恐怖的DDOS攻擊--清水國中

2013-01-21 這天是風和日麗的星期一早上，一大早中華電信來電說清水國中目前連不出去，似乎是斷線了，我以為只是單純的「斷線」，沒想到是恐怖的DDOS阻斷服務攻擊。

第一次處理這種狀況，從早上一直忙到下午。

這次的攻擊特徵是偽造ip的tcp SYN FLOODING 攻擊加上偽造ip的UDP FLOODING 攻擊，流量異常的大。

從下方的Weekly Graph中可以看到星期日凌晨到星一下午下班為止，流量都非常高，藍色的部分都高達180mb~300mb的流量

一開始的處理方式在中心的交換器上是把攻擊來源ip阻擋，後來發現不濟事，雖然流量有稍微掉下來，但沒多久又爬上去，原來攻擊來源是偽造的，無法防止UDP的攻擊。

雖然這樣阻擋，但是攻擊的流量還是不斷的灌入。

和教育部電算中心討論研究解決方法，試了很多方法，最後的處理方式就是乾脆把目的ip給封了。

因為攻擊是在國外，阻擋要從上層動手。

░░░░░░░░░░░░░░░░░░  過了二天的星期三 ░░░░░░░░░░░░░░░░░░░░░

上次的封鎖，使得該校上網出國發生問題，於是解除攻擊封鎖試試，一開始還正常。

2013-01-23 風和日麗的中午過後，清中又被人家k了，這次k得更用力，看下圖，灌入的均流量達到300mb，有了星期一的經驗，直接在教育部把他擋了，

雖然有星期一的經驗，還是反覆測試，也忙了三個多小時。

台中區網在下班前又來電說他們不敢解，因為雖然教育部有封鎖，但是攻擊的封包竟然從電信業者那衝進來。

2013-01-24 今天又來攻擊了，看來有兩波？，第一波在半夜，打了也不痛，至於白天的攻擊，一直到11點才被鎖住。

事隔一週，才試著解除所有的封鎖。

這裡有趣的是，明明清中的頻寬是100mb，但是在圖表中竟可以達到3倍，此點X電的管理員解釋，因為他們的設備是store and forward，所以有可能超到上限？這樣算是賺到嗎？

結論

DDOS的攻擊很恐怖，幾乎擋不住