判定有問題?

yesongow iT邦大師 1 級 ‧ 2016-05-26 23:46:50 檢舉

192.168.1.9有異常session連線的現象!

192.168.1.34有異常session連線的現象!

robin12385 iT邦新手 5 級 ‧ 2016-05-27 11:35:19 檢舉

謝謝大大們提供訊息 問題已解決

登入發表回應
0
newkevin
iT邦高手 1 級 ‧ 2016-05-26 08:42:08

1 那些台有共同的程式嗎
2 時段固定嗎
3 有共同的工作內容 上同樣的網站嗎

robin12385 iT邦新手 5 級 ‧ 2016-05-27 11:35:06 檢舉

謝謝大大們提供訊息 問題已解決

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22088
完賽人數
594
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