作者wens (文思)
看板SYSOP
標題Re: [公告] 批踢踢近日遭受網路阻斷攻擊
時間Thu Jul 28 11:32:38 2016
※ 引述《fashionjack (神奇傑克)》之銘言:
: 圖中之MRTG 報表並未完整揭露資訊,
: 這是PTT內部自行建立的MRTG,還是ISP提供的MRTG?
: 如果是後者,那麼ISP的incoming 其實是PTT 的 outgoing,
: 砸垃圾封包的機器應該在PTT內部,趕緊查內部電腦。
MRTG是批踢踢的 switch 的 uplink port,
所以 incoming 確實是從上游打進來的。
另外
https://mrtg.ptt.cc/network.html 這邊的是主機上測量的,
incoming 就是進入主機的。(昨天有鄉民在八卦版推文貼的圖來自這邊)
: 如果是前者,則攻擊來自外部, 可 vi /var/log/messages.1 看系統log,
: log中可以看出攻擊者(ex:匿名者...)是誰,及攻擊server的那一項功能,
: 這些都弄清楚後才能擬定阻攔之道,阻斷式攻擊來自世界各地,上游很難幫上忙,
: 自行在防火牆(iptable)中加參數就行了。
都打到你家門口把你家前面的路塞滿了,你在門口設閘門是沒有用的。
能做的就是分析攻擊的規則,然後請上游幫你擋,才會有喘息的空間。
另外 DDOS 不見得需要打你有開的服務,只要狂送封包把你的水管塞滿就夠了。
用 tcpdump 之類的去抓封包來源會有用些。
: 由系統的log 訊息去 google 應該會有很多答案,因為很多都是過去的舊攻擊換個目標。
: 針對這類攻擊網上早有因應之道,將防火牆參數copy下來,再套上ptt主機就搞定了。
: 或是將系統log po上來家一起想辦法。
: ※ 引述《wens (文思)》之銘言:
: : 批踢踢的網路近日來好幾次遭受到網路阻斷式攻擊。
: : https://mrtg.ptt.cc/20160727.day.png
: : https://mrtg.ptt.cc/20160727.week.png
: : 攻擊本身並不會造成主機或資料任何毀損,
: : 但攻擊期間由於頻寬被吃滿,會造成使用上的不順暢或斷線,
: : 影響範圍包含批踢踢、批踢踢兔、批踢踢網頁版。
: : 目前已通知上游請求協助。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.112.30.76
※ 文章網址: https://webptt.com/m.aspx?n=bbs/SYSOP/M.1469676760.A.9FE.html
1F:推 birdy590: 提醒一下, 其它資訊可以公開, mrtg 不宜203.204.205.201 07/28 13:30
2F:→ birdy590: 現在攻擊者也知道你只有 1G 了, 然後呢?203.204.205.201 07/28 13:30
3F:推 hateOnas: 改 1T ?118.166.237.162 07/28 14:09
4F:→ m0806449: 完全看不懂 還是不要亂表示意見比較好190.119.255.182 07/28 14:21
5F:→ wens: 沒有然後啊? 140.112.30.76 07/28 15:39
6F:推 birdy590: 轉換一下角色, 把自己當成需要打PTT的人203.204.205.201 07/28 16:00
7F:→ birdy590: 應該不難想到揭露這些資訊的結果203.204.205.201 07/28 16:00
8F:→ wens: MRTG公開很多年了,何況台大計中也是公開的 140.112.30.76 07/28 16:40
9F:→ birdy590: 網站公開跟當公告內容意義差很多啊 @@203.204.205.201 07/28 16:43
10F:→ wahaha99: MRTG不管公開不公開, 打到會LAG斷線也 1.171.165.93 07/28 17:57
11F:→ wahaha99: 知道效果達到沒有 1.171.165.93 07/28 17:57
12F:→ wahaha99: 我比較想問,可不可以公布那些殭屍的IP 1.171.165.93 07/28 17:58
13F:→ tinlans: 先請上游從骨幹封鎖 UDP,DDoS 大都 UDP 220.132.55.117 07/28 17:58
14F:→ wahaha99: 讓大眾看看都是些什麼單位的MIS在耍廢 1.171.165.93 07/28 17:58
15F:→ tinlans: 你拿 tcpdump 也看不到真實來源 220.132.55.117 07/28 17:58
16F:→ wahaha99: 連殭屍都看不到?這種不合法的包不能直接 1.171.165.93 07/28 17:59
