請問這樣的狀況是被攻擊嗎?



贊助商連結


lcn0
2007-11-19, 10:58 AM
各位前輩:

小弟公司有條固8IP的ADSL連接到Firewall, Firewall上面開80/443port ,對應到一台SSL VPN設備.

最近每隔幾天就遇到SSLVPN服務中斷的問題, 抓封包後發現一堆奇奇怪怪的連線,session數累績過多而導致機器服務不正常,
其他的IP上面也有Mail/Web/FTP…等服務, 但都很正常, 請問這樣是受到攻擊嗎?? 向Hinet反應有用嗎?
謝謝


PS1: MRTG的流量無異常, 也排除中毒的可能性
PS2: 圖片在 http://lcn0.myweb.hinet.net/image/a001.jpg

贊助商連結


rogershu
2007-11-20, 02:48 AM
被「掃」而已,通知hinet?沒用。

cheerx
2007-11-20, 05:17 AM
請問樓主的SSL VPN設備是哪一間的,應該都有DOS的機制吧?

lcn0
2007-11-22, 05:37 PM
您好:

這台是Billion的SSLVPN設備,有開DOS防禦。前面的防火牆是微軟ISA 2004 , 也沒有顯示遭到DOS攻擊

我察覺到這些HTTP Request 並不是在短時間內一下子跑進來,而是慢慢累積,所以SSL VPN設備每次重開機後很正常,不過撐了五六天就會停止服務。

cheerx
2007-11-22, 11:55 PM
lcn0兄,請問您有詢問過billiton代理商或是原廠嗎?這個問題他們應該要想辦法才對.這台設備今年賣的非常的好,應該不會只有您遇到這個問題.

lcn0
2007-11-26, 01:41 PM
小峰兄你好
跟開始找代理商,之後原廠的工程師也來了,我們抓了封包才發現這種情形,
據說他們全球所有出貨的設備中,還沒有遇過這種情形。

目前只能用被動的方式解決,就是將設備移到另一條ADSL上,暫時將受攻擊的線路關閉一陣子看看。

cheerx
2007-11-26, 07:20 PM
小弟猜想他們說的也不無可能,不過說真的,如果是某個封包會導致設備crash的話,他們還是要想辦法解決,這算是設備安全性問題了.既然有sniffer應該就知道原因是什麼了!