今天一早收到公司電話….

說公司mail Server & Web 是否異常,在外面連不到…

但我在公司內連一下server皆正常,而且上網也正常…..但外面的人還是連不進來…

檢查防火牆也正常沒任何修改…..  從內部user端   ping 168.95.1.1也很順….突然想到公司是對外有雙線路…

使用者出去跟Server 不同, 所以移至 Server端 ping 168.95.1.1 結果真慘timeout,難怪連不到…….

可是看了一下ISP上的燈號也是正常….  想說會不會是防火牆問題….於是利用NB移罝hinet ISP小烏龜,

設個外部IP,ping 168.95.1.1 問題一樣……..

就理所當然去call isp說你們家的網路xxxx為什麼有問題……..

當然ISP很客氣跟我說,從它們家那邊測你們公司ISP設備無問題,他們只好說我幫你重整一下,再重開那個adsl看看……..

耶重開後目前看起正常….想說一定又ISP不知在做什麼….

但好景不常,到中午又接到不能連,而且都是有時候正常又時候又不正常…..

我在想會不會小烏龜的問題,但燈號顯示正常………….

想想是不是自家問題,看了一下HUB,發現有幾個PORT的燈號閃的特別閃(快)…

,看了一下好像出在某台Server,在那開一下封包監控看看怎麼一回事……………….

一看不得了,怎麼一直有人在query 我們家這台DNS Server  (主要DNS Server),

原本想DNS Server 有query封包應該是正常,

我就試著  adsl接NB 掛個外部IP  及 在DNS Server本機………..

分別從這兩台(一內一外) ping 168.95.1.1……….  果然現在兩邊呈現都是 time值超過 2000ms或 timeout ………

故想說是否有人攻擊,做個實驗………先停掉公司DNS Server的外部IP(firewall)……….此時兩台回應time 值正常了,

就在想會不會DNS Server被攻擊……………………..先回恢復外部IP,馬上兩台回應time 值又超過 2000ms或timeout

故先停掉DNS Server…………………..對外time馬上回應正常,終於發現問題出在這…原來DNS Server被攻擊…真是OOXX,

馬上利用封包截取看一下,果然看到可疑IP  95.211.136.xxx …..一直在query …. 利用firewall 拒絕該IP…..馬上正常……

證實果然DNS Server被攻擊囉!