慘澹的父親節---單位網站遭受DDOS攻擊了嗎

父親節那天起,單位網站由外部網域存取時而被癱瘓
流量如圖(此圖擷取至單位powerstation 上的MRTG)



對外第一道防火牆為NS50,
被攻擊主機部分log為
----------------------------------------------------------------------------------------------
2008-08-10 20:04:54 Permit 220.140.198.123:4271 220.140.198.123:4271 192.168.4.10:80 8 sec HTTP
2008-08-10 20:04:52 Permit 220.140.198.123:4270 220.140.198.123:4270 192.168.4.10:80 6 sec HTTP
2008-08-10 20:04:36 Permit 220.140.198.123:4250 220.140.198.123:4250 192.168.4.10:80 4 sec HTTP
2008-08-10 20:04:36 Permit 220.140.198.123:4248 220.140.198.123:4248 192.168.4.10:80 4 sec HTTP
2008-08-10 20:04:22 Permit 209.234.171.45:34767 209.234.171.45:34767 192.168.4.10:80 301 sec HTTP
2008-08-10 20:04:20 Permit 125.224.3.19:3713 125.224.3.19:3713 192.168.4.10:80 39 sec HTTP
2008-08-10 20:03:55 Permit 125.224.3.19:3704 125.224.3.19:3704 192.168.4.10:80 15 sec HTTP
2008-08-10 20:03:53 Permit 220.140.198.123:4238 220.140.198.123:4238 192.168.4.10:80 3 sec HTTP
2008-08-10 20:03:53 Permit 220.140.198.123:4234 220.140.198.123:4234 192.168.4.10:80 4 sec HTTP
2008-08-10 20:03:53 Permit 220.140.198.123:4217 220.140.198.123:4217 192.168.4.10:80 34 sec HTTP
2008-08-10 20:03:53 Permit 220.140.198.123:4212 220.140.198.123:4212 192.168.4.10:80 36 sec HTTP
2008-08-10 20:03:51 Permit 220.140.198.123:4223 220.140.198.123:4223 192.168.4.10:80 32 sec HTTP
2008-08-10 20:03:51 Permit 220.140.198.123:4222 220.140.198.123:4222 192.168.4.10:80 32 sec HTTP
2008-08-10 20:03:51 Permit 220.140.198.123:4221 220.140.198.123:4221 192.168.4.10:80 32 sec HTTP
2008-08-10 20:03:51 Permit 220.140.198.123:4219 220.140.198.123:4219 192.168.4.10:80 32 sec HTTP
2008-08-10 20:03:51 Permit 220.140.198.123:4218 220.140.198.123:4218 192.168.4.10:80 32 sec HTTP
2008-08-10 20:03:51 Permit 220.140.198.123:4213 220.140.198.123:4213 192.168.4.10:80 34 sec HTTP
2008-08-10 20:03:51 Permit 220.140.198.123:4210 220.140.198.123:4210 192.168.4.10:80 34 sec HTTP
2008-08-10 20:03:51 Permit 220.140.198.123:4207 220.140.198.123:4207 192.168.4.10:80 34 sec HTTP
2008-08-10 20:03:41 Permit 220.140.198.123:4211 220.140.198.123:4211 192.168.4.10:80 24 sec HTTP
2008-08-10 20:03:39 Permit 220.140.198.123:4225 220.140.198.123:4225 192.168.4.10:80 20 sec HTTP
2008-08-10 20:03:33 Permit 219.86.103.85:3971 219.86.103.85:3971 192.168.4.10:80 29 sec HTTP
2008-08-10 20:03:33 Permit 163.16.1.29:10730 163.16.1.29:10730 192.168.4.10:80 4 sec HTTP
2008-08-10 20:03:31 Permit 220.140.198.123:4224 220.140.198.123:4224 192.168.4.10:80 12 sec HTTP
2008-08-10 20:03:31 Permit 220.140.198.123:4220 220.140.198.123:4220 192.168.4.10:80 12 sec HTTP
2008-08-10 20:03:29 Permit 220.140.198.123:4216 220.140.198.123:4216 192.168.4.10:80 10 sec HTTP
2008-08-10 20:03:29 Permit 220.140.198.123:4214 220.140.198.123:4214 192.168.4.10:80 11 sec HTTP
2008-08-10 20:03:29 Permit 59.114.22.17:3261 59.114.22.17:3261 192.168.4.10:80 39 sec HTTP
2008-08-10 20:03:25 Permit 59.114.22.17:3259 59.114.22.17:3259 192.168.4.10:80 35 sec HTTP
2008-08-10 20:03:25 Permit 59.114.22.17:3258 59.114.22.17:3258 192.168.4.10:80 35 sec HTTP
2008-08-10 20:03:19 Permit 59.114.22.17:3267 59.114.22.17:3267 192.168.4.10:80 29 sec HTTP
2008-08-10 20:03:19 Permit 59.114.22.17:3266 59.114.22.17:3266 192.168.4.10:80 29 sec HTTP
2008-08-10 20:03:19 Permit 59.114.22.17:3265 59.114.22.17:3265 192.168.4.10:80 29 sec HTTP
2008-08-10 20:03:19 Permit 59.114.22.17:3264 59.114.22.17:3264 192.168.4.10:80 29 sec HTTP
2008-08-10 20:03:19 Permit 59.114.22.17:3263 59.114.22.17:3263 192.168.4.10:80 29 sec HTTP
2008-08-10 20:03:19 Permit 59.114.22.17:3262 59.114.22.17:3262 192.168.4.10:80 29 sec HTTP
2008-08-10 20:03:19 Permit 59.114.22.17:3260 59.114.22.17:3260 192.168.4.10:80 29 sec HTTP
2008-08-10 20:03:19 Permit 59.114.22.17:3257 59.114.22.17:3257 192.168.4.10:80 29 sec HTTP
2008-08-10 20:03:19 Permit 59.114.22.17:3256 59.114.22.17:3256 192.168.4.10:80 29 sec HTTP
2008-08-10 20:03:19 Permit 59.114.22.17:3255 59.114.22.17:3255 192.168.4.10:80 29 sec HTTP
2008-08-10 20:03:19 Permit 59.114.22.17:3252 59.114.22.17:3252 192.168.4.10:80 29 sec HTTP
2008-08-10 20:03:19 Permit 59.114.22.17:3250 59.114.22.17:3250 192.168.4.10:80 30 sec HTTP
2008-08-10 20:03:01 Permit 192.83.166.24:40094 192.83.166.24:40094 192.168.4.10:80 3 sec HTTP
2008-08-10 20:02:55 Permit 59.114.22.17:3251 59.114.22.17:3251 192.168.4.10:80 5 sec HTTP
2008-08-10 20:02:53 Permit 219.86.103.85:3970 219.86.103.85:3970 192.168.4.10:80 30 sec HTTP
2008-08-10 20:02:49 Permit 219.86.103.85:3969 219.86.103.85:3969 192.168.4.10:80 27 sec HTTP
2008-08-10 20:02:33 Permit 163.28.112.100:37766 163.28.112.100:37766 192.168.4.10:80 23 sec HTTP
2008-08-10 20:02:25 Permit 219.86.103.85:3968 219.86.103.85:3968 192.168.4.10:80 17 sec HTTP
2008-08-10 20:02:25 Permit 219.86.103.85:3967 219.86.103.85:3967 192.168.4.10:80 18 sec HTTP
2008-08-10 20:01:37 Permit 163.28.112.100:36924 163.28.112.100:36924 192.168.4.10:80 24 sec HTTP
2008-08-10 20:01:31 Permit 163.28.112.100:36830 163.28.112.100:36830 192.168.4.10:80 25 sec HTTP
2008-08-10 20:01:17 Permit 59.113.15.39:2766 59.113.15.39:2766 192.168.4.10:80 29 sec HTTP
2008-08-10 20:00:45 Permit 59.113.15.39:2765 59.113.15.39:2765 192.168.4.10:80 40 sec HTTP

