网吧遭DDOS攻击报告

网吧之DDOS攻击报告

    2005年12月29日 

近段时间，温州地区网吧出现很多被DDOS ，SYN-FLOOD攻击现象。以下是其中部分详述。

一．Saynsay  这是个多人视频聊天室，进入聊天室的客人，由于与其他玩家言语等发生冲突等原因，进而使用工具获得对方IP地址，然后使用各种DDOS工具进行攻击对方。

 

 

 

 

 

 

 

下面是路由器的CPU占用图：路由器资源基本耗尽

 

下面是端口流量图：可以看到每秒接收到的包为7015个，如果攻击工具速度调快，可以达到每秒几万个包。

 

下面是使用sniffer工具抓包图：

此工具发送的都是62字节大小的帧。源地址随机伪造。（其他工具发送报文大小不详，未必相同）

 

上图可以看到，源地址是随机伪造的根本不存在的地址。而源MAC地址是同一台电脑的。

分析：SYN-FLOOD攻击工具，使用伪造源地址，在短时间内向目得地址发起数量巨大的小包。而到达路由器时，因为NAT做了源地址转换访问列表。所以这些包是不会被NAT转换的。但由于数量巨大，路由器在处理时耗尽了资源。CPU达到近100%，网络基本已经瘫痪。

 

上面说的是例子，是由于在网吧上网的客人，不了解网络结构，也不清楚这样攻击对方的话，会使得本网吧网络瘫痪，也可以说是无意破坏。还有一种是属于恶意攻击的，在外网对路由器进行攻击。同样使用上述工具进行攻击，攻击源可以是攻击者控制的肉机，比如在IDC房的服务器，由于IDC的条件还有服务器的高性能，所以实施攻击时破坏力很强。

 

以上是攻击途径与及报文分析。针对本公司网吧客户较多，网络安全防范，在网吧业中越发显得重要，希望能在没有大规模发生状况时，能想出可行性方案给予各网吧业主解决后顾之忧