最近家里被莫名其妙的DDOS攻击,约10分钟内,约被6万笔IP大量存取443.21.23等之类的弱点端口,造成端口资源耗尽

也不知道是什么原因被针对了,今天就被针对了2次

系统为RouterOS,目前能做的方法为抓网路上的黑名单IP定期更新拒绝,弱点端口新建立连结IP封锁30分钟,Echo Reply不回应,winbox预设端口更换,限制1笔IP只能建立20个端口连线这样最后设立机制侦测到弱点端口1分钟内被探测50次自动重新拨号取得新IP这样(让攻击者跟空气斗)

但感觉这样也不是办法目前碰到状况就是玩游戏正开心时,被人DDOS攻击断线,造成中离

想问有没有什么较好的方式能解决?或是个人缺了哪个部分没有隐藏好实体IP在网路上?目前有在想会不会是DDNS服务透漏了我实体IP问题,但感觉又不像,因为重新拨号就解决了

还望有经验的大大给个建议

2 个回答

2

haward79

iT邦研究生 1 级 ‧ 2025-01-29 01:19:32

最佳解答

目前有在想会不会是DDNS服务透漏了我实体IP问题,但感觉又不像,因为重新拨号就解决了
重新拨号据你所说会取得新IP,DDNS 也会需要时间更新 IP,攻击方也会需要时间才会取得你的新 IP(DNS可能有快取),因此个人浅见是 DDNS 跟受到攻击一事未必无关。

我自己的建议:

  1. 非必要Port、管理用Port一律设白名单,例如:你的 22000 应该可以设白名单,黑名单说实话挡不完
  2. 如果有网站等需要公开的Port,才不设限,若只供国内浏览,可挡国外IP
  3. 关掉Ping、服务不用预设Port(网站等需要公开的服务不在此列)
  4. 可考虑 fail2ban 或是像你用的同时限制连线数等手段(不过对DDOS没什么帮助就是了)
  5. 有公 IP 在网路上会被扫是蛮正常的,大多应该都是自动化程式,做个探勘而已,应该无须太过担心,不要门户大开就好

约10分钟内,约被6万笔IP大量存取

  1. 直接算平均的话,每秒大约100个request,其实不算多,可能要考虑硬体是否要升级

  • 4

看更多先前的...收起先前的...

jenjupin

iT邦新手 5 级 ‧
2025-01-29 12:09:12

家里本身没用网页服务,不过有自建NAS
连回来方式主要透过路由器WireGuard+DDNS方式连回去

至于DDNS部分,有想过是同步问题所导致重新拨号能暂时解除的状况
但考量攻击次数不固定,间隔长(约数小时,明显超过同步时间),所以才觉得应该不是DDNS所导致,当然也不排除攻击者是想到就叫肉鸡来探测下这样可能

至于网上被端口扫描是蛮平常的没错,不过是真最近这几天才遇到这么激烈的DDOS攻击
平日1天弱点端口通常被扫描1000-2000次左右而已,还真没遇过突然飙到10分钟6万次的

至于更换硬体部分,应该是有点难度了,最近才刚花一笔钱在家中建置升级网路设备

刚刚想到或许是被端口扫描,有SYN、ACK、RST所致,目前把他们都禁掉了,UDP in也全丢包
PING部分,全都拒绝,除DOH伺服器与内部网路外,希望有好转

修改

jenjupin

iT邦新手 5 级 ‧
2025-01-30 14:52:20

目前听了大大的话,採取最保守作法,把TCP、UDP进来方向全禁,逐步开放要用的服务后,终于再也没有大量IP端口探测的行为了

修改

johnstudy

iT邦新手 4 级 ‧
2025-01-30 18:21:55

网路先不要用一个礼拜应该就没事了

修改

jenjupin

iT邦新手 5 级 ‧
2025-01-30 20:32:51

目前已经解决了,没再被大量IP大量扫描导致超出附载了,应该是我没关到TCP的RST导致被侦测到主机存在,才被误判为有价值目标扫描

修改

1

yesongow

iT邦大师 1 级 ‧ 2025-02-03 10:13:04

抓网路上的黑名单IP定期更新拒绝?

我反倒是建议,以白名单方式运作,因为你家的nas只有你使用!没有必要建立黑名单
应该建立白名单,剩余IP则为拒绝...


  • 2

jenjupin

iT邦新手 5 级 ‧
2025-02-03 21:46:28

您好,黑名单的部分,主要是考量到还有防止内部用户,如家人,去误连接到这些已公开的黑名单列表,让家庭网路更安全这样

目前已有把进入方向的TCP与UDP类型封包皆封锁,仅特别开放某些必要的IP做使用了这样

修改

jenjupin

iT邦新手 5 级 ‧
2025-02-03 21:46:29

您好,黑名单的部分,主要是考量到还有防止内部用户,如家人,去误连接到这些已公开的黑名单列表,让家庭网路更安全这样

目前已有把进入方向的TCP与UDP类型封包皆封锁,仅特别开放某些必要的IP做使用了这样

修改