[求助]向朋友们求助路由器遭黑客攻击问题!

redwolf

昨天我们的骨干路由器被攻击了,POS口没有什么问题,可是两个百兆口却流量特别大,一个OUTPUT235M,一个OUTPUT300M,这两个端口是连接同一个设备CISCO7513,对于7513对应的两个百兆口INPUT是100M,从内部没有看到有明显流量大的端口,怀疑攻击互联端口或者目的地址不固定, 在GSR12016上面做了端口的IP verify unicast ,发现过来的地址是随即的,目的地址大多是设备互联地址,或者是网络设计中的广播地址,但是他们的UDP端口号都不存在,虽然端口将抛弃这类数据包,但是这种攻击太多,直接占用带宽,影响7513下面的用户上网!
信息如下:
Jan 24 23:03:10: IP: s=81.202.16.186 (POS11/2), d=61.182.175.226, len 78, dispose udp.noport
Jan 24 23:03:10: IP: s=81.202.16.186 (POS1/0), d=61.182.175.227, len 78, dispose udp.noport
Jan 24 23:03:12: IP: s=24.88.91.143 (POS11/6), d=202.99.179.96, len 78, dispose udp.noport
Jan 24 23:03:12: IP: s=24.88.91.143 (POS11/6), d=202.99.179.97, len 78, dispose udp.noport
Jan 24 23:03:13: IP: s=24.88.91.143 (POS11/3), d=202.99.179.103, len 78, dispose udp.noport
Jan 24 23:03:23: IP: s=130.79.96.218 (POS11/6), d=61.182.175.224, len 78, dispose udp.noport
Jan 24 23:03:24: IP: s=130.79.96.218 (POS11/6), d=61.182.175.226, len 78, dispose udp.noport
Jan 24 23:03:24: IP: s=130.79.96.218 (POS11/6), d=61.182.175.227, len 78, dispose udp.noport

跟厂家北京思科联系,目前没有工程师知道怎么处理,自己做了几种方案的ACL也无作用!问题持续了一天了!昨天弄到了1点以后,冷落了不少这里得朋友,现在说声对不起了!
谁遇到过这种情况?
或者谁知道相应的解决办法!望告之!

yuhong

redwolf兄，是河北电信的吗？这么多设备（羡慕：）

安全的问题我本人不熟，不过我可以打听打听！

bluff

ddos攻击

neteagle

sqlserver的漏洞被利用，向udp 1434发的keep－live数据包

haozi0211

今天我和同事也刚弄好！晕死！
ACL 管点用，不行拔网线！

eeevan

活活~~~拔网线真得很管用的~~~

hotbox

我也遇到过这种问题。
没有太好的办法解决flooding攻击。即使router配置再好，加了防火也没有用。原理上是无法防止的。

除非.............唉！你也做不到。

redwolf

昨天这个问题解决了，今天告诉大家一下，检测端口发现是UDP 1433，1434端口（今天才知道是蠕虫王病毒），对于每个入口进行ACL过滤，还有在每个端口上面做了IP VERIFY UNICAST，另外做了NO IP UNREACHABLE，现在好了！

dainh

昨天我们的n多客户都报问题
网络部忙的不行了
最可怜的一同志
聚餐的时候才听完领导讲话
刚打算吃
就被客户叫去了

w8u8

昨天很多网站都上不了，是不是就是这个原因？