โดน Attack port จาก IP ต่างประเทศ แต่มันไปตันอยู่ที่ switch ของ IDC

berkbaan · September 14, 2010, 11:00pm

ด้านล่างนี้เป็น log ของทาง NOC ที่ส่งมาให้นะครับ

เป็นเพราะปัญหาอะไร ช่วยแนะนำด้วยครับ เพราะมี IP ต่างประเทศเข้ามาหลายไอพีเลย พอ block ip นี้เดียวก็มีมาใหม่อีก

mrtg ของเครื่อง traffic ไม่ขึ้นเลย แต่ traffic จะไปขึ้นอยู่ที่ Switch ของ IDC เป็น ขาเข้า (Download) นะครับ

เครื่อง Web Hosting ถ้าโดน block inter ก็จะมีปัญหาเรื่องการรับ-ส่งเมล์ทันที

Service ทุกอย่าง load ของเครื่องก็ทำงานปกติเลย

ทาง NOC ให้ผมตรวจสอบเครื่อง ก็หาไอพีนี้ใน server ไม่เจออะไรเลย แต่พอโดน block traffic ก็หายไป เป็นเพราะอะไรครับ

ที่เครื่องก็มีเปิดใช้งาน iptables อยู่ครับ

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 047B    15 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 00E2    17 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0A60    25 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0A06    22 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0046    22 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0E95    20 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 1254    22 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0297    18 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0E8E    15 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 1285    16 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0BB6    19 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 07A2 0155     6 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0665    12 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0A86    22 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 013A    15 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0A9E    12 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0BF5    20 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 05D0    14 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 03D3    13 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0B03    15 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 10BF    13 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 04F9    17 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0183    20 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0B4A    15 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 06F0    17 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0EED    15 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 121A    14 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 1148    15 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0A93    15 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 10EA    15 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 018C    23 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 056B    19 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0D15    21 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0983    17 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 1085    21 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 055E    15 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0535    15 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 07A0 0112    11 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0336    12 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0B4D    15 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 125C    15 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 05F6    16 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 01BE    18 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0D9C    16 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 00E0    14 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0E11    22 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 06E7    17 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0E93    20 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 128E    19 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0D57    23 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0970    18 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0562    18 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0C0D    20 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 10BC     6 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0EDC    22 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 01E2    12 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 100D     7 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 07DF    14 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 05DB    19 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0712    26 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 1276    21 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0BB5    27 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 08A3    17 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0EF3    20 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0FAA    18 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0A4A    18 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 00D8    21 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0268    18 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 05F1     7 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0186    17 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0C8C    10 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 02AD    24 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0586    18 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 0718    19 

 Gi3/1            173.193.48.130   Gi5/2            2XX.1XX.1XX.1XX 11 079E 1108    21

armuay.net · September 14, 2010, 11:02pm

เคยเจอแต่ปลายทางเป็นกบ ก็โดนถล่มแบบนั้นแหละหะ

berkbaan · September 14, 2010, 11:03pm

แล้วมีหนทางแก้ไขไหมครับ

จะโดน block inter ลูกเดียวเลย

armuay.net · September 14, 2010, 11:07pm

กบใช่ไหมครับ

มีทางแก้ สองทาง ให้idc ทำเรื่อง บล๊อค ipต้นทางปลายทาง

อีกทางยิงต้นทางให้ร่วง

berkbaan · September 14, 2010, 11:18pm

ไม่ใช่เครื่องกบครับ

เว็บโฮสครับ

ตอนนี้ผมก็ใช้ทางแรกอยู่ครับ แต่ทาง IDC ให้ผมมาตรวจสอบเครื่อง แต่ก็ยังไม่เจออะไรเลย

แต่NOCก็ปักใจเชื่ออย่างเดียวว่าเครื่องผมโดนฝัง script อะไรอยู่ แต่หาไม่เจอจริงๆครับ ใช้มาเป็นปี พึ่งจะมีปัญหา

berkbaan · September 15, 2010, 12:34am

จะมีโอกาสไหมครับว่า

โดนฝัง script เพื่อให้ไอพีต่างประเทศมายิงเครื่องตัวเอง

อันนี้ NOC ปักใจเชื่อ บอกมาตลอดเลย จะเป็นเหตุให้ต้องย้าย IDC หรือเปล่าเนี้ย

โทรไปคุย 2 ชม. ไม่รู้เรื่องเลย บอกอย่างเดียวให้ผมเช็คเครื่องต้องมีการถูกฝัง Script ในส่วนของ Server แน่นอน และจะไม่ยอมเปิด inter ให้ผมเลย

โดนยิง + โดนIDC block ต่อ เซงจิต

แต่ traffic ทำไมมันไป drop ลงที่ switch ของ IDC ละครับเนี้ยมันไม่ยอมเข้ามาในเครื่องผม

kke · September 15, 2010, 12:51am

เป็นไปได้ครับว่ามีเว็บโดนฝัง script ทำให้โดน flood เข้ามาจากหลายๆ ip

bestthaihost · September 15, 2010, 1:16am

วางเครื่องที่ CS ใช่มั้ยครับถ้าโดนยิง inter ตัว mrtg ของคุณจะไมค่อยกระดิกหรอกครับ เพราะ cs เปิด inter เข้าตู้คุณแค่ 1M (มาตรฐาน)

ลองใช้ iptraf จับดูครับ

ปล. โดน block ไปแล้ว จับตอนนี้คงไม่เจอ

berkbaan · September 15, 2010, 2:30am

ไม่ใช่ที่ CS Loxinfo ครับ

Download

IP Byte Bandwidth (5 Min)

XXXX 855686830 21.76 Mbps

อันนี้ stat ของ MRTG ที่ NOC ส่งมาให้ดู เฉพาะ traffic ต่างประเทศล้วนๆครับ จับจาก switch

ส่วน traffic download ใน MRTG ของเครืิ่อง Server

ค่ารายวัน (5นาที)

Max 1.5MB/s = 12Mbps

เฉลี่ย 1MB/s = 8Mbps

อันนี้เป็น local + inter

ค่าขึ้นลงคงที่เหมือนเดิมมาหลายเดือนแล้วครับ

ปัญหาคือหา ip ตัวต้นเหตุที่ยิงมาไม่เจอใน log ของserverเลย เหมือน traffic ไปสิ้นสุดที่ switch ของ IDC

config ใน iptables

oatcpe · September 15, 2010, 10:35am

โดน block traffic ก็หายไป

ก็นี่แหล่ะครับ NOC เค้าถึงปักใจเชื่อว่ามันเกิดจากเครื่องของคุณแน่ๆ เพราะอาการมันฟ้อง

ปกติถ้าเป็นการ Atk จากภายนอก block inter เครื่องคุณไปแล้ว มันก็ยังไม่หยุดหลอกครับ

ดังนั้นเช็คในเครื่องให้ละเอียดอีกทีดีกว่า

ส่วนที่ traffic ไม่เข้าเครื่อง คงเป็นเพราะ Firewall ในเครื่อง หรือไม่ก็ firewall ส่วนกลางจับเอาไว้

แต่ถึงโดนจับไว้ได้ แต่ทาง IDC ก็ต้อง block คุณอยู่ดีครับ เพราะ traffic ส่วนนี้มันกิน BW ของ IDC ครับ(ถึงแม้มันจะวิ่งไม่ถึงเครื่องคุณ)