今天一早收到公司電話….
說公司mail Server & Web 是否異常,在外面連不到…
但我在公司內連一下server皆正常,而且上網也正常…..但外面的人還是連不進來…
檢查防火牆也正常沒任何修改….. 從內部user端 ping 168.95.1.1也很順….突然想到公司是對外有雙線路…
使用者出去跟Server 不同, 所以移至 Server端 ping 168.95.1.1 結果真慘timeout,難怪連不到…….
可是看了一下ISP上的燈號也是正常…. 想說會不會是防火牆問題….於是利用NB移罝hinet ISP小烏龜,
設個外部IP,ping 168.95.1.1 問題一樣……..
就理所當然去call isp說你們家的網路xxxx為什麼有問題……..
當然ISP很客氣跟我說,從它們家那邊測你們公司ISP設備無問題,他們只好說我幫你重整一下,再重開那個adsl看看……..
耶重開後目前看起正常….想說一定又ISP不知在做什麼….
但好景不常,到中午又接到不能連,而且都是有時候正常又時候又不正常…..
我在想會不會小烏龜的問題,但燈號顯示正常………….
想想是不是自家問題,看了一下HUB,發現有幾個PORT的燈號閃的特別閃(快)…
,看了一下好像出在某台Server,在那開一下封包監控看看怎麼一回事……………….
一看不得了,怎麼一直有人在query 我們家這台DNS Server (主要DNS Server),
原本想DNS Server 有query封包應該是正常,
我就試著 adsl接NB 掛個外部IP 及 在DNS Server本機………..
分別從這兩台(一內一外) ping 168.95.1.1………. 果然現在兩邊呈現都是 time值超過 2000ms或 timeout ………
故想說是否有人攻擊,做個實驗………先停掉公司DNS Server的外部IP(firewall)……….此時兩台回應time 值正常了,
就在想會不會DNS Server被攻擊……………………..先回恢復外部IP,馬上兩台回應time 值又超過 2000ms或timeout
故先停掉DNS Server…………………..對外time馬上回應正常,終於發現問題出在這…原來DNS Server被攻擊…真是OOXX,
馬上利用封包截取看一下,果然看到可疑IP 95.211.136.xxx …..一直在query …. 利用firewall 拒絕該IP…..馬上正常……
證實果然DNS Server被攻擊囉!