同时大量连接导致的DDOS攻击,导致收发器宕机,用户大面积超时掉线

前段时间一个客户改成电信网通自动路由后(当然和这个没有关系,但是客户一般没有分析能力,会多想),用户经常大面积掉线,用户才180多个,在线最多也才120多,十分苦恼,原先帮其维护的技术人员,只是远程诊断以后,来了一句,路由没有问题,就再也不理了。

大家都知道,WayOs路由器,是开机读取配置文件的,所以不存在损坏的说法,如果损坏,一般就是配置文件损失,导致配置丢失,或者系统文件损坏,导致无法开机。所以我对于这种动不动就说路由有问题的技术员,强制BS下。。。

下面我给大家分析一下我处理问题的思路:

1、首先掉线的时候有下面的日志,就是DDOS处有大量的攻击包,用户超时掉线

2、看到这个问题,就头大了,但是我们需要用事实说话,所以就抓包。。。

我在主交换机开启了镜像模式,抓主接口的数据,这样才能保证抓到所有用户的数据,这样才方便分析

3、等了大概有3个多小时了,在我准备放弃的时候,突然用户又异常掉线了。。。此时抓包软件也卡死了。。。。

我知道此时大量的数据包攻击导致的电脑无法响应。。。所以现在只能等待。

4、大概等了半个小时左右,软件反应过来了。。。所以看到了数据包。才进行处理

由于文件太大,太卡要等待太久了,所以就懒得截图了

5、其实在抓到数据包之前,我是建议用户把主干全部换成千M的,包括千M的交换机模块。虽然说这样有可能可以解决问题,但是用户需要增加太多的成本了,这对于只有一百多个用户的客户来讲,正常是无法接受的。

6、后面抓到数据包,也就根据攻击类型,进行相关的策略设置,观察了一天,木有再发现问题了。。。

7、经过这个攻击问题,我发现百M的NETLINK收发器,实在太垃圾了。大量的数据连接,他先挂了。。。直接跳闪。但是这样的好处是,路由没挂,还可以看到攻击数据

不然一秒钟60多万的数据包攻击,相信D525也是无法接受的

时间: 2024-10-07 13:32:41

同时大量连接导致的DDOS攻击,导致收发器宕机,用户大面积超时掉线的相关文章

使用Nginx、Nginx Plus抵御DDOS攻击

原创 2015-10-16 陈洋 运维帮 DDOS是一种通过大流量的请求对目标进行轰炸式访问,导致提供服务的服务器资源耗尽进而无法继续提供服务的攻击手段. 一般情况下,攻击者通过大量请求与连接使服务器处于饱和状态,以至于无法接受新的请求或变得很慢. 应用层DDOS攻击的特征 应用层(七层/HTTP层)DDOS攻击通常由木马程序发起,其可以通过设计更好的利用目标系统的脆弱点.例如,对于无法处理大量并发请求的系统,仅仅通过建立大量的连接,并周期性的发出少量数据包来保持会话就可以耗尽系统的资源,使其无

DNS DDOS攻击的分析和防护策略(一)

前言:DNS系统作为互联网的核心服务,承担着域名与IP地址对应关系的解析工作,互联网绝大多数应用都采用域名作为主要的寻址方式,而域名作为互联网上的身份标识,是不可重复的唯一标识资源,互联网的全球化使得域名成为标识一国主权的国家战略资源. 本文作者具备多年的DNS系统建设和维护经验,试图通过本文详细介绍DNS DDOS攻击的原因,分类,攻击方式和防护措施. 一.DNS DDOS概述 1.1 什么是DNS DDOS攻击 DDOS的含义是分布式拒绝服务攻击,拒绝服务是目标,分布式是攻击模式,DNS D

