作者lianpig5566 (家庭教师杀手里包恩)
看板SYSOP
标题Re: [公告] 批踢踢近日遭受网路阻断攻击
时间Thu Jul 28 22:29:35 2016
※ 引述《fashionjack (神奇杰克)》之铭言:
: 图中之MRTG 报表并未完整揭露资讯,
: 这是PTT内部自行建立的MRTG,还是ISP提供的MRTG?
: 如果是後者,那麽ISP的incoming 其实是PTT 的 outgoing,
: 砸垃圾封包的机器应该在PTT内部,赶紧查内部电脑。
: 如果是前者,则攻击来自外部, 可 vi /var/log/messages.1 看系统log,
: log中可以看出攻击者(ex:匿名者...)是谁,及攻击server的那一项功能,
: 这些都弄清楚後才能拟定阻拦之道,阻断式攻击来自世界各地,上游很难帮上忙,
: 自行在防火墙(iptable)中加参数就行了。
: 由系统的log 讯息去 google 应该会有很多答案,因为很多都是过去的旧攻击换个目标。
: 针对这类攻击网上早有因应之道,将防火墙参数copy下来,再套上ptt主机就搞定了。
: 或是将系统log po上来家一起想办法。
: 回下一篇:
: →Wens :都打到你家门口把你家前面的路塞满了,你在门口设闸门是没有用的。
: 攻大到门口照样能挡掉,当年广大兴案时菲律宾(匿名者)狂攻台湾的DNS,当时我们也被扫
: 到,我就是在门口挡掉它。它们也会知道攻击无效,而且上游完全不理会。
广大兴那次 记得台湾几乎 没受到攻击吧?
反而是菲律宾政府网站被打下好几个
之後的处理方式也只是请CDN业者多个验证码而已...
这方法是直接绕路了 要挂也是挂掉CDN
: →Wens :能做的就是分析攻击的规则,然後请上游帮你挡,才会有喘息的空间。
: PTT是最终点,来源都是不定点,请问上游要挡那里? 你有办法造册给ISP吗?
: rule当然是设在最终点。
分析流量之後要挡 可以直接请计中帮忙多个防火墙rule
再上层就是TANet了 要挡的话很好处理吧...
不如直接先请计中或TANet BAN掉国外IP 由上层先挡住
: ※ 引述《wens (文思)》之铭言:
: : 批踢踢的网路近日来好几次遭受到网路阻断式攻击。
: : https://mrtg.ptt.cc/20160727.day.png
: : https://mrtg.ptt.cc/20160727.week.png
: : 攻击本身并不会造成主机或资料任何毁损,
: : 但攻击期间由於频宽被吃满,会造成使用上的不顺畅或断线,
: : 影响范围包含批踢踢、批踢踢兔、批踢踢网页版。
: : 目前已通知上游请求协助。
--
1F:嘘 XYZdragon:这教官的墓上的草都长得跟你妹一样高了03/21 19:31
2F:推 g2773251: 教官 上 你03/21 19:56
3F:推 chiga: 教官 长 高了03/21 19:57
4F:推 gsxgsxtt: 教官 草 你妹03/21 19:59
5F:推 g2773251: 教官 长得跟你妹一样03/21 20:01
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.127.233.85
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/SYSOP/M.1469716179.A.DE3.html
6F:→ ECZEMA: ban 掉国外 IP? 海外台湾人觉得崩溃~~~~~~ 4.35.233.219 07/29 01:12
7F:推 xisland: 吱吱崩溃 111.71.216.1 07/29 03:00
8F:→ fashionjack: ban掉IP表示ptt被打挂了,防火强下 122.116.198.5 07/29 08:12
9F:→ fashionjack: rule 才是办法。 122.116.198.5 07/29 08:13
10F:→ fashionjack: 广大兴时我们攻他们网页,他攻我们 122.116.198.5 07/29 08:14
11F:→ fashionjack: DNS 122.116.198.5 07/29 08:14
12F:→ fashionjack: 被攻击时的log档抓图: 122.116.198.5 07/29 08:22
14F:→ wens: udp flooding 在local端用防火墙挡, 有用? 140.112.30.76 07/29 10:00
15F:推 birdy590: 有用 但是你的水管和防火墙得大於攻击量203.204.205.201 07/29 10:20
16F:→ birdy590: 这是针对比较凶恶的 botnet, 纯粹的放大203.204.205.201 07/29 10:21
17F:→ birdy590: 攻击, 上游肯配合的话倒是有解203.204.205.201 07/29 10:21
18F:→ birdy590: 有可能量大到大哥扛不下来 就得找大哥大203.204.205.201 07/29 10:24
19F:→ wens: 这应该是两个层次, 本机防火墙是避免服务被 140.112.30.76 07/29 10:31
20F:→ wens: 占满/打挂, 但纯流量型的攻击真的只能靠上游 140.112.30.76 07/29 10:31
21F:→ wens: 而这次就是单纯流量型的 reflection... 140.112.30.76 07/29 10:32
22F:→ tinlans: botnet 除非自己养,去跟骇客租起来太花 220.132.55.117 07/31 16:06
23F:→ alans: mrtg倒真的不建议放出来 XDD 114.45.118.220 07/31 16:06
24F:→ tinlans: 钱了,打 PTT 不符合经济效益,打投注站 220.132.55.117 07/31 16:06
25F:→ tinlans: 或签赌网站之类的,比较有价值。 220.132.55.117 07/31 16:07
26F:推 birdy590: 有听过说国外在卖这种服务 贵不贵看需求 111.184.27.83 07/31 16:15
27F:→ birdy590: 打 PTT 显然不会是为了勒索, 这种最麻烦 111.184.27.83 07/31 16:22
28F:→ wens: 打 PTT 也不能勒索什麽吧? 140.112.30.76 08/01 14:23
29F:→ birdy590: 那更糟 代表"有人为了特定目的愿意负担203.204.205.201 08/01 15:16
30F:→ birdy590: 攻击的成本" 可以观察看看 如果挡掉以後203.204.205.201 08/01 15:17
31F:→ birdy590: 攻击是停止还是升级203.204.205.201 08/01 15:17
32F:→ tinlans: 因为没钱可拿,免钱的 UDP flooding 还是 220.132.55.117 08/01 17:53
33F:→ tinlans: 主流,不然真的只能怀疑是黑暗势力了 XD 220.132.55.117 08/01 17:54
34F:→ tinlans: reflection 一堆阿猫阿狗拿到玩具程式, 220.132.55.117 08/01 17:55
35F:→ tinlans: 花点时间扫一下可用机器,都能打出几Gbps 220.132.55.117 08/01 17:55
36F:→ tinlans: 的流量。 220.132.55.117 08/01 17:55
37F:推 eiajaa: 哪可以放虫咬回去吗 114.35.78.161 08/14 12:22