被ddos攻擊 和 arp問題 - 資安

By Lydia
at 2008-04-03T12:39
at 2008-04-03T12:39
Table of Contents
※ 引述《squaremax (社會不新鮮人XD)》之銘言:
: ※ 引述《BDmaple (BD)》之銘言:
: : 作者: BDmaple (BD) 看板: AntiVirus
: : 標題: [問題] 被ddos攻擊
: : 時間: Wed Apr 2 18:31:18 2008
: : 最近外宿的網路常常會斷線
: : 就是顯示已連線卻沒辦法上網
: : 由於之前以為是被NETCUT斷線
: : 所以找到一些關於用arp修復的方法
: : 也有找到NETCUT 2來注意網路狀況
: : 常常會遇到主機的實體IP被更改
: : 發現後用arp -s 指令修正 (我有記主機的實體IP)
: : 連上分享器之後也可以看到各個IP的連線狀況
: : 有特定幾個IP會有大量連線數
: : 有時候被斷線 用NETCUT剪掉某特定IP(192.168.0.xxx)即可上網
: : 但是不穩定
: : 那個某特定IP(192.168.0.xxx)
: : 最近我調整防火牆的設定之後
: : 攔截到他的DDOS攻擊 同時我的網路也斷線了
: : 之後沒有重開機 一直維持斷線狀態
: : 同一天總共受到三次攻擊
: : 通知房東之後
: : 房東找工程師來修
: : 結論是有人用FTP或是FOXY佔了太大頻寬
: : 導致其他用戶無法使用網路
: : 我有幾個問題:
: : 一、我已擋下對方的DDOS攻擊,為何還是斷線? 我用COMODO
: 照理說使用防火牆軟體去擋應該是不會造成斷線情況,有可能是分享器掛了
: : 二、有人占取過大頻寬,其他住戶會完全無法上網嗎?連BBS都無法連線
: : 還是只是速度很慢?
: 答案是肯定的,佔取過大頻寬,或是廣播風暴,都會造成連線品質不良,
: 這種情況在使用IP分享器時最常見。
: : 三、有時候用NETCUT來看區網的電腦,會一直有假的主機(192.168.0.1)跑出來,每一個
: : 的實體IP都不同,這是被NETCUT攻擊的狀況嗎?感覺幾秒鐘就出現一個,舊的就消失
: 那應該不是假的主機吧,當你使用IP分享器外加DHCP制時,預設應該為192.168.0.1
: 開始配給,不過在下並未精通Netcut的使用方式,請其他高人來回答@@"!
這裡我沒有講得很清楚
意思是192.168.0.1這個主機會幾秒鐘就出現一個不同的MAC
而NETCUT好像不會把已離線的IP給消去
導致IP列表變成
192.168.0.1 00-11-22-33-AA-DD (假設這是真的mac)
192.168.0.1 99-88-77-CC-SS-AA
192.168.0.1 HH-R5-V3-GB-6V-F1
.
.
.
這種情形
把netcut重開之後 假的就會消失
只留下真的192.168.0.1 00-11-22-33-AA-DD
然後幾秒鐘之後又出現假的mac
一直重複
: : 四、防火牆的紀錄裡面,每5秒就有被同一個IP連線的紀錄,這在區網正常嗎?
: : 最後感謝您的觀看與回答 謝謝
: 防火牆的功用就是在紀錄封包的進入與流出,若有使用者瀏覽網頁或要求連線等行為
: 時,都會被記錄下來,所以說正不正常,很難判斷,必須要再加上封包流量,觀察封
: 包內容是什麼,或許還可以判斷出來。
這裡也沒有說清楚 抱歉
我所指的同一個ip是指區網內的ip(192.168.0.XXX)
很準的每5秒就會連一次(我把區網內的IP 除了自己和主機 其他的TCP與UDP都擋掉)
拔掉網路線幾分鐘再插上 狀況一樣 沒使用其他的網路連線
--
: ※ 引述《BDmaple (BD)》之銘言:
: : 作者: BDmaple (BD) 看板: AntiVirus
: : 標題: [問題] 被ddos攻擊
: : 時間: Wed Apr 2 18:31:18 2008
: : 最近外宿的網路常常會斷線
: : 就是顯示已連線卻沒辦法上網
: : 由於之前以為是被NETCUT斷線
: : 所以找到一些關於用arp修復的方法
