故障案例-聊城市日报社遭受DDOS攻击的处理报告-聊城王文非

聊城市日报社遭受DDOS攻击的处理报告

5月12日17时聊城市日报社反映网络突发异常，导致市日报社局域网用户均不能正常访问外部网页，外部用户也不能访问日报社的网站、服务器等；聊城市新闻门户网站https://www.wendangku.net/doc/bb11142122.html,不能正常访问。故障现象：

聊城市日报社局域网用户均不能访问外部网页，外部用户不能访问日报社的服务器、网站等。

故障处理：

接到用户反映后立即查找该用户所在设备，查看端口数据流量状态如下图所示：

由端口状态可以判定光路及数据均正常。用户流出流量为0%，流入流量达到100%，怀疑为用户IP地址受到外部用户的攻击导致网络过载进而阻断正常的网络通讯。

该用户为IP专线用户，占用的IP地址为

202.110.216.98-202.110.216.126共计29个地址；由于不能确定用户受攻击的IP地址，所以采取排除法进行故障的排除。在进行排除法处理故障时利用null0接口过滤通信量的功能：当路由器收到报文时，直接查找转发表，如果发现该路由下一跳是null0，不做任何处理，直接丢弃。

在核心路由器上将该用户每个地址均配置上静态路由：

ip route-static 202.110.216.X 255.255.255.255 null 0

首先将https://www.wendangku.net/doc/bb11142122.html,服务器的IP地址202.110.216.117在路由器上放开，查看业务所在设备端口的流量正常，新闻网可以正常使用；

然后分别将日报社的IP地址在核心路由器上逐一放开，每放开一个IP地址即查看用户的网络是否正常，直到放开最后一个地址202.110.216.126时用户的网络出现异常，端口流量激增，新闻网不能访问；将202.110.216.126地址在核心路由器上重新配置为

ip route-static 202.110.216.126 255.255.255.255 null 0后用户网络恢复正常，继续观察一段时间后用户网络无异常。

最后确定用户IP地址202.110.216.126受到攻击。

故障结论：

由于这种攻击是黑客在做好充分的准备工作，控制大量的中病毒的机器同时对目的IP进行的大规模攻击，所以不可能确定攻击源；在局端路由器设备上不可能针对攻击源IP进行操作，只能利用上述

方式将外部用户发往受攻击IP地址的包文进行丢弃，从而保证用户整体网络的正常使用。

对于这种网络攻击建议用户可以做如下处理：

1、对终端进行定期扫描清查可能存在的安全漏洞；

2、充分利用路由器、防火墙等负载均衡设备保护网络资源；

3、将网站做成静态页面；

4、过滤不必要的服务和端口；

5、通过反向路由器查询的方法检查访问者的IP地址来源等。