請問這樣算是被攻擊嗎!

ㄚ達

從上星期開始，我的網頁伺服器一天發生好幾次，
上傳被用光，我的網路是伺服器跟家用電腦共用的，
我把伺服器關機，一整天就沒有發生上傳被用光，
我的IP分享器有阻擋Dos的功能，但是沒有阻擋DDos的功能，
請問這是遇到DDos攻擊嗎!謝謝

晴兒

先看看log有那個連入，再把那個IP用router給擋掉。
主要還是要看log來決定後續處理動作。

ㄚ達

晴兒 發表於 2013-3-13 07:07 AM static/image/common/back.gif
先看看log有那個連入，再把那個IP用router給擋掉。
主要還是要看log來決定後續處理動作。 ...

謝謝回覆!
我有查看log，只有記錄什麼時間發生的，
沒有紀錄哪個IP，我應該要換台router

conbawa

指令NETSTAT -A 看看?
再不然就裝個wireshark抓一下封包

wish

伺服器本來就是要上傳的需求，所以上傳較耗頻寬是正常的，也要看你的伺服器是什麼用途，若是像FTP服務，那就要有一些限速，否則上傳頻寬就很容易被吃掉了。

ㄚ達

wish 發表於 2013-3-13 10:13 AM static/image/common/back.gif
伺服器本來就是要上傳的需求，所以上傳較耗頻寬是正常的，也要看你的伺服器是什麼用途，若是像FTP服務，那 ...

我網站常常一天連一個人都沒有，我是google分析看的，
應該是被攻擊了，也沒有跟別人說我的網站，
目前裝上
http://www.bingdun.com/
對岸的冰盾防火牆，觀察幾天看看

conbawa

沒看到你是用網頁伺服器  n_029|

有個方法或許可以一試,拿一台電腦設定取代WIN2003對外80 PORT
然後執行HFS,如果真的有人在攻擊,你應該就會看到一堆連入記錄
不過看到也沒啥用,應該都是境外IP在攻擊

晴兒

其實要看哪個機器NAT進來的。
再去設定router阻擋條件，只是相對的，router必須要有那些設定選項。

MARCO

會不會是中毒了?

macliu

哈！！！都被樓上的各位回答完了
答案就在其中之一

我其實猜中毒機率比較高ㄟ
因為有上傳需求，自然就會有下載的必要
command 是下載流量（進來的）
server收到command後就會提供資料，是上傳流量（出去的）

假如都只有出去卻沒有進來，那麼...就會很詭異

就算是http好了，TCP 3WAY HAND 也一定會有兩次進來的"小流量"
每個fram給妳算64k，你看看會有多少次回應

fakedeireas

針對2#所提 可到 C:\windows\system32\LogFiles 底下看WEB的Log檔

1.看連入IP是不是固定都導引至那一asp或aspx程式頁面 確定該程式是否有漏洞造成被攻擊
2.確定 DMZ 未開 如果開了 會造成門戶大開 所有埠都可能受攻擊 只要開有用到的埠號即可 如http:80埠 ftp:21埠(可自訂)
3.對所有連入IP作反向查詢 通常可查出地區是台灣、大陸或美國 再加以封鎖
4.如果網站少人進去而計數器沒增加 很有可能是主機漏洞未修正 才會造成大量回應
5.確定沒被 搜尋機器人 叮上 因為這也會造成無進有出的狀況 針對網站底下放置 robots.txt 宣告可搜不可搜設定

另外 Server 本身中毒機率比較低 除非你沒裝防毒 而且大都是漏洞未修正 攻擊才會成功
只要有修正 攻擊就不成立~

題外話 不建議使用對面的軟體 我架的2003也只有裝Norton企業版+IP分享器(防火牆)
受過攻擊 但經過設定及修正就未再有發生異常 除了那些想測我FTP帳密的 被設定規則擋掉了(錯1次即封鎖IP)

ㄚ達

裝上防火牆到現在還沒有上傳用光的情形，
防火牆紀錄有被攻擊的紀錄，應該是被攻擊，
我還沒有裝防毒軟體，我可能用江民防毒，
可以裝在伺服器系統又便宜。
我在露天看到的RouterOS 路由器
http://goods.ruten.com.tw/item/show?21106266423159
有人使用過嗎!

oldhan

用 win 架站 + 對岸防火牆 這組合蠻 "致命" 的
linux base 的 NAS 比較省電也安全,
如果流量不大的話用分享器來架也夠用了.