apage
2007-03-30, 02:41 AM
:D
昨天凌晨12點開始,Hinet不明原因速度奇慢無比...
早上到了公司馬上查看原因,怪怪 Cacti 下載統計飆到 600Kbytes
用 tcpdump 查看 NAT 主機,怪怪..
09:37:13.073868 IP 216.32.70.106.52902 > 我們公司的NAT IP.54674: UDP, length 1
一直出現狂洗....
對方 216.32.70.106 : 52902 一直送長度1的 UDP封包
設定ip tables 阻擋也無效!
於是我立刻更改主機設定 把"我們公司的 NAT IP" 換掉
(因為我們是固接ADSL 所以有3個IP可以換)
但換了再用 tcpdump 看依然一樣可以抓到上面那段訊息..."還是送到沒改過的目的IP"
推斷應該是小烏龜那一段被攻擊了,於是當然就報修囉!
結果機房人員先是強推一個 IPS的服務,
我說我們已經知道攻擊端了還要我們花錢去用這個東西會不會奇怪了點,
他一聽狀況不對,就找了一個資深人員來,然後該員立刻就答應先幫我檔了...
還說要半小時...娘的,我就等。
半小時(15:30)後,打電話問,據他說改完了,但我這依然無效一直收到封包,
繼續追問他們如何證明已經改了?他們說那是義務幫忙,不用證明,
而且本來就不一定會成功。我反問『請問,請問這不一定成功的根據在哪』
(因為我實在想不出來在 Router 上面檔IP怎麼會失敗...)
他說
『之前是有失敗的紀錄啦,也許他可能有修改東西,所以你們得到的資訊並不完整』
(well...我承認我不懂封包裡面講什麼,好吧,你說的也有可能。)
『但是這通訊協定封包的來源根本不可能是假的吧?』我說
『這我就不清楚了,也許還有其他資訊也不一定啊』他說。
『那如果擋了無效之後怎麼辦?』
『那我們會把擋住的IP移除』火大,第一次看到有人遇到問題處理無效會往後退的...
『我是問怎麼進一步處理?』
『可以先撥0800...(一支資安服務的電話)使用剛剛我同事提的IPS服務,或是請網路警察處理』他說。
『報警?』我....
『因為這是網際網路,是公開的地方,我們已經先幫你從機房這邊設定檔它了,再上層不能隨便幫人阻擋,因為也有可能影響別人,所以要是私人單位就可以使用IPS服務多一層保護,不然就是報案請偵九隊處理了。』他頭頭是道。
『好吧,那我先試試IPS服務好了,謝謝』
接著我就在報案,詢問IPS 周旋...兩邊都問了...=.= 封包依然唱秋...
然後 18:04 分,封包突然停止了....哇,停了耶!
......................無言分隔線
中華電信為了讓我們買 IPS 故意被攻擊嗎?繼續打去機房問,他說他們都沒動。
事後我覺得是被中華虎爛了,15:30 他真的有去操作機房 Router 嗎=.=
還是 Router 有 cache ?(這 cache 需要三小時...會不會太久)
雖沒玩過 Router,但我都知道 Linux 上面可以route flush cache
這封包攻擊蠻沒品的(雖然聽過很多,但實際發生是第一次碰到)
整起事件發生已超過12小時,就這樣 Hinet 的線路一直無法使用。
所以我被中華虎爛的機率很大 :o
下次記住了,Hinet 網路被攻擊要報警處理....
贊助商連結
昨天凌晨12點開始,Hinet不明原因速度奇慢無比...
早上到了公司馬上查看原因,怪怪 Cacti 下載統計飆到 600Kbytes
用 tcpdump 查看 NAT 主機,怪怪..
09:37:13.073868 IP 216.32.70.106.52902 > 我們公司的NAT IP.54674: UDP, length 1
一直出現狂洗....
對方 216.32.70.106 : 52902 一直送長度1的 UDP封包
設定ip tables 阻擋也無效!
於是我立刻更改主機設定 把"我們公司的 NAT IP" 換掉
(因為我們是固接ADSL 所以有3個IP可以換)
但換了再用 tcpdump 看依然一樣可以抓到上面那段訊息..."還是送到沒改過的目的IP"
推斷應該是小烏龜那一段被攻擊了,於是當然就報修囉!
結果機房人員先是強推一個 IPS的服務,
我說我們已經知道攻擊端了還要我們花錢去用這個東西會不會奇怪了點,
他一聽狀況不對,就找了一個資深人員來,然後該員立刻就答應先幫我檔了...
還說要半小時...娘的,我就等。
半小時(15:30)後,打電話問,據他說改完了,但我這依然無效一直收到封包,
繼續追問他們如何證明已經改了?他們說那是義務幫忙,不用證明,
而且本來就不一定會成功。我反問『請問,請問這不一定成功的根據在哪』
(因為我實在想不出來在 Router 上面檔IP怎麼會失敗...)
他說
『之前是有失敗的紀錄啦,也許他可能有修改東西,所以你們得到的資訊並不完整』
(well...我承認我不懂封包裡面講什麼,好吧,你說的也有可能。)
『但是這通訊協定封包的來源根本不可能是假的吧?』我說
『這我就不清楚了,也許還有其他資訊也不一定啊』他說。
『那如果擋了無效之後怎麼辦?』
『那我們會把擋住的IP移除』火大,第一次看到有人遇到問題處理無效會往後退的...
『我是問怎麼進一步處理?』
『可以先撥0800...(一支資安服務的電話)使用剛剛我同事提的IPS服務,或是請網路警察處理』他說。
『報警?』我....
『因為這是網際網路,是公開的地方,我們已經先幫你從機房這邊設定檔它了,再上層不能隨便幫人阻擋,因為也有可能影響別人,所以要是私人單位就可以使用IPS服務多一層保護,不然就是報案請偵九隊處理了。』他頭頭是道。
『好吧,那我先試試IPS服務好了,謝謝』
接著我就在報案,詢問IPS 周旋...兩邊都問了...=.= 封包依然唱秋...
然後 18:04 分,封包突然停止了....哇,停了耶!
......................無言分隔線
中華電信為了讓我們買 IPS 故意被攻擊嗎?繼續打去機房問,他說他們都沒動。
事後我覺得是被中華虎爛了,15:30 他真的有去操作機房 Router 嗎=.=
還是 Router 有 cache ?(這 cache 需要三小時...會不會太久)
雖沒玩過 Router,但我都知道 Linux 上面可以route flush cache
這封包攻擊蠻沒品的(雖然聽過很多,但實際發生是第一次碰到)
整起事件發生已超過12小時,就這樣 Hinet 的線路一直無法使用。
所以我被中華虎爛的機率很大 :o
下次記住了,Hinet 網路被攻擊要報警處理....
贊助商連結