方案:抵御 不明SSL证书导致的 中间人攻击

基于SSL数字证书的中间人攻击已经不是一个新技术了,但是我发现很多人并不清楚这种威胁,甚至感觉无所谓,我相信他们是由于短暂的无知蒙蔽了双眼,希望这篇文章可以让更多的人知道这种攻击方式,并清除这种网络威胁.      传统的HTTP网页访问,并不能保证用户的数据安全性,于是HTTPS的网页访问模式得以产生,但是一个问题是HTTPS如何知道用户访问的网页属于真正的网站,对于这个问题,就需要第三方权威的部门来提供SSL数字证书,保证数据双方的通信是真正的链接. 下面问题来了,如果有个黑客他自己做了一个

ARP攻击导致内网频繁断线

求助!:我店从昨天开始,有线网络时断时续,无线网络掉线率较低可正常使用.重启AP无效果.现确定是内网原因,但杀毒杀木马ARP防火墙绑定IP均无效,求助!求助!谢谢 兄弟店的IT遇到上述问题,经过判断应该是ARP攻击,于是建议对方回到交换机看下哪台电脑的灯狂闪,然后拔掉这个网线 然后再看看有没有类似情况发生. 对方反馈:我今天批量和定向的拔掉了一些网线,最终有三根网线不确认,现在这三根网线不插得情况下其他电脑已经可以正常上网了.明天所有人上班后就能确认哪台电脑导致的ARP攻击.

DDoS攻击与防御(1)

分布式拒绝服务攻击的精髓是,利用分布式的客户端,向服务提供者发起大量看似合法的请求,消耗或长期占用大量资源,从而达到拒绝服务的目的.从不同的角度看,分布式拒绝服务攻击的方法有不同的分类标准.依据消耗目标资源的不同,可分为攻击网络带宽资源.攻击系统资源和攻击应用资源三类.依据攻击数据包发送的频率和速度来划分,又可以分为洪水攻击和慢速攻击. 1.攻击网络带宽资源无论是服务器的网络接口带宽,还是路由器.交换机等互联网基础设施,其数据包处理能力都是存在着事实上的上限的,当到达或通过的网络数据包数量超过了

Azure上Linux VM DDOS攻击预防: 慢速攻击

在上篇博客(http://www.cnblogs.com/cloudapps/p/4996046.html)中,介绍了如何使用Apache的模块mod_evasive进行反DDOS攻击的设置,在这种模式中,主要预防的是对http的volume attack,然而DDOS的攻击方式,各种工具非常多,随便搜一搜就知道了,我们回过头来看看,什么叫DOS/DDOS,看看维基百科: "拒绝服务攻击(Denial of Service Attack,缩写:DoS)亦称洪水攻击,是一种网络攻击手法,其目的在于

DDOS攻击

一;dos攻击概念 DoS:是Denial of Service的简称,即拒绝服务,不是DOS操作系统,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带宽攻击和连通性攻击. DDOS:分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力. 下面的图片是TCP的通信的三次握

怎样预防Ddos攻击

在服务器遭遇的攻击中,DDoS(DistributedDenialofService,分布式拒绝服务)攻击是一种非常可伯的黑客行为,它可以让一个大型服务器群也能很快地出现访问故障. DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性.如果说 以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前ddos众多伪造出来的地址则显得没有办法. 方法和步骤: 随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布,DDO

DDOS学习笔记(《破坏之王-DDOS攻击与防范深度剖析》)

最近花了点时间把<破坏之王-DDOS攻击与防范深度剖析>看了一遍,坦白来说,这本书比较浅显,可以说是入门书,当然对于我这种对DDOS一知半解的人来说,也是一本不错的书,起码我学到了一些东西. DDOS是分布式拒绝服务(Distributed Denial of Service, DDOS)的简写,从名字可以看出,其攻击是分布式的,即多台(可能上万台,甚至更多)电脑同时对目标进行攻击,攻击的目的是让目标无法提供服务.从根本上来说,让目标无法提供服务,办法有很多,比如侵入目标服务器,删除关键服务或