...略...

由netscreen 50 進來封包會連向至powerstation 頻寬負載器上,接著到單位的core switch
作日已在ns50 及powerstation 上作彈性設定,但今日下午仍被攻陷
不知是否有先進可指導一下,以上兩樣設備可否作有效設定阻擋攻擊
第一階段被攻擊主機為win 2003,上面跑tomcat web service
不知道在windows 平台上,是否有像FreeBSD ipfw 般,可設定單一IP連結數量??
Thanks a lot...



大大

您的資料給太多了 遮一下比較好
這一波的攻勢從上月中左右就開始延燒

很多大站都有被 k 的經驗
當然賣資安設備的廠商大發利市

NS 50 是檔不住的 因為這次除了 DDOS 外也搭配多種其他在
FIREWALL 上合法的手段

最簡單的方法 : 寧可錯殺無赦 在 ROUTER 上直接針對 一個一個
大群組( C 以上)做 LOCK 是最快的方式(可能錯殺但有效)
直接檔在長城外

小小建議
(這次很嚴重 客戶的異常連線LOG上連國內資訊龍頭的 IP 都有 !!)
從資訊大頭的GW IP 發動功擊表示的意思是 .....
您可以試試把NS50上的TCP timeout值調小,可以增加一些連線數,同時把tcp-half-open的值也調小.Source IP Based Session Limit 也調小,應該可以解決一些問題.
網路即生活,生活即網路.
NS 50 有 64,000 FIREWALL Session 應該不會發生 SESSION 滿載
可能是 TCP 80 直接過 FIREWALL 跟 SLB 後造成 SERVER LOADING 增加
導致 WEB SERVICE 緩慢

上月中到現在 發現 LOCK IP net 比什麼 IDP / IPS 都有效
只是不是每個單位都能這樣做
minimix wrote:
NS 50 有 64...(恕刪)

剛剛攻擊暫時停歇,原有的網站service 仍然健在
且攻擊發起時,單位網路線路連結幾乎癱瘓
怪怪,單位的NS50 sessions 數似乎沒這麼高??
韌體版本有差嗎??印象中該設備的供應商提及雖升級韌體
sessions 量增加,但穩定性變差??
忘了,明日再確認一下...
法國車俱樂部
minimix wrote:
大大您的資料給太多了...(恕刪)

只遮住自己單位,被當跳板的就沒特別注意
確實,當時一看log ,怎麼是自己國內的ISP業者
若一擋,可擋下不少正常連結...[無奈]
法國車俱樂部
這一波攻勢 來的快
現在看來又有新攻勢了
........... xd
你用的這兩個設備
netscreen 50, powerstation
擋不住的
caze wrote:
怪怪,單位的NS50 sessions 數似乎沒這麼高??

剛剛查了一下,單位的NS50 似乎是尚未被收購之前的版本
因此最大sessions 數只能看看就好[困窘]
法國車俱樂部
RD研發人 wrote:
你用的這兩個設備ne...(恕刪)

caze也認為擋不住,因此也委請上游幫忙處理[流淚]



這是今天的攻擊,不知道結束了沒
法國車俱樂部
文章分享
評分
複製連結