stuart
2006-05-22, 01:41 AM
今天在試著用syslog去看2900的狀況時發現一直持續出現
"�166��May 22 01:30:25��Vigor��PoE ==> Protocol:LCP(c021) EchoReq Identifier:0x83Magic Number: 0x0 00 00 ##�
�166��May 22 01:30:25��Vigor��PoE <== Protocol:LCP(c021) EchoRep Identifier:0x83Magic Number: 0x4f6f c0 50 ##�"
的情況!
不知這時什麼意思呀?@@
被攻擊?@@
贊助商連結
dou0228
2006-05-22, 11:51 AM
這是因為 PPPoE 會傳送 PoE Echo, 伺服器回應 PoE reply
所以是正常的 Log, 並非攻擊
cheerx
2006-05-22, 12:39 PM
謝謝dou兄幫忙,原則上如果要看是不是被攻擊,請看firewall log就好,其他的log是提供您除錯或是了解vpn狀況用的.
stuart
2006-05-22, 05:59 PM
謝謝~
只是這台電腦仍是被觀切的一台電腦!
firewall log開至今不到一個小時仍有攻擊...= =
�129��May 22 02:50:49��Vigor��DoS udp_flood Block(10s) 80.103.171.69,10005
�129��May 22 04:17:01��Vigor��DoS trace_rt Block 211.135.18.236
�129��May 22 11:28:04��Vigor��DoS trace_rt Block 220.108.115.167
是我苦命還是bt抓太兇?@@
dou0228
2006-05-22, 06:31 PM
被攻擊算是正常, 只要有欄下來就好..
udp flood 可能是 BT 速度 超過 DoS 的設定, 所以被 Block
trace_rt 是 traceroute block 的關係
cheerx
2006-05-22, 06:43 PM
UDP flood有可能是P2P造成的,因為他同時的UDP封包量過大,有可能會判斷成DOS攻擊.另外兩個就有可能是真正的攻擊了.不管是emule的kad或是bt的dht都有可能造成這個現象,就是超大的udp封包量.
網路上本來就不是很平靜,不然真的也不需要防火牆這種設備了.
stuart
2006-05-22, 09:28 PM
謝謝~其實仍會擔心!
畢竟這台電腦從我在當兵至今一直被檢查出有木馬再不被攻擊!
所以後來才心一橫買了2900..就是希望擋的效果比較好~
現在又有新的訊息~
�129��May 22 17:13:34��Vigor��DoS fin_wo_ack Block 222.92.178.53,21133
這是什麼意思呢?@@
cheerx
2006-05-22, 10:54 PM
這是FIN攻擊,一段時間內送來的FIN已經超過正常的平均太多.基本上機器上有看到的都是有攔下來的,不用擔心.重要的是你內部SERVER有沒有開PORT,沒有的話只要補補瀏覽器的PATCH還有裝一套好一點的防毒防木馬軟體,可達到基本的安全性.如果想要完全了解您可以先閱讀一下TCP IP協定相關文件或是書籍,這樣跟您解釋您會比較清楚.
如果有開PORT的話,注意要常常補OS和架站軟體的漏洞.如果市WIN的SERVER平台記得把IIS目錄內的一些SAMPLE目錄都砍了.