如何判斷有外網(wǎng)流量攻擊

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

網(wǎng)吧是否遭受外網(wǎng)流量攻擊，主要看首頁(yè)的網(wǎng)口流量。文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

正常的網(wǎng)絡(luò)，WAN口收到的流量，需要轉(zhuǎn)發(fā)給內(nèi)網(wǎng)網(wǎng)卡，由內(nèi)網(wǎng)網(wǎng)卡發(fā)回給客戶機(jī)的。文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

通常情況下，WAN口收到的流量，要與LAN口發(fā)送的流量，大小相當(dāng)（當(dāng)然不是絕對(duì)的相等，多數(shù)情況WAN口收到的，會(huì)稍微多一點(diǎn)點(diǎn)）文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

就算是多線路，多個(gè)WAN口加起來(lái)的流量，也應(yīng)跟LAN口的發(fā)送流量差不多大。文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

如下圖所示：eth1的 紅色方框 跟 eth0的紅色方框，以及eth1的藍(lán)色方框跟eth0的藍(lán)色方框 大小差不多 文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

當(dāng)外網(wǎng)遭受攻擊的時(shí)候，情況類(lèi)似如下：文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

WAN口持續(xù)的收到很大的流量，但這些流量并沒(méi)有轉(zhuǎn)發(fā)到LAN口去?？膳卸楣?span id="hpp3dpzx7nj" class="beupset13">文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

-----------------------------------------------------------------------------------------------------------------------------------------文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

如果沒(méi)法及時(shí)實(shí)時(shí)流量，可以通過(guò)查看流量日志，觀察LAN口和WAN口的歷史流量來(lái)判斷，[日志流量]→[日志記錄](méi)→[接口流量日志]文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

選中WAN口，比如示例中的eth1，在藍(lán)色流量圖，用鼠標(biāo)拉動(dòng)時(shí)間范圍，會(huì)顯示出流量明細(xì)圖。文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

比如19:39分的時(shí)候網(wǎng)絡(luò)很卡，鼠標(biāo)移動(dòng)到曲線圖，可看到當(dāng)時(shí)的流量。手工記錄下來(lái)。文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

文章源自網(wǎng)吧系統(tǒng)維護(hù)-http://www.strong-digital.cn/1073.html

選中LAN口，比如示例中的eth0，在藍(lán)色流量圖，用鼠標(biāo)拉動(dòng)時(shí)間范圍，會(huì)顯示出流量明細(xì)圖。

同樣方法查看19:39分的時(shí)候的LAN口流量。手工記錄下來(lái)。

通過(guò)對(duì)比 19:39 的WAN口LAN口歷史流量發(fā)現(xiàn)，WAN口收到了很大流量，但流量并沒(méi)有轉(zhuǎn)發(fā)到內(nèi)網(wǎng)口去，這很大程度，就是外網(wǎng)攻擊了。

---------------------------------------------------------------------------------------------------------------------------------------

疑問(wèn)1：外網(wǎng)流量攻擊路由能防么？

答：目前，外網(wǎng)流量攻擊，均為UDP洪水攻擊。攻擊者不管路由收不收這些攻擊數(shù)據(jù)。目的也不是為了攻擊路由。而是堵塞運(yùn)營(yíng)商的帶寬。

       打比方，電信給你開(kāi)50M的帶寬，表示電信到網(wǎng)吧的這條路上，寬度50M。攻擊者發(fā)包過(guò)來(lái)，是已經(jīng)堵塞你電信到你網(wǎng)吧的這條“道路”

       路由收不收這些數(shù)據(jù)，這條“路”永遠(yuǎn)是堵塞的，除非停止攻擊。或者換IP。

疑問(wèn)2：能知道是誰(shuí)來(lái)攻擊我？

答復(fù)：在攻擊的時(shí)候，抓包。[設(shè)備維護(hù)]→[外網(wǎng)抓包]，點(diǎn)擊開(kāi)始抓包。

          如下如所示，比如網(wǎng)吧的IP是 59.40.64.98（目的IP），目的IP就是你網(wǎng)吧IP。源地址，就是攻擊者的IP

          通常，攻擊者的攻擊包的特點(diǎn)是，UDP包攻擊，并且包長(zhǎng)都是一直固定的。

 比如下圖，舉例網(wǎng)吧之間惡意競(jìng)爭(zhēng)，網(wǎng)吧A (168.192.103.252) 攻擊 網(wǎng)吧B（59.40.64.98）。這種情況一抓一個(gè)準(zhǔn)，報(bào)警處理

但現(xiàn)實(shí)中，現(xiàn)在流量攻擊，都是雇傭黑客，操縱全球中毒的電腦（俗稱肉雞）同時(shí)給你網(wǎng)吧發(fā)包攻擊。源頭根本就無(wú)從抓起。

其次，抓包的時(shí)候，抓包其實(shí)也包含了內(nèi)網(wǎng)的合法的數(shù)據(jù)包。比如有人在下載，抓包看到的，也包含了合法用戶的下載數(shù)據(jù)，建議遭受攻擊，需要抓包分析時(shí)

先拔掉內(nèi)網(wǎng)交換機(jī)，只插一個(gè)電腦到路由來(lái)抓包分析，得到的數(shù)據(jù)，才“干凈”。

新版本取消掉了抓包功能，用戶可自己使用抓包工具來(lái)抓包分析。

--------------------------------------------------------------------------------------------------------------------------------

結(jié)論：

遭受外網(wǎng)攻擊，最切實(shí)可行的辦法，是使用撥號(hào)，寬帶。因?yàn)閷拵看螕芴?hào)的IP地址，都變化著。用多個(gè)寬帶，可以把游戲，網(wǎng)頁(yè)，分到每個(gè)撥號(hào)去

即使遭受攻擊了。重?fù)軐拵Q了IP，問(wèn)題解決。