.

iT邦幫忙

2

家用設備被DDOS攻擊處理問題

  • 分享至 

  • xImage

最近家裡被莫名其妙的DDOS攻擊,約10分鐘內,約被6萬筆IP大量存取443.21.23等之類的弱點端口,造成端口資源耗盡
https://ithelp.ithome.com.tw/upload/images/20250129/201424823f6ipAvzj7.png

也不知道是什麼原因被針對了,今天就被針對了2次

系統為RouterOS,目前能做的方法為抓網路上的黑名單IP定期更新拒絕,弱點端口新建立連結IP封鎖30分鐘,Echo Reply不回應,winbox預設端口更換,限制1筆IP只能建立20個端口連線這樣
最後設立機制偵測到弱點端口1分鐘內被探測50次自動重新撥號取得新IP這樣(讓攻擊者跟空氣鬥)
https://ithelp.ithome.com.tw/upload/images/20250129/20142482iwhNXWuJuY.png

但感覺這樣也不是辦法
目前碰到狀況就是玩遊戲正開心時,被人DDOS攻擊斷線,造成中離/images/emoticon/emoticon20.gif

想問有沒有什麼較好的方式能解決?
或是個人缺了哪個部分沒有隱藏好實體IP在網路上?
目前有在想會不會是DDNS服務透漏了我實體IP問題,但感覺又不像,因為重新撥號就解決了

還望有經驗的大大給個建議/images/emoticon/emoticon02.gif

.
圖片
  直播研討會

2 個回答

2
haward79
iT邦研究生 1 級 ‧ 2025-01-29 01:19:32
最佳解答

目前有在想會不會是DDNS服務透漏了我實體IP問題,但感覺又不像,因為重新撥號就解決了
重新撥號據你所說會取得新IP,DDNS 也會需要時間更新 IP,攻擊方也會需要時間才會取得你的新 IP(DNS可能有快取),因此個人淺見是 DDNS 跟受到攻擊一事未必無關。

分享我自己的建議:

  1. 非必要Port、管理用Port一律設白名單,例如:你的 22000 應該可以設白名單,黑名單說實話擋不完
  2. 如果有網站等需要公開的Port,才不設限,若只供國內瀏覽,可擋國外IP
  3. 關掉Ping、服務不用預設Port(網站等需要公開的服務不在此列)
  4. 可考慮 fail2ban 或是像你用的同時限制連線數等手段(不過對DDOS沒什麼幫助就是了)
  5. 有公 IP 在網路上會被掃是蠻正常的,大多應該都是自動化程式,做個探勘而已,應該無須太過擔心,不要門戶大開就好

約10分鐘內,約被6萬筆IP大量存取

  1. 直接算平均的話,每秒大約100個request,其實不算多,可能要考慮硬體是否要升級
看更多先前的回應...收起先前的回應...
jenjupin iT邦新手 5 級 ‧ 2025-01-29 12:09:12 檢舉

家裡本身沒用網頁服務,不過有自建NAS
連回來方式主要透過路由器WireGuard+DDNS方式連回去

至於DDNS部分,有想過是同步問題所導致重新撥號能暫時解除的狀況
但考量攻擊次數不固定,間隔長(約數小時,明顯超過同步時間),所以才覺得應該不是DDNS所導致,當然也不排除攻擊者是想到就叫肉雞來探測下這樣可能

至於網上被端口掃描是蠻平常的沒錯,不過是真最近這幾天才遇到這麼激烈的DDOS攻擊
平日1天弱點端口通常被掃描1000-2000次左右而已,還真沒遇過突然飆到10分鐘6萬次的

至於更換硬體部分,應該是有點難度了,最近才剛花一筆錢在家中建置升級網路設備/images/emoticon/emoticon06.gif

剛剛想到或許是被端口掃描,有回應SYN、ACK、RST所致,目前把他們都禁掉了,UDP in也全丟包
PING部分,全都拒絕回應,除DOH伺服器與內部網路外,希望有好轉

jenjupin iT邦新手 5 級 ‧ 2025-01-30 14:52:20 檢舉

目前聽了大大的話,採取最保守作法,把TCP、UDP進來方向全禁,逐步開放要用的服務後,終於再也沒有大量IP端口探測的行為了/images/emoticon/emoticon13.gif

johnstudy iT邦新手 4 級 ‧ 2025-01-30 18:21:55 檢舉

網路先不要用一個禮拜應該就沒事了

jenjupin iT邦新手 5 級 ‧ 2025-01-30 20:32:51 檢舉

目前已經解決了,沒再被大量IP大量掃描導致超出附載了,應該是我沒關到TCP的RST回應導致被偵測到主機存在,才被誤判為有價值目標掃描

1
yesongow
iT邦大師 1 級 ‧ 2025-02-03 10:13:04

抓網路上的黑名單IP定期更新拒絕?

我反倒是建議,以白名單方式運作,因為你家的nas只有你使用!沒有必要建立黑名單
應該建立白名單,剩餘IP則為拒絕...

jenjupin iT邦新手 5 級 ‧ 2025-02-03 21:46:28 檢舉

您好,黑名單的部分,主要是考量到還有防止內部用戶,如家人,去誤連接到這些已公開的黑名單列表,讓家庭網路更安全這樣

目前已有把進入方向的TCP與UDP類型封包皆封鎖,僅特別開放某些必要的IP做使用了這樣

jenjupin iT邦新手 5 級 ‧ 2025-02-03 21:46:29 檢舉

您好,黑名單的部分,主要是考量到還有防止內部用戶,如家人,去誤連接到這些已公開的黑名單列表,讓家庭網路更安全這樣

目前已有把進入方向的TCP與UDP類型封包皆封鎖,僅特別開放某些必要的IP做使用了這樣

我要發表回答

立即登入回答