ترافیک شدید روی پورت 53

Printable View

2014-07-03, 04:26 PM
hmn566

ترافیک شدید روی پورت 53

با سلام
مدتی است ترافیک شدیدی روی پورت 53 یکی از دوستان داره میاد. این مورد رو چند جای دیگه هم دیدم.
تو فایروال کلا پورت 53 رو از بیرون بستم. dns هم غیر فعال هست اما همینطور داره ترافیک میاد و حجم ترافیک اینترنت حجمی رو میخوره.
کسی میدونه این ارسال ترافیک روی یک شرکت عادی که نکته خاصی هم برای حمله نداره برای چی انجام میشه و چطور باید جلوش رو گرفت؟
عکسش رو در زیر آوردم. الیته خیلی زیادن انقدر که تو کادر جا شد رو قرار دادم.

[IMG][URL=http://axgig.com/][IMG]http://axgig.com/images/00867206019498610558.jpg[/IMG][/URL][/IMG]
2014-07-03, 05:25 PM
M-r-r

داره بهشون Attack میشه...
2014-07-03, 05:26 PM
i_t0xic

تیک Allow remote requests رو در قسمت DNS بردارید.
2014-07-03, 06:15 PM
hmn566

لطفا قبل از پاسخ مطلب رو بخونين !!!
هم خودم نوشتم داره حمله ( اتک ) ميشه هم نوشتم دى ان اس رو غىر فعال کردم !!!!
ميگم براى چى اين حملات بى فاىده روى جاهاى غىر مهم بدون دشمن اونم نه يه جا انجام ميشه. هم چطور ميشه جلوش رو گرفت.
توى فايروال کلا بستم ىعنى چىزى وارد شبکه نميشه اما حجم اىنترنت و پهناى باند رو مىخوره
2014-07-03, 06:21 PM
gallaxy67

دوست من قطعا پورت 53 روی میکروتیک شما باز هست. اون رو ببند. ببین چه سرویسی ران شده.
شما در صورتی که بتونی این پورت رو غیر فعال کنی مشکلت حل میشه
2014-07-03, 06:38 PM
hmn566

دوست عزيز پورت توى فاىروال بسته شده و دى ان اس سرور رو هم غير فعال کردم. درخواست ىکطرفه مياد يعنى تو مىکروتيک دراپ ميشه. اما همچنان درخواست مياد.
2014-07-03, 09:18 PM
mojtaba461

روی روتر خودتون بیشتر از این نمیتونید کاری کنید. نهایتش همینه که درخواست بیاد و دراپ شه.

[COLOR="silver"][SIZE=1]- - - ادامه - - -[/SIZE][/COLOR]

[QUOTE=hmn566;434888]
کسی میدونه این ارسال ترافیک روی یک شرکت عادی که نکته خاصی هم برای حمله نداره برای چی انجام میشه و چطور باید جلوش رو گرفت؟
[/QUOTE]
حملات کاملا نرم افزاری و اتوماتیک روی رنج ip ها انجام میشه و کاری هم به این نداره که شرکت عادی هست یا بزرگ! هدف هم مشخصه، قرار دادن اطلاعات نادرست برای resolve نادرست، روی dns سرورها.
2014-07-03, 09:31 PM
A.Yazdani

Remote client ندارند ؟ شاید اونجا DNS server رو یکی از ادرس های داخلی شما گذاشتند ؟
2014-07-05, 12:45 AM
hmn566

[QUOTE=A.Yazdani;434926]Remote client ندارند ؟ شاید اونجا DNS server رو یکی از ادرس های داخلی شما گذاشتند ؟[/QUOTE]
دوست عزیز اصلا dns serveri وجود نداره که بخوان چیزی روش قرار بدن. در ضمن این مربوط به یک نقطه نمیشه. کافی هست شما dns server رو چند روز روی اینترنت باز بذاری. بعد دیگه ببندی یا فایروال بذاری فرق نداره همینطور ترافیک میاد. میتونی تست کنی.

[COLOR="silver"][SIZE=1]- - - ادامه - - -[/SIZE][/COLOR]

[QUOTE=mojtaba461;434925]روی روتر خودتون بیشتر از این نمیتونید کاری کنید. نهایتش همینه که درخواست بیاد و دراپ شه.

[COLOR="silver"][SIZE=1]- - - ادامه - - -[/SIZE][/COLOR]

حملات کاملا نرم افزاری و اتوماتیک روی رنج ip ها انجام میشه و کاری هم به این نداره که شرکت عادی هست یا بزرگ! هدف هم مشخصه، قرار دادن اطلاعات نادرست برای resolve نادرست، روی dns سرورها.[/QUOTE]

کسانی که dns server دارن با این شرایط حچم زیادی پهنای باند از دست میدن.
در ضمن چطوری میخوان اطلاعات نادرست روی dns server قرار بدن.
2014-07-05, 09:43 AM
mojtaba461

[QUOTE=hmn566;435042]
کسانی که dns server دارن با این شرایط حچم زیادی پهنای باند از دست میدن.
[/QUOTE]
بله همینطوره.

[QUOTE=hmn566;435042]
در ضمن چطوری میخوان اطلاعات نادرست روی dns server قرار بدن.
[/QUOTE]
میلیون ها درخواست با سورس آدرس جعلی برای resolve یک domain ارسال میشه به dns سرور. اگر یکی از این سورس آدرس های جعلی ، آدرس واقعی یکی از کلاینتهایی باشه که در حال سرویس گرفتن از این dns سرور هست ، میتونه resolve اشتباه براش ارسال شه و به سایتی غیر از سایت اصلی هدایت شه.