自動目錄
恐怖的DDOS攻擊--清水國中
2013-01-21 這天是風和日麗的星期一早上,一大早中華電信來電說清水國中目前連不出去,似乎是斷線了,我以為只是單純的「斷線」,沒想到是恐怖的DDOS阻斷服務攻擊。
第一次處理這種狀況,從早上一直忙到下午。
這次的攻擊特徵是偽造ip的tcp SYN FLOODING 攻擊加上偽造ip的UDP FLOODING 攻擊,流量異常的大。
從下方的Weekly Graph中可以看到星期日凌晨到星一下午下班為止,流量都非常高,藍色的部分都高達180mb~300mb的流量
一開始的處理方式在中心的交換器上是把攻擊來源ip阻擋,後來發現不濟事,雖然流量有稍微掉下來,但沒多久又爬上去,原來攻擊來源是偽造的,無法防止UDP的攻擊。
查看ACL
TANET-TCC-R6K-A#sh access-lists | include 163.17.49.x
11446 deny udp any host 163.17.49.x eq domain
設定ACL
TANET-TCC-R6K-A#conf t
TANET-TCC-R6K-A(config)#ip access-list extended BLOCK_OUTSIDE
新增ACL 11446
TANET-TCC-R6K-A(config-ext-nacl)#11446 deny tcp any host 163.17.49.x eq www
刪除ACL 11446
TANET-TCC-R6K-A(config-ext-nacl)#no 11446
雖然這樣阻擋,但是攻擊的流量還是不斷的灌入。
和教育部電算中心討論研究解決方法,試了很多方法,最後的處理方式就是乾脆把目的ip給封了。
因為攻擊是在國外,阻擋要從上層動手。
░░░░░░░░░░░░░░░░░░ 過了二天的星期三 ░░░░░░░░░░░░░░░░░░░░░
上次的封鎖,使得該校上網出國發生問題,於是解除攻擊封鎖試試,一開始還正常。
2013-01-23 風和日麗的中午過後,清中又被人家k了,這次k得更用力,看下圖,灌入的均流量達到300mb,有了星期一的經驗,直接在教育部把他擋了,
雖然有星期一的經驗,還是反覆測試,也忙了三個多小時。
台中區網在下班前又來電說他們不敢解,因為雖然教育部有封鎖,但是攻擊的封包竟然從電信業者那衝進來。
2013-01-24 今天又來攻擊了,看來有兩波?,第一波在半夜,打了也不痛,至於白天的攻擊,一直到11點才被鎖住。
事隔一週,才試著解除所有的封鎖。
這裡有趣的是,明明清中的頻寬是100mb,但是在圖表中竟可以達到3倍,此點X電的管理員解釋,因為他們的設備是store and forward,所以有可能超到上限?這樣算是賺到嗎?
結論
DDOS的攻擊很恐怖,幾乎擋不住
