- 论坛徽章:
- 0
|
昨天我们的骨干路由器被攻击了,POS口没有什么问题,可是两个百兆口却流量特别大,一个OUTPUT235M,一个OUTPUT300M,这两个端口是连接同一个设备CISCO7513,对于7513对应的两个百兆口INPUT是100M,从内部没有看到有明显流量大的端口,怀疑攻击互联端口或者目的地址不固定, 在GSR12016上面做了端口的IP verify unicast ,发现过来的地址是随即的,目的地址大多是设备互联地址,或者是网络设计中的广播地址,但是他们的UDP端口号都不存在,虽然端口将抛弃这类数据包,但是这种攻击太多,直接占用带宽,影响7513下面的用户上网!
信息如下:
Jan 24 23:03:10: IP: s=81.202.16.186 (POS11/2), d=61.182.175.226, len 78, dispose udp.noport
Jan 24 23:03:10: IP: s=81.202.16.186 (POS1/0), d=61.182.175.227, len 78, dispose udp.noport
Jan 24 23:03:12: IP: s=24.88.91.143 (POS11/6), d=202.99.179.96, len 78, dispose udp.noport
Jan 24 23:03:12: IP: s=24.88.91.143 (POS11/6), d=202.99.179.97, len 78, dispose udp.noport
Jan 24 23:03:13: IP: s=24.88.91.143 (POS11/3), d=202.99.179.103, len 78, dispose udp.noport
Jan 24 23:03:23: IP: s=130.79.96.218 (POS11/6), d=61.182.175.224, len 78, dispose udp.noport
Jan 24 23:03:24: IP: s=130.79.96.218 (POS11/6), d=61.182.175.226, len 78, dispose udp.noport
Jan 24 23:03:24: IP: s=130.79.96.218 (POS11/6), d=61.182.175.227, len 78, dispose udp.noport
跟厂家北京思科联系,目前没有工程师知道怎么处理,自己做了几种方案的ACL也无作用!问题持续了一天了!昨天弄到了1点以后,冷落了不少这里得朋友,现在说声对不起了!
谁遇到过这种情况?
或者谁知道相应的解决办法!望告之! |
|