たったいま DDos 攻撃うけてるぽいんだけどどうしたらいい?
ルーター(RT57i)が再起動しまくってるYo
とりあえず、PPPoEの側
lan tyle lan2 10-hdx にしてしてみて 10M 縛りにしてみたけど
変わらず
コンソールも劇重なんだが
なんとか show status pp 1 で見れる範囲だと
毎秒120万バイトほど来てるぽいんだが
10M縛りキッチリ使い切ってやがる
>>133 特定のIPアドレスからならdenyにしとくってのは?
DNS変えないといけないから導入してすぐとは行かないけど、
CloudFlareみたいな無料のCDNでも入れとけば?
>>132 目的に対する手法がちと変じゃないかい?
俺ならpingよりdigを使うけど。
それとPCやルータにもDNS情報がキャッシュされるから何とも言えないかな。
例えば事務所に複数のパソコンがあって、
AのPCはすぐに反映されたけど、BのPCはなかなか反映されないって事あるっしょ。
浸透させるのを早めたいならレコードを変更する前に
予めTTLを短くするってのが一般的だけどね。
136 :
133:2013/10/04(金) 12:26:51.52 ID:???
どうせチャイナだろうと思ってたんだけど
ルーターのフィルターが弾いたアドレスをSyslogに飛ばしてみて確認したら・・・
未だに信じられないことだが
ヤフーとか国内の有名大学の生IP(ほとんどはネームサーバー)だったんだが。
なんで毎秒何回もICMP投げてくるんだよ
まさか俺のところからPING出てるんじゃないか?って疑って
外向きのPASSをログ出力してみたが、俺はICMPを外には打ってねぇぜ!!!
>>136 まずは心当たりがないか自分の固定IPアドレスをggってみたら?
NDAあるから詳しくは話せないけど、
こういうケースでは警察に相談投げたあとにISPにログ提出して対処してもらった事はある。
禿げは対応が遅いのとWhois公開されてるアドレスにメールするしか窓口がないので注意。
大学は私立なら対応早いと思うよ。
Whois公開窓口と情報システム部が一致してるトコもそこそこ対応が早かった。
138 :
133:2013/10/04(金) 12:42:31.51 ID:???
これいわゆる ICMP ECHO 爆弾?
俺のアドレスを始点と詐称した ICMP をヤフー等に投げて
受け取ったヤフー等が、始点とされた俺のアドレスに ECHO してるとか・・・?
たぶん巨大な ICMP パケットなのだろうけれど
これ、ISP に依頼しないとどうにもならないのか?
139 :
133:2013/10/04(金) 12:46:36.81 ID:???
どんなICMPが届いて来てるか確認するには、
nat descriptor masquerade static 1 1 192.168.x.x icmp
と適当なパソコンに転送設定して、そこでパケ監視するといいのかな?
>>138 それだけだったらICMPだけ切っとけば?
あとファームウェアが古くて単なるバグor脆弱性でやられてるオチはないよね?
141 :
133:2013/10/04(金) 12:54:51.62 ID:???
IMCP も reject してるんだけど
ルーターのポートまで届いた上で reject されるから
なんか回線帯域を全て使い切せられてる気がする・・・
ネクスト1Gのお陰か
別ルーターを使って他セッションで張ってある側には影響を感じないけど・・