如何判断有外网流量攻击
网吧是否遭受外网流量攻击,主要看首页的网口流量。
正常的网络,WAN口收到的流量,需要转发给内网网卡,由内网网卡发回给客户机的。
通常情况下,WAN口收到的流量,要与LAN口发送的流量,大小相当(当然不是绝对的相等,多数情况WAN口收到的,会稍微多一点点)
就算是多线路,多个WAN口加起来的流量,也应跟LAN口的发送流量差不多大。
如下图所示:eth1的 红色方框 跟 eth0的红色方框,以及eth1的蓝色方框跟eth0的蓝色方框 大小差不多
当外网遭受攻击的时候,情况类似如下:
WAN口持续的收到很大的流量,但这些流量并没有转发到LAN口去。可判定为攻击
-----------------------------------------------------------------------------------------------------------------------------------------
如果没法及时实时流量,可以通过查看流量日志,观察LAN口和WAN口的历史流量来判断,[日志流量]→[日志记录]→[接口流量日志]
选中WAN口,比如示例中的eth1,在蓝色流量图,用鼠标拉动时间范围,会显示出流量明细图。
比如19:39分的时候网络很卡,鼠标移动到曲线图,可看到当时的流量。手工记录下来。
选中LAN口,比如示例中的eth0,在蓝色流量图,用鼠标拉动时间范围,会显示出流量明细图。
同样方法查看19:39分的时候的LAN口流量。手工记录下来。
通过对比 19:39 的WAN口LAN口历史流量发现,WAN口收到了很大流量,但流量并没有转发到内网口去,这很大程度,就是外网攻击了。
---------------------------------------------------------------------------------------------------------------------------------------
疑问1:外网流量攻击路由能防么?
答:目前,外网流量攻击,均为UDP洪水攻击。攻击者不管路由收不收这些攻击数据。目的也不是为了攻击路由。而是堵塞运营商的带宽。
打比方,电信给你开50M的带宽,表示电信到网吧的这条路上,宽度50M。攻击者发包过来,是已经堵塞你电信到你网吧的这条“道路”
路由收不收这些数据,这条“路”永远是堵塞的,除非停止攻击。或者换IP。
疑问2:能知道是谁来攻击我?
答复:在攻击的时候,抓包。[设备维护]→[外网抓包],点击开始抓包。
如下如所示,比如网吧的IP是 59.40.64.98(目的IP),目的IP就是你网吧IP。源地址,就是攻击者的IP
通常,攻击者的攻击包的特点是,UDP包攻击,并且包长都是一直固定的。
比如下图,举例网吧之间恶意竞争,网吧A (168.192.103.252) 攻击 网吧B(59.40.64.98)。这种情况一抓一个准,报警处理
但现实中,现在流量攻击,都是雇佣黑客,操纵全球中毒的电脑(俗称肉鸡)同时给你网吧发包攻击。源头根本就无从抓起。
其次,抓包的时候,抓包其实也包含了内网的合法的数据包。比如有人在下载,抓包看到的,也包含了合法用户的下载数据,建议遭受攻击,需要抓包分析时
先拔掉内网交换机,只插一个电脑到路由来抓包分析,得到的数据,才“干净”。
新版本取消掉了抓包功能,用户可自己使用抓包工具来抓包分析。
--------------------------------------------------------------------------------------------------------------------------------
结论:
遭受外网攻击,最切实可行的办法,是使用拨号,宽带。因为宽带每次拨号的IP地址,都变化着。用多个宽带,可以把游戏,网页,分到每个拨号去
即使遭受攻击了。重拨宽带换了IP,问题解决。
评论