: : 也有找到NETCUT 2來注意網路狀況
: : 常常會遇到主機的實體IP被更改
: : 發現後用arp -s 指令修正 (我有記主機的實體IP)
: : 連上分享器之後也可以看到各個IP的連線狀況
: : 有特定幾個IP會有大量連線數
: : 有時候被斷線 用NETCUT剪掉某特定IP(192.168.0.xxx)即可上網
: : 但是不穩定
: : 那個某特定IP(192.168.0.xxx)
: : 最近我調整防火牆的設定之後
: : 攔截到他的DDOS攻擊 同時我的網路也斷線了
: : 之後沒有重開機 一直維持斷線狀態
: : 同一天總共受到三次攻擊
: : 通知房東之後
: : 房東找工程師來修
: : 結論是有人用FTP或是FOXY佔了太大頻寬
: : 導致其他用戶無法使用網路
: : 我有幾個問題:
: : 一、我已擋下對方的DDOS攻擊,為何還是斷線? 我用COMODO
: 照理說使用防火牆軟體去擋應該是不會造成斷線情況,有可能是分享器掛了
: : 二、有人占取過大頻寬,其他住戶會完全無法上網嗎?連BBS都無法連線
: : 還是只是速度很慢?
: 答案是肯定的,佔取過大頻寬,或是廣播風暴,都會造成連線品質不良,
: 這種情況在使用IP分享器時最常見。
: : 三、有時候用NETCUT來看區網的電腦,會一直有假的主機(192.168.0.1)跑出來,每一個
: : 的實體IP都不同,這是被NETCUT攻擊的狀況嗎?感覺幾秒鐘就出現一個,舊的就消失
: 那應該不是假的主機吧,當你使用IP分享器外加DHCP制時,預設應該為192.168.0.1
: 開始配給,不過在下並未精通Netcut的使用方式,請其他高人來回答@@"!
這裡我沒有講得很清楚
意思是192.168.0.1這個主機會幾秒鐘就出現一個不同的MAC
而NETCUT好像不會把已離線的IP給消去
導致IP列表變成
192.168.0.1 00-11-22-33-AA-DD (假設這是真的mac)
192.168.0.1 99-88-77-CC-SS-AA
192.168.0.1 HH-R5-V3-GB-6V-F1
.
.
.
這種情形
把netcut重開之後 假的就會消失
只留下真的192.168.0.1 00-11-22-33-AA-DD
然後幾秒鐘之後又出現假的mac
一直重複
: : 四、防火牆的紀錄裡面,每5秒就有被同一個IP連線的紀錄,這在區網正常嗎?
: : 最後感謝您的觀看與回答 謝謝
: 防火牆的功用就是在紀錄封包的進入與流出,若有使用者瀏覽網頁或要求連線等行為
: 時,都會被記錄下來,所以說正不正常,很難判斷,必須要再加上封包流量,觀察封
: 包內容是什麼,或許還可以判斷出來。
這裡也沒有說清楚 抱歉
我所指的同一個ip是指區網內的ip(192.168.0.XXX)
很準的每5秒就會連一次(我把區網內的IP 除了自己和主機 其他的TCP與UDP都擋掉)
拔掉網路線幾分鐘再插上 狀況一樣 沒使用其他的網路連線
--
Tags:
資安
All Comments

By Agatha
at 2008-04-05T20:36
at 2008-04-05T20:36

By Freda
at 2008-04-06T04:32
at 2008-04-06T04:32

By Doris
at 2008-04-08T17:38
at 2008-04-08T17:38
Related Posts
被ddos攻擊 和 arp問題

By Hedwig
at 2008-04-03T03:51
at 2008-04-03T03:51
被ddos攻擊

By Dorothy
at 2008-04-02T21:02
at 2008-04-02T21:02
一直被任意IP來要求連線

By Liam
at 2008-03-30T15:45
at 2008-03-30T15:45
arp欺騙的問題...請大家幫忙一下

By Poppy
at 2008-03-29T10:42
at 2008-03-29T10:42
MTRG 統計問題

By Steve
at 2008-03-29T10:25
at 2008-03-29T10:25