最近家里被莫名其妙的DDOS攻击,约10分钟内,约被6万笔IP大量存取443.21.23等之类的弱点端口,造成端口资源耗尽
也不知道是什么原因被针对了,今天就被针对了2次
系统为RouterOS,目前能做的方法为抓网路上的黑名单IP定期更新拒绝,弱点端口新建立连结IP封锁30分钟,Echo Reply不回应,winbox预设端口更换,限制1笔IP只能建立20个端口连线这样最后设立机制侦测到弱点端口1分钟内被探测50次自动重新拨号取得新IP这样(让攻击者跟空气斗)
但感觉这样也不是办法目前碰到状况就是玩游戏正开心时,被人DDOS攻击断线,造成中离
想问有没有什么较好的方式能解决?或是个人缺了哪个部分没有隐藏好实体IP在网路上?目前有在想会不会是DDNS服务透漏了我实体IP问题,但感觉又不像,因为重新拨号就解决了
还望有经验的大大给个建议
2 个回答
2
haward79
iT邦研究生 1 级 ‧ 2025-01-29 01:19:32
最佳解答
目前有在想会不会是DDNS服务透漏了我实体IP问题,但感觉又不像,因为重新拨号就解决了
重新拨号据你所说会取得新IP,DDNS 也会需要时间更新 IP,攻击方也会需要时间才会取得你的新 IP(DNS可能有快取),因此个人浅见是 DDNS 跟受到攻击一事未必无关。
我自己的建议:
- 非必要Port、管理用Port一律设白名单,例如:你的 22000 应该可以设白名单,黑名单说实话挡不完
- 如果有网站等需要公开的Port,才不设限,若只供国内浏览,可挡国外IP
- 关掉Ping、服务不用预设Port(网站等需要公开的服务不在此列)
- 可考虑 fail2ban 或是像你用的同时限制连线数等手段(不过对DDOS没什么帮助就是了)
- 有公 IP 在网路上会被扫是蛮正常的,大多应该都是自动化程式,做个探勘而已,应该无须太过担心,不要门户大开就好
约10分钟内,约被6万笔IP大量存取
- 直接算平均的话,每秒大约100个request,其实不算多,可能要考虑硬体是否要升级
-
4 -
-
看更多先前的...收起先前的...
jenjupin
iT邦新手 5 级 ‧
2025-01-29 12:09:12
家里本身没用网页服务,不过有自建NAS
连回来方式主要透过路由器WireGuard+DDNS方式连回去
至于DDNS部分,有想过是同步问题所导致重新拨号能暂时解除的状况
但考量攻击次数不固定,间隔长(约数小时,明显超过同步时间),所以才觉得应该不是DDNS所导致,当然也不排除攻击者是想到就叫肉鸡来探测下这样可能
至于网上被端口扫描是蛮平常的没错,不过是真最近这几天才遇到这么激烈的DDOS攻击
平日1天弱点端口通常被扫描1000-2000次左右而已,还真没遇过突然飙到10分钟6万次的
至于更换硬体部分,应该是有点难度了,最近才刚花一笔钱在家中建置升级网路设备
刚刚想到或许是被端口扫描,有SYN、ACK、RST所致,目前把他们都禁掉了,UDP in也全丢包
PING部分,全都拒绝,除DOH伺服器与内部网路外,希望有好转
修改
jenjupin
iT邦新手 5 级 ‧
2025-01-30 14:52:20
目前听了大大的话,採取最保守作法,把TCP、UDP进来方向全禁,逐步开放要用的服务后,终于再也没有大量IP端口探测的行为了
修改
johnstudy
iT邦新手 4 级 ‧
2025-01-30 18:21:55
网路先不要用一个礼拜应该就没事了
修改
jenjupin
iT邦新手 5 级 ‧
2025-01-30 20:32:51
目前已经解决了,没再被大量IP大量扫描导致超出附载了,应该是我没关到TCP的RST导致被侦测到主机存在,才被误判为有价值目标扫描
修改
1
yesongow
iT邦大师 1 级 ‧ 2025-02-03 10:13:04
抓网路上的黑名单IP定期更新拒绝?
我反倒是建议,以白名单方式运作,因为你家的nas只有你使用!没有必要建立黑名单
应该建立白名单,剩余IP则为拒绝...
-
2 -
-
jenjupin
iT邦新手 5 级 ‧
2025-02-03 21:46:28
您好,黑名单的部分,主要是考量到还有防止内部用户,如家人,去误连接到这些已公开的黑名单列表,让家庭网路更安全这样
目前已有把进入方向的TCP与UDP类型封包皆封锁,仅特别开放某些必要的IP做使用了这样
修改
jenjupin
iT邦新手 5 级 ‧
2025-02-03 21:46:29
您好,黑名单的部分,主要是考量到还有防止内部用户,如家人,去误连接到这些已公开的黑名单列表,让家庭网路更安全这样
目前已有把进入方向的TCP与UDP类型封包皆封锁,仅特别开放某些必要的IP做使用了这样
修改