本来没什么的,但是亲身经历了的,就写下来给大家看看,不要见笑。
前一个星期,我在上网,突然发现公司德网速特别慢。我就登陆到路由器上看看。这是我们公司的其中一个网段中心路由器,是cisco 4600.它上连到160电报局。是两条2M的PCM的专线。我用 sho int sX 他出现的现象是下载的流量非常低,才300K多,但上联的数据每条都达到了4M多。我的上联是2M啊!根据经验,我觉得有问题,可能是遭到攻击了。但我又没有用防火墙,主要是带宽太窄,怕影响网速。我在它的网段下的一台SOLAORIS8的计算机上。用snoop 命令,来抓包。发现有大量的来自国外的网段的计算机,不停地向我发大量的广播包。由此我可以判断,我收到了国外黑客的DDOS攻击。
但它的计算机也接收我的回包,这样的话,它也受影响啊?由此判断,向我发包的计算机,不是它本身的计算机,一定别人的计算机,被它黑掉了,被他控制了计算机。他可能写了一个小程序,不停地向我发广播包。
这个攻击的原理是,由于互联网是基于TCP/IP Protocal的,他每发给我一个广播包到我的陆由器,我的路由器下的网段的每台计算机都要回给她一个应答包。也就是说我在这个路有器下有500台计算机,他发一个广播包,我就要回500个应答包。这就造成了我的陆由器下行量很小,但上行量非常大,最终造成网络瘫痪。
解决的办法是,我从solairs 8的计算机上,用snoop 命令,看到了发包的ipaddr或域名,我就陆由器上丢掉它。具体是这样做的。
我在config t 模式下:
ip route xxx.xxx.xxx.0 255.255.255.0.null 0(其中XXX.是他过来包的ip addre)
后来我一共禁掉了8个网段,终于好了。我发现用 access list 也可以禁掉,道理是一样的。但这样就会出现一个问题,有一些国外得网站不能访问了。要是它再换网段,在这样禁掉,那到最后,什么都不能访问了。
看来这不是解决的最终办法,我就开始看有关cisco ios 的书。终于找到了。问题出在我的陆由器IOS的版本太低了,是11。x。现在的版本12。0以上,就能实现屏蔽广播包这个功能!把陆由器的IOS升级到12。0以上,在每个上连的端口上写上一句话:no ip unreachables .就可以了。
事情到这就解决了,希望给大家一点帮助,给没有升级的路由器,马上升级吧!看来要多留意新的知识和技术啊。
FW:泛洪攻击,用扩展列表应该也可以解决问题啊
deny udp any any eq snmp log-input
deny icmp any any echo log-input