網路封包監測, DDOS攻擊?

網路封包監測, ddos攻擊?

Ginochang 2022-03-23 17:13:13 ‧ 1912 瀏覽

分享至

請問各位大大, 公司的網路有出現無法連線的狀態,但只有幾秒而已來不及抓問題, 懷疑是DDOS攻擊但不確定,有2件事請問一下
1.我想用個軟體安裝在對外主機上因為若被攻擊的話頻寬應該是會被瞬間吃滿, 想用這個軟體來了解是否為被外部攻擊還是內部or hardware 問題 , 請問有什麼軟體可以24hr 監控流量
2.請問如何判斷為DDOS攻擊, 要怎麼防護

謝謝各位大大回覆 tks

看更多先前的討論...收起先前的討論...

runan5678 iT邦研究生 1 級 ‧ 2022-03-23 17:26:59 檢舉

這種狀況當然是先查網路設備的記錄看有沒有發生甚麼異常狀況，根據敘述也許檢視防火牆的記錄會有些蛛絲馬跡，再來有提到頻寬問題先，看看有沒有方式監測頻寬用量之類，不用先預設發生甚麼事，先確認能檢視的資訊再來決定怎麼處理

Ginochang iT邦新手 5 級 ‧ 2022-03-23 17:59:46 檢舉

LOG 看過了都沒有狀況 attackers , Threats 也都沒有LOG , 我老闆是說DDOS 攻擊, LOG 不會有, 但我記的好像不是這樣

BeEvil_Y iT邦新手 4 級 ‧ 2022-03-23 19:57:24 檢舉

不能上網的時候，我會找一台電腦，打開CMD從交換器、主要匝道一路PING下去，看是斷在哪裡。
從你的問題來看，你根本沒這麼做。
你老闆這麼省錢，連IT都請不起？

mytiny iT邦超人 1 級 ‧ 2022-03-24 00:02:58 檢舉

專業防火牆應該都會有Log紀錄
能不能防DDoS要看功能
貴公司如果是用CISCO，何不問問SI ?

japhenchen iT邦超人 1 級 ‧ 2022-03-24 07:40:17 檢舉

買一台好的防火牆，你想要的表、記錄都有

zyman2008 iT邦大師 6 級 ‧ 2022-03-24 09:02:22 檢舉

我發現普羅大眾, 很喜歡搬出DDoS這個字, 也很喜歡問怎麼防DDoS, 但對它的真正意義卻不是那麼的清楚. 不要被洗腦了.
一切攻擊的背後, 都會有動機(政治/金錢/理念/結怨). 有人閒閒沒事會針對貴司發動DDoS嗎 ? 會被DDoS, 代表貴司的生意在業界很有價值. 或是和人結怨.

找問題和防DDoS是不同的事. 我覺得先補強如何能快速找出問題的相關建置, 是相對重要的. 硬體/服務/網路都需要監控, 建立base line後, 才有辦法判斷異常.

Ginochang iT邦新手 5 級 ‧ 2022-03-24 11:07:24 檢舉

zyman大大你說的我很贊同, 所以我才在請問要如何防止DDOS 攻擊, 以及如何判斷

我司現在用的是CISCO 2100 系列的firewall

zyman2008 iT邦大師 6 級 ‧ 2022-03-24 12:10:34 檢舉

"網路有出現無法連線的狀態"
重點應該是先把監控做好吧, 這一點目前似乎很薄弱. (要先做好)
DDoS 只是其中之一的可能, 何需一直執念於此. (要理解這塊, 要先從服務層的面向反推, 不是直接看網路層. 這是挑戰, 我當網管, 會ISO 1層到7層. 我家的programmer就只會寫程式)

目前貴司有建置那些監控機制 ? 含括那些層面 ? (硬體/網路/服務)
還是, 不知道 ?
Cisco Firewall 是自管還是有簽 SI服務. 你知道 Cisco 的 sla monitor 功能嗎 ?

其實範圍很廣. 若想要學網路/網路設備相關監控, 先理解最基本的 SNMP 應用. 找個市場上較通用的監控系統(不熟Linux的, 建議玩PRTG. 熟Linux的, 可以試試LibreNMS. 玩Zabbix要功力強一些). 接著, 要學會某種script language, 才能晉級自己客製監控 sensor 和 trigger action. 擴大含括面.

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

㊣浩瀚星空㊣

iT邦大神 1 級 ‧ 2022-03-23 20:09:48

1.我想用個軟體安裝在對外主機上因為若被攻擊的話頻寬應該是會被瞬間吃滿, 想用這個軟體來了解是否為被外部攻擊還是內部or hardware 問題 , 請問有什麼軟體可以24hr 監控流量

如果是DDOS攻擊，軟體根本沒啥用。
而且水管小的話。你會發現你是主機負載是0。
至於有啥軟體。作業系統不清楚很難跟你說。

2.請問如何判斷為DDOS攻擊, 要怎麼防護

最簡單的方式，死了就掛了。
一般如果是DDOS的話，如能直接本地端登入。且負載查看為0的情況下。
大多數都是DDOS。
但如果是雲端機器，無法本地登入。
一般我都會綁定兩個IP在機器上。其中一個IP並不綁定域名。單純作業使用。

這樣在被DDOS時，還能利用另一個IP進去查看。
但CC攻擊就沒辦法。

至於防護???基本就是用錢砸了。
DDOS不要想要靠擋，擋不了的。
一般都是用大水管做分流掉。
但大水管是很貴的。

回應 1
分享
檢舉

wajika iT邦新手 5 級 ‧ 2022-03-24 10:02:43 檢舉

CC攻击有什么对策？

登入發表回應

bohan1210

iT邦新手 3 級 ‧ 2022-03-23 22:49:33

一般就是用實體防火牆/gateway來擋著看Log，一當發現Log一直被洗頻就是被DDoS攻擊了，通常的做法就是換wan public IP。
中華也有推出線路的DDoS防護，從骨幹就幫你擋住，但是通常費用就是不便宜，所以我們公司是用Zyxel USG FLEX500，有被攻擊就很明顯看得到Log。

回應 2
分享
檢舉

Ginochang iT邦新手 5 級 ‧ 2022-03-24 11:05:47 檢舉

請問一下我司有用CISCO firewall 還要再添購這台嗎>??

bohan1210 iT邦新手 3 級 ‧ 2022-03-24 16:22:55 檢舉

有的話基本上就不用了，只是有些更保守的作法會是雙層防火牆也行，或者當L3過濾。
但目前既有的CISCO就可以看Log有沒有一直被洗頻

https://www.timigate.com/2017/12/how-to-stop-distributed-denial-of.html
像上圖這樣的，有些會不同來源IP一起打，因為被鎖定了，通常就是先換IP。