17F:→ wahaha99: drop掉嗎... 1.171.165.93 07/28 17:59
18F:→ wahaha99: (我指ISP) 1.171.165.93 07/28 18:00
19F:→ birdy590: 打 PTT 恐怕不會是為了勒索, 同樣的成本203.204.205.201 07/28 18:02
20F:→ birdy590: 這些資訊有助於讓攻擊效果最大化203.204.205.201 07/28 18:02
21F:→ birdy590: 由 botnet 發動的攻擊不一定是 UDP 啊203.204.205.201 07/28 18:03
22F:→ birdy590: 上游比較容易的作法也只有在邊緣濾掉203.204.205.201 07/28 18:03
23F:→ tinlans: 現在不流行養 botnet 了,都 DNS 反射/ 220.132.55.117 07/28 18:05
24F:→ birdy590: 這年頭攻擊流量到 20G 以上的都不少見203.204.205.201 07/28 18:05
25F:→ tinlans: 放大攻擊等等,用個玩具程式掃,阿貓阿狗 220.132.55.117 07/28 18:05
26F:→ tinlans: 都打得出幾 Gbps 的流量 220.132.55.117 07/28 18:05
27F:→ birdy590: 一般業者根本不會有那個能力和設備去洗203.204.205.201 07/28 18:05
28F:→ birdy590: 常見的反射就 DNS/NTP, 但這個容易過濾203.204.205.201 07/28 18:06
29F:→ birdy590: 實務上遇到比較難纏的還是 botnet 搞的203.204.205.201 07/28 18:06
30F:→ tinlans: 先看是不是 UDP flooding 吧,這蠻容易 220.132.55.117 07/28 18:07
31F:→ tinlans: 確認,是的話先請上游處理掉 UDP 220.132.55.117 07/28 18:07
32F:→ tinlans: botnet 用 TCP 打來的就比較無解 220.132.55.117 07/28 18:08
33F:→ tinlans: 手邊幾台美國 Psychz 機房的機器常被打, 220.132.55.117 07/28 18:10
34F:→ tinlans: 在他們 Edge Layer ACLs 直接 discard 220.132.55.117 07/28 18:11
35F:→ tinlans: UDP 基本上都解了,botnet 這年頭少多了 220.132.55.117 07/28 18:11
36F:推 Juan00: 恭喜呀! 49.218.18.23 07/28 20:10
37F:→ wens: 就是請計中在edge掛 ACL 擋啊 140.112.30.76 07/29 00:52
38F:→ c98406023: DNS流量異常 111.253.32.150 07/29 17:57
39F:→ fashionjack: birdy590 觀念錯誤,1G是限流(QoS), 122.116.198.5 07/30 07:13
40F:→ fashionjack: 就算對方用1T,也只1G進得來,其他的 122.116.198.5 07/30 07:15
41F:→ fashionjack: 堆在ISP,這時候上游就有事作了。 122.116.198.5 07/30 07:16
42F:→ birdy590: 從 MRTG 看起來 1G 是實體好嗎 111.184.27.83 07/30 16:57
43F:→ birdy590: 我的工作就常常處理這個, 10G 以下無感 111.184.27.83 07/30 16:58
44F:→ birdy590: 常見的 reflection 通常早就封了 111.184.27.83 07/30 16:59
45F:→ birdy590: 可以思考一下, 萬一碰上不能簡單 ACL 的 111.184.27.83 07/30 17:01
46F:→ birdy590: 攻擊應該如何應對... 有人打就代表可能 111.184.27.83 07/30 17:02
47F:→ birdy590: 還會升級, 洗流量不是一般人玩的起的 111.184.27.83 07/30 17:02
48F:→ ShineShineJu: 所以fb到底是F兄對呢還是B兄是對~~ 36.230.110.65 07/31 10:14
49F:→ alans: b兄對+1 不然流量清洗是做什麼的 還收的貴 114.45.118.220 07/31 16:04