天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

查找内网DDOS攻击源的方法

2010-9-8未知佚名

使用WINBOX进入ROS路由设置,可以通过SYSTEM-RESOURCES查看当前路由器的CPU资源状况,正常情况下应保持在0%-10%之间。一旦内网中出现CPU资源占用达50%以上说明内网一定存在攻击源或病毒,
      此时应立即查看IP-FIREWALL-CONNECTIONS中的连接情况,可以通过二种排序方法进行排查,一是排序SRC.addrees查看是否存在非法IP,记录下其对应的DST.addrees,二是查看TCP STATE,查看是否存在大量的SYN SENT(半连接),二相映照,如果大量非法IP都对应的是SYN SENT就可以确定是存在内网攻击。
   此时进入TOOL-PACKET SNIFFER-GENERAL界面INTERFACE选择内网,TOOL-PACKET SNIFFER-FILTER,PROTOCOL选择IP ONLY ,ADDRESS1中选择刚才查到的DST.ADDRESS,选择APPLY,再选择START开始抓包,约30秒即可选STOP停止。
从抓包列表中双击非法IP,弹出的对话框中将显示SRC.MAC ADDRESS,再打开二个非法包的对话框看其SRC.MAC ADDRESS是否是一样的,如果一样可以确定该MAC地址一定是攻击源。MAC发现后,就好办了,
   进入IP-ARP可以查到该MAC地址对应的真实IP是多少进而决定是哪一台机。

本文来源:未知 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行