iT邦幫忙

1

開機就持續連DNS1、2並參雜外國IP

各位學長學姊好久不見
樓下新增個懶人包
想詢問一下目前我手上有一間學校
大致的網路環境是在地ISP -> 80C WAN-> 縣網 -> 略
80C WAN-> 學術網路 -> ZXCEL L2 SWITCH -> 辦公室、伺服器
80C LAN-> (1)DLINK L2 SWITCH -> 電腦教室電腦
-> (堆疊2)DLINK L2 SWITCH -> 電腦教室電腦
應該是當初派送的時候一併把病毒給派送整間電腦教室了
只要該電腦教室上課 全部電腦一開機
全校網路就被電腦教室的瘋狂連線DNS給搞癱瘓
即使我透過80C將DNS流量管控在3M內 就會造成電腦教室某些電腦會突然無法上網 顯示找不到DNS位址 自己猜測是自己連線的DNS造成網路癱瘓
雖然我不確定我防火牆的規則是否設置正確
80C新建流量管控規則DNS 上限3072 並在防火牆規則新增一條ANY至ANY的DNS服務並套用此流量管制規則 排序在第一筆

詢問了同事表示說他之前遇過 就是中毒 但是是綁在系統檔內 無法完全清除只能重灌
我用內建掃描則是掃不到毒 因為時間與環境因素無法使用其餘掃毒則先作罷
dism /online /cleanup-image /scanhealth則是顯示有元件可以修復
restorehealth則表示需要使用source修復 礙於時間與環境則先跳過 雖然這只是死馬當活馬醫

網路上查找相關資料
通常都是DNS被當跳板與DNS主機相關問題 找不到相關資訊
目前我也是懷疑中毒 畢竟中間參雜一些北京 美國等等IP

目前打算將電腦教室電腦重灌重新派送解決
但麻煩的是有觀察到有其他行政電腦也有DNS大量連線的資訊
想詢問關於此問題是否是中毒問題以及是否有辦法掃毒解決


01/04
補充說明一下:
電腦的DNS都是設定168.95.1.1跟8.8.8.8
有更改縣網的DNS後改瘋狂連線縣網DNS 現場環境無DNS SERVER

順便上個懶人包:

電腦教室開機後 防火牆流量直接飆到滿(100M) 查看電腦教室IP的連線都是整排的8.8.8.8 168.192.1.1(電腦設定的DNS 更改DNS設定後也會一起變動)
現場環境無DNS SERVER

1
raytracy
iT邦大神 1 級 ‧ 2020-12-31 21:09:05

好的 我研究一下這些文章 非常感謝 !

1
bluegrass
iT邦高手 1 級 ‧ 2020-12-31 21:26:47

不是把DNS流量管控在3M內

先把你所有電腦的DNS應該改用你的DC為DNS

在DC的 DNS FORWARDER上改用 1.1.1.1 , 9.9.9.9

再來一TRAFFIC SHAPPER流量管控到1.1.1.1 , 9.9.9.9的DNS就不作控制

再另用一TRAFFIC SHAPPER 把 PER IP 到 DNS 的 SESSION 數控制最多在100

但這還是治標不治本

快把所有電腦裝上ENPOINT吧, SOPHOS HOME就是不錯的選擇

送30天免費雲方案, 你用完即棄也可.

看樣子後者比較可能實施
現場環境我沒辦法再幫他們架設一台DC
但是要在電腦上安裝軟體就非常好達成了

非常感謝提供寶貴的意見 !

bluegrass iT邦高手 1 級 ‧ 2021-01-04 10:25:02 檢舉

不用再架設一台DC啦, 用現有的不就好-.-

現場環境只有一台80C就直接SWITCH 然後各台電腦 DNS都是走中華電信和GOOGLE而已

1
mytiny
iT邦大師 1 級 ‧ 2021-01-04 12:15:29

應該是當初派送的時候一併把病毒給派送整間電腦教室了
只要該電腦教室上課 全部電腦一開機
全校網路就被電腦教室的瘋狂連線DNS給搞癱瘓

所謂網路癱瘓是指哪裡癱瘓?
如果樓主描述的真是主要原因
那就一定要把電腦教室處理好才能解決

不過按現在情況看起來
如果80C指的是Fortigate-80C,未免也太舊了吧
同時那個網路架構也很厲害
猜測電腦教室都是用虛擬IP,而辦公室、伺服器則是用真實IP
如果真是這樣,
樓主的防火牆既沒有開啟防毒也沒有IPS防護功能
資安防護未免也太瞎了吧

"暫時"解決網路停擺的方法:
建議在防火牆政策上暫時做限制
例如:電腦教室的DNS服務限制只能去ISP線路,
且只提供168.95.1.1跟8.8.8.8兩個IP位置
政策放在最前面,不限流量但限制session數
但可能網頁會變慢,或需多開幾次
至於行政辦公及伺服器
DNS禁止走ISP,只能走TANET
沒多就資安通報就會通知學校哪台有問題
四小時內去清除威脅並回報就好

這種網路架構會看了令人很傷心
拼拼湊湊、疊層架屋,都沒有好好規劃
也不知學校預算這麼不重視資安都拿去買什麼了

沒錯 我現在遊走各個學校看著資安非常痛苦
非常多學校還在用80C 甚至有遇過學校連防火牆都沒有
上次遇到一間防火牆掛掉 可是沒預算 直接跟中華電信拿台SWITCH做ROUTER結案的
然後規則根本沒有詳細設定
都直接LANTOWAN等等最基本的設定

我剛到學校的時候更慘
電腦教室都是走真實IP 我是過去看環境很好切換
直接把電腦教室改成虛擬IP

然後最悲慘的莫過於資安通報了
要四小時內去絕對不可能
收到資安通報看起來比較平常的
三天內能去就該偷笑了

另一個部分則是 學校沒有自架DNS
都是直接走GSN或GOOGLE等等
因為目前學校網業大多都向上管理了
DNS顯得更不需要
甚至更多學校的DNS其實架設起來也沒有設定各個桌機
而是單純轉址

至於網路癱瘓的部分
則是電腦教室一開機全部電腦後
就會把流量吃滿到100M
查看連線數等等資訊則是整排的連線電腦主機自己設定的DNS8.8.8.8和168.95.192.1

mytiny iT邦大師 1 級 ‧ 2021-01-05 00:30:46 檢舉

這麼多年了,就不用再提吧
樓主修一修電腦殺殺毒完工交差趕緊吧
雖然Forti也可以做per IP限流量
不過真的沒必要做太多
把功夫留給那些還有救的其他地方吧

唉 也只能這樣了
目前也是把一台電腦帶回重灌再回去重新派送
但是辦公室電腦的話還是沒辦法單獨抓出毒來 再找時間重灌了
雖然最後應該都是不了了之 ...

我要發表回答

立即登入回答