各位學長學姊好久不見
樓下新增個懶人包
想詢問一下目前我手上有一間學校
大致的網路環境是在地ISP -> 80C WAN-> 縣網 -> 略
80C WAN-> 學術網路 -> ZXCEL L2 SWITCH -> 辦公室、伺服器
80C LAN-> (1)DLINK L2 SWITCH -> 電腦教室電腦
-> (堆疊2)DLINK L2 SWITCH -> 電腦教室電腦
應該是當初派送的時候一併把病毒給派送整間電腦教室了
只要該電腦教室上課 全部電腦一開機
全校網路就被電腦教室的瘋狂連線DNS給搞癱瘓
即使我透過80C將DNS流量管控在3M內 就會造成電腦教室某些電腦會突然無法上網 顯示找不到DNS位址 自己猜測是自己連線的DNS造成網路癱瘓
雖然我不確定我防火牆的規則是否設置正確
80C新建流量管控規則DNS 上限3072 並在防火牆規則新增一條ANY至ANY的DNS服務並套用此流量管制規則 排序在第一筆
詢問了同事表示說他之前遇過 就是中毒 但是是綁在系統檔內 無法完全清除只能重灌
我用內建掃描則是掃不到毒 因為時間與環境因素無法使用其餘掃毒則先作罷
dism /online /cleanup-image /scanhealth則是顯示有元件可以修復
restorehealth則表示需要使用source修復 礙於時間與環境則先跳過 雖然這只是死馬當活馬醫
網路上查找相關資料
通常都是DNS被當跳板與DNS主機相關問題 找不到相關資訊
目前我也是懷疑中毒 畢竟中間參雜一些北京 美國等等IP
目前打算將電腦教室電腦重灌重新派送解決
但麻煩的是有觀察到有其他行政電腦也有DNS大量連線的資訊
想詢問關於此問題是否是中毒問題以及是否有辦法掃毒解決
01/04
補充說明一下:
電腦的DNS都是設定168.95.1.1跟8.8.8.8
有更改縣網的DNS後改瘋狂連線縣網DNS 現場環境無DNS SERVER
順便上個懶人包:
電腦教室開機後 防火牆流量直接飆到滿(100M) 查看電腦教室IP的連線都是整排的8.8.8.8 168.192.1.1(電腦設定的DNS 更改DNS設定後也會一起變動)
現場環境無DNS SERVER
應該是當初派送的時候一併把病毒給派送整間電腦教室了
只要該電腦教室上課 全部電腦一開機
全校網路就被電腦教室的瘋狂連線DNS給搞癱瘓
所謂網路癱瘓是指哪裡癱瘓?
如果樓主描述的真是主要原因
那就一定要把電腦教室處理好才能解決
不過按現在情況看起來
如果80C指的是Fortigate-80C,未免也太舊了吧
同時那個網路架構也很厲害
猜測電腦教室都是用虛擬IP,而辦公室、伺服器則是用真實IP
如果真是這樣,
樓主的防火牆既沒有開啟防毒也沒有IPS防護功能
資安防護未免也太瞎了吧
"暫時"解決網路停擺的方法:
建議在防火牆政策上暫時做限制
例如:電腦教室的DNS服務限制只能去ISP線路,
且只提供168.95.1.1跟8.8.8.8兩個IP位置
政策放在最前面,不限流量但限制session數
但可能網頁會變慢,或需多開幾次
至於行政辦公及伺服器
DNS禁止走ISP,只能走TANET
沒多就資安通報就會通知學校哪台有問題
四小時內去清除威脅並回報就好
這種網路架構會看了令人很傷心
拼拼湊湊、疊層架屋,都沒有好好規劃
也不知學校預算這麼不重視資安都拿去買什麼了
沒錯 我現在遊走各個學校看著資安非常痛苦
非常多學校還在用80C 甚至有遇過學校連防火牆都沒有
上次遇到一間防火牆掛掉 可是沒預算 直接跟中華電信拿台SWITCH做ROUTER結案的
然後規則根本沒有詳細設定
都直接LANTOWAN等等最基本的設定
我剛到學校的時候更慘
電腦教室都是走真實IP 我是過去看環境很好切換
直接把電腦教室改成虛擬IP
然後最悲慘的莫過於資安通報了
要四小時內去絕對不可能
收到資安通報看起來比較平常的
三天內能去就該偷笑了
另一個部分則是 學校沒有自架DNS
都是直接走GSN或GOOGLE等等
因為目前學校網業大多都向上管理了
DNS顯得更不需要
甚至更多學校的DNS其實架設起來也沒有設定各個桌機
而是單純轉址
至於網路癱瘓的部分
則是電腦教室一開機全部電腦後
就會把流量吃滿到100M
查看連線數等等資訊則是整排的連線電腦主機自己設定的DNS8.8.8.8和168.95.192.1
這麼多年了,就不用再提吧
樓主修一修電腦殺殺毒完工交差趕緊吧
雖然Forti也可以做per IP限流量
不過真的沒必要做太多
把功夫留給那些還有救的其他地方吧
唉 也只能這樣了
目前也是把一台電腦帶回重灌再回去重新派送
但是辦公室電腦的話還是沒辦法單獨抓出毒來 再找時間重灌了
雖然最後應該都是不了了之 ...
DNS 放大攻擊簡介與防制--國立臺灣大學計算機及資訊網路中心
DNS amplification attack 分析報告-台灣學術網路危機處理中心
學術網路有資安事件發生, 請立即向 TACERT 通報, 並請求協助:
TACERT 學術網路危機處理中心
不是把DNS流量管控在3M內
先把你所有電腦的DNS應該改用你的DC為DNS
在DC的 DNS FORWARDER上改用 1.1.1.1 , 9.9.9.9
再來一TRAFFIC SHAPPER流量管控到1.1.1.1 , 9.9.9.9的DNS就不作控制
再另用一TRAFFIC SHAPPER 把 PER IP 到 DNS 的 SESSION 數控制最多在100內
但這還是治標不治本
快把所有電腦裝上ENPOINT吧, SOPHOS HOME就是不錯的選擇
送30天免費雲方案, 你用完即棄也可.