[請益] 內對外DNS攻擊已刪文

看板MIS作者 (wjs)時間8年前 (2016/06/30 22:15), 8年前編輯推噓6(602)
留言8則, 5人參與, 最新討論串1/1
公司有租用中華電信資安艦隊的服務,目前使用者上網與Mail分別走不同的線路 (使用者上網NAT下約60人,Mail線路NAT下只有Mail Server) 不時收到資安艦隊的週報表,顯示有內對外攻擊的情況。 且使用者上網和mail的IP都有這情況。 目前是打算使用mirror port再搭配側錄封包軟體至少可以看出source IP是誰 其中有個攻擊事件感到很不解 常常會有mail server對google或中華電信DNS 做DNS-Message-Decompress-DOS-1這攻擊 不過流量都是0Byte。有人理解為什麼攻擊流量會是0Byte嗎 抱歉小弟不才,剛畢業,請前輩們開示了 --------------------- 補充:其他像是內對外有流量的攻擊常見的像是invalid tcp flag 還有SQL inject。 外對內最常見的就是Pop暴力破解了 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.61.50 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1467296133.A.773.html
06/30 22:16, , 1F
補充一下對8.8.8.8 168.95.1.1目標都是53port
06/30 22:16, 1F
06/30 23:13, , 2F
53不就DNS的Port?
06/30 23:13, 2F
是啊,補充原因只是想把資安艦隊報表一些資訊帶出來
07/01 08:36, , 3F
action是pass還是block?
07/01 08:36, 3F
block
07/01 09:36, , 4F
貌似第一個packet就block所以顯示0 byte
07/01 09:36, 4F
了解好像有道理
07/01 10:54, , 5F
就已經擋掉了,當然是0
07/01 10:54, 5F
不,有些攻擊是有流量的
07/01 21:23, , 6F
比方像是?
07/01 21:23, 6F
※ 編輯: s801107 (122.116.61.50), 07/02/2016 10:48:24
07/02 20:18, , 7F
你說明的類型比較多是tcp 攻擊行為前需交握流量大於0合理
07/02 20:18, 7F
好,了解,所以udp不會有三相交握的問題所以進來連線不會有請求就被擋掉才會為0byte .?感謝受教 ※ 編輯: s801107 (101.8.227.241), 07/02/2016 20:33:03
07/03 00:56, , 8F
直接查Firewall log就可以了吧,應該不用再sniffer才是?
07/03 00:56, 8F
更多 s801107 的文章
文章代碼(AID): #1NTIc5Tp (MIS)