【問題】居易2900出現 Protocol:LCP(c021) EchoReq Identifier:0x83Magic

[stuart]

今天在試著用syslog去看2900的狀況時發現一直持續出現
"166May 22 01:30:25VigorPoE ==> Protocol:LCP(c021) EchoReq Identifier:0x83Magic Number: 0x0 00 00 ##
166May 22 01:30:25VigorPoE <== Protocol:LCP(c021) EchoRep Identifier:0x83Magic Number: 0x4f6f c0 50 ##"
的情況！
不知這時什麼意思呀？@@

被攻擊？@@

[hao0708]

直接問 該代理商明誠科技 會比較快解決

[dou0228]

這是因為 PPPoE 會傳送 PoE Echo, 伺服器回應 PoE reply
所以是正常的 Log, 並非攻擊

[cheerx]

謝謝dou兄幫忙,原則上如果要看是不是被攻擊,請看firewall log就好,其他的log是提供您除錯或是了解vpn狀況用的.

[stuart]

謝謝～
只是這台電腦仍是被觀切的一台電腦！
firewall log開至今不到一個小時仍有攻擊...= =

129May 22 02:50:49VigorDoS udp_flood Block(10s) 80.103.171.69,10005
129May 22 04:17:01VigorDoS trace_rt Block 211.135.18.236
129May 22 11:28:04VigorDoS trace_rt Block 220.108.115.167
是我苦命還是bt抓太兇？@@

[dou0228]

被攻擊算是正常, 只要有欄下來就好..
udp flood 可能是 BT 速度 超過 DoS 的設定, 所以被 Block
trace_rt 是 traceroute block 的關係

[cheerx]

UDP flood有可能是P2P造成的,因為他同時的UDP封包量過大,有可能會判斷成DOS攻擊.另外兩個就有可能是真正的攻擊了.不管是emule的kad或是bt的dht都有可能造成這個現象,就是超大的udp封包量.

網路上本來就不是很平靜,不然真的也不需要防火牆這種設備了.

[stuart]

謝謝～其實仍會擔心！
畢竟這台電腦從我在當兵至今一直被檢查出有木馬再不被攻擊！
所以後來才心一橫買了2900..就是希望擋的效果比較好～

現在又有新的訊息～
129May 22 17:13:34VigorDoS fin_wo_ack Block 222.92.178.53,21133
這是什麼意思呢？@@

[cheerx]

這是FIN攻擊,一段時間內送來的FIN已經超過正常的平均太多.基本上機器上有看到的都是有攔下來的,不用擔心.重要的是你內部SERVER有沒有開PORT,沒有的話只要補補瀏覽器的PATCH還有裝一套好一點的防毒防木馬軟體,可達到基本的安全性.如果想要完全了解您可以先閱讀一下TCP IP協定相關文件或是書籍,這樣跟您解釋您會比較清楚.

如果有開PORT的話,注意要常常補OS和架站軟體的漏洞.如果市WIN的SERVER平台記得把IIS目錄內的一些SAMPLE目錄都砍了.