華網國際股份有限公司

[fae]

用者反映上網速度很慢，ping路由LAN口丟包嚴重，登錄設備檢查，在WebUI--系統狀態--介面統計，清空計數器刷新後，看見LAN1/In的平均速度（達到117Mbps）/資料包/位元組數計數遠遠大於WAN1/Out的平均速度（697Kbps）/資料包/位元組數，這說明來自內網有大量攻擊路由器的資料包，擁塞了LAN埠

攻擊-3.jpg (82.97 KiB) 被瀏覽 8579 次

同時在WebUI--系統狀態--系統歷史記錄裡面看見多個IP位址的NAT會話超限記錄:
11:03:44 NAT exceeded 192.168.1.33
11:03:49 NAT exceeded 192.168.1.59
11:03:52 NAT exceeded 192.168.1.38
11:03:56 NAT exceeded 192.168.1.34
11:04:00 NAT exceeded 192.168.1.34
11:04:04 NAT exceeded 192.168.1.59
11:04:08 NAT exceeded 192.168.1.33
11:04:12 NAT exceeded 192.168.1.38
11:04:16 NAT exceeded 192.168.1.59
11:04:20 NAT exceeded 192.168.1.34
11:04:24 NAT exceeded 192.168.1.33
11:04:28 NAT exceeded 192.168.1.33
11:04:32 NAT exceeded 192.168.1.33
11:04:52 NAT exceeded 192.168.1.60
11:04:56 NAT exceeded 192.168.1.33

然後在WebUI--上網監控，裡面發現內網的攻擊存在著兩種形式。
一種是向外網某個固定埠發資料包的情況，這裡我們看到內網這個用戶在向外網發大量的UDP 80埠的資料包（如下圖），資料包有去無回（上傳包為0，下載包為0）。
對於這種攻擊，在路由器可以採用兩種處理方式：

攻擊-4.jpg (208.45 KiB) 被瀏覽 8579 次

1）配置內網主機單位時間發包的數量為600pps
set interface ethernet/1 rxpps 600
write
2）WebUI--高級配置--業務管理，禁止目的埠為UDP 80的資料包。
但是，如果該攻擊正好使用了某種應用的埠（比如網頁流覽HTTP），那麼2）方法就不可以用了。

還有一種是使用某個固定的源埠發資料包的情況，這裡我們看到內網這個用戶在使用源埠1925向外網隨機的發資料包，資料包有去無回（上傳包為0，下載包為0）。
對於這種攻擊，在路由器可以採用兩種處理方式：
1）配置內網主機單位時間發包的數量為600pps
set interface ethernet/1 rxpps 600
write
2）WebUI--高級配置--業務管理，禁止源埠為1925的UDP資料包。
但是，如果該攻擊改換了源埠那麼2）方法的策略就失效了。
3）控制相同源埠只生成一條NAT會話，
set ip nat natSTUN yes
write
但是這個方法可能會對某些遊戲的使用產生影響。

3260 192.168.1.38 1925 59.61.214.74 3758 U 1 0 20966 B 56
3261 192.168.1.38 1925 218.0.1.82 9016 U 1 1 20962 A 56
3262 192.168.1.38 1925 60.221.179.244 1323 U 1 1 20878 A 55
3263 192.168.1.38 1925 61.149.134.88 4699 U 1 0 20873 A 56
3264 192.168.1.38 1925 60.216.58.117 5691 U 1 0 20798 A 59
3265 192.168.1.38 1925 60.210.112.90 9588 U 1 1 20794 A 56
3266 192.168.1.38 1925 59.77.246.15 3944 U 1 0 20779 A 52
3267 192.168.1.38 1925 221.11.27.93 6477 U 1 0 20717 A 56
3268 192.168.1.38 1925 60.13.191.62 7874 U 1 1 20708 A 54
3269 192.168.1.38 1925 218.7.159.98 5085 U 1 1 20706 A 56
3270 192.168.1.38 1925 218.62.6.198 5083 U 1 0 20607 A 58
3271 192.168.1.38 1925 60.179.12.247 2867 U 1 1 20508 B 57
3272 192.168.1.38 1925 210.28.131.247 1956 U 1 1 20507 A 57
3273 192.168.1.38 1925 61.167.88.138 4959 U 1 0 20500 A 53

上述的方法可以在一定程度上緩解攻擊隊內網其他用戶上網造成的影響，但是治標不治本，病毒主機仍然在想路由器大量發資料包。
讓使用者在病毒主機上殺毒，結果在\\windows\temp下面發現兩個木馬程式ddos.exe和system.exe，刪除後解決問題。