下面小编列举一个内网DDOS病毒攻击的案例:
网吧某台电脑P2P下载或者使用外挂,造成本机中毒,不断给路由发包,导致路由内网流量飙升,以至于整个网吧都出现掉网的情况。
但是你在外网的话会发现路由也能连接流量,内网和外网流量相差很大,所以下面给出一个比较简单的排查内网中毒机器的方法。
前提:爱快路由开启TELNET
远程TENET访问路由器控制台
然后选择0
再选择 2 再输入路由的内网网卡名称lan1或者输入lan口绑定的网卡,名称一般为eth0
然后就可以看流量了。
攻击主机(每秒3.8Mb/s大概占用将近4M的带宽速度换算成大KB大概是500KB)
查看的时候按s是显示/隐藏源地址
d是显示/隐藏目的地址
n显示/隐藏host/IP
k或者j是上下滚动
默认最上面的是流量最大那个机器的IP
后面三个数据是过去几秒钟这个数据经过路由器的流量.。
找到IP了当然是过去重启了那台电脑。。然后网吧立刻正常了。。(一般流量很大的时候才判断为中毒)根据自己带宽判断
通过上面方法查看到某一个IP比较大的上传流量的时候,那么在爱快上通过ACL阻断这个IP上网,这时候网吧就会有人喊,"网管掉网了",那么您就抓到这个贼咯。
注意:这个是外网远程处理,那如果我在内网的话怎么处理呢?
内网DOS,你在内网是连接不上路由的包括TELNET,那我们怎么做呢?
路由多上一个网卡设置成LAN2地址和LAN1和客户机IP在一个网段,然后和主交换连接。等出问题的时候,我们在网吧内随便找个机器TELNET都可以连上LAN2,进了LAN2查看LAN1的流量,即可快速定位攻击电脑。
本文内容来自于:爱快 ikuai
