|
|
发表于 2004-1-11 08:00:15
|
显示全部楼层
我也经历过一次,封了好多ip,最后封网三天,关机才暂时搞定。但是过了2天以为没事了,开放了一个ip就不行了。后来我仔细的分析了一下。一是每一ip对应的那一台电脑上都植入了木马,自己把包括512以上的端口都开开了。二是黑客利用从几乎都不同的IP展开DOS攻击(后来还怀疑还有arp攻击),由于有几台内部的机子做了肉鸡,封了一个端口,不一会,另一个端口又开了。我的硬件防火墙最多能接受并发2048个请求,那时只要一开网,不到10秒钟就到了2048,cache满,所有的请求全部drop。
后来,我找到硬件维护商的专家一起才最后解决了问题。我想有几个方面跟大伙分享:
1. 防火墙的配置一定要是拒绝配置为先。(我开始最大的问题)也就是说只有管理员定义开放的IP和端口才能通信,其他一切都是DROP。这样一来,我的网络上除了80,443,20,21,22外所有的对其他端口的请求都缺省的成了DROP,大大的降低的DOS攻击成功的可能性。(iptable上是INPUT chain和FORWARD都 DROP,然后再自己定义什么开放。我原来在硬件firewall上的设置相当于iptable的ACCEPT,然后定义什么开,什么关,可是漏洞在于没有设置‘非定义的都关’这条最后的保险)
2. 在查firewall的时候,别忘了查查内网的机子,搞不好已经被人攻陷了。如果一个网络里有内鬼,想防就不容易了。不知道你的是什么样的情况,我那时dump下来了1600页的数据流包log,分析了1整天查出了可疑的4台机子。再查机子发现了有个叫mslaugh.exe的后台service,这才知道原来它们已经废了。(我当时在firewall上封512端口都没用)
3.对于iptables,有一个限制同一IP并发请求的patch包,可拿来一试。比如,可以限制任何IP的并发请求大于3。
4.虽然配置了firewall,还是要经常查查log,dump包看看。
以上愚见,不知是否对你的情况有用,请大家纠正。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2003-11-27 11:19:40
楼主