这是一个创建于 4340 天前的主题,其中的信息可能已经有所发展或是发生改变。
这个ip固定几十M tcp流量进来,一直不停,源端口还是80 看外面感觉像我的ip下载youku的数据
在硬件防火墙屏蔽这个ip,然后把网站的ip地址也改了,旧ip不用了,这个220.181.185.144 还是不断进来连接旧ip,
这是什么情况
ping zw-t-c.youku.com
PING zw-t-c.youku.com (220.181.185.144) 56(84) bytes of data.
64 bytes from 220.181.185.144: icmp_seq=0 ttl=244 time=34.6 ms
64 bytes from 220.181.185.144: icmp_seq=1 ttl=244 time=34.9 ms
网络记录
ip 220.181.185.144
Aggregated flows 32768
Top 10 flows ordered by flows:
Date flow start Duration Proto Src IP Addr Src Pt Dst IP Addr Dst Pt Packets Bytes
2014-03-06 22:25:52.515 2333.215 TCP 220.181.185.144 80 x.x.x.x 54130 1266 55704
2014-03-06 22:25:54.547 2327.107 TCP 220.181.185.144 80 x.x.x.x 40999 1256 55264
2014-03-06 22:25:56.292 2326.881 TCP 220.181.185.144 80 x.x.x.x 10242 1252 55088
2014-03-06 22:25:54.686 2325.957 TCP 220.181.185.144 80 x.x.x.x 15124 1233 54252
2014-03-06 22:25:54.952 2324.662 TCP 220.181.185.144 80 x.x.x.x 40984 1237 54428
2014-03-06 22:25:53.535 2332.460 TCP 220.181.185.144 80 x.x.x.x 10562 1218 53592
2014-03-06 22:25:56.073 2326.012 TCP 220.181.185.144 80 x.x.x.x 29768 1226 53944
2014-03-06 22:25:53.098 2324.728 TCP 220.181.185.144 80 x.x.x.x 11346 1222 53768
2014-03-06 22:25:56.531 2315.809 TCP 220.181.185.144 80 x.x.x.x 61492 1224 53856
2014-03-06 22:25:57.023 2327.846 TCP 220.181.185.144 80 x.x.x.x 56445 1215 53460
Summary: total flows: 16894264, total bytes: 1.5 G, total packets: 34.7 M, avg bps: 5.2 M, avg pps: 14845, avg bpp: 43
Time window: 2014-03-06 21:40:04 - 2014-03-06 23:04:46
在硬件防火墙屏蔽这个ip,然后把网站的ip地址也改了,旧ip不用了,这个220.181.185.144 还是不断进来连接旧ip,
这是什么情况
ping zw-t-c.youku.com
PING zw-t-c.youku.com (220.181.185.144) 56(84) bytes of data.
64 bytes from 220.181.185.144: icmp_seq=0 ttl=244 time=34.6 ms
64 bytes from 220.181.185.144: icmp_seq=1 ttl=244 time=34.9 ms
网络记录
ip 220.181.185.144
Aggregated flows 32768
Top 10 flows ordered by flows:
Date flow start Duration Proto Src IP Addr Src Pt Dst IP Addr Dst Pt Packets Bytes
2014-03-06 22:25:52.515 2333.215 TCP 220.181.185.144 80 x.x.x.x 54130 1266 55704
2014-03-06 22:25:54.547 2327.107 TCP 220.181.185.144 80 x.x.x.x 40999 1256 55264
2014-03-06 22:25:56.292 2326.881 TCP 220.181.185.144 80 x.x.x.x 10242 1252 55088
2014-03-06 22:25:54.686 2325.957 TCP 220.181.185.144 80 x.x.x.x 15124 1233 54252
2014-03-06 22:25:54.952 2324.662 TCP 220.181.185.144 80 x.x.x.x 40984 1237 54428
2014-03-06 22:25:53.535 2332.460 TCP 220.181.185.144 80 x.x.x.x 10562 1218 53592
2014-03-06 22:25:56.073 2326.012 TCP 220.181.185.144 80 x.x.x.x 29768 1226 53944
2014-03-06 22:25:53.098 2324.728 TCP 220.181.185.144 80 x.x.x.x 11346 1222 53768
2014-03-06 22:25:56.531 2315.809 TCP 220.181.185.144 80 x.x.x.x 61492 1224 53856
2014-03-06 22:25:57.023 2327.846 TCP 220.181.185.144 80 x.x.x.x 56445 1215 53460
Summary: total flows: 16894264, total bytes: 1.5 G, total packets: 34.7 M, avg bps: 5.2 M, avg pps: 14845, avg bpp: 43
Time window: 2014-03-06 21:40:04 - 2014-03-06 23:04:46
 |
1
niseter 2014 年 3 月 8 日
给人感觉就俩(纯属外行瞎猜)
1.youku其中的服务器给人。。。 2.LZ被中间人攻击了 |
 |
2
AstroProfundis 2014 年 3 月 8 日
其实...要不要检查下你的服务器上是不是真的在下载优酷的视频...
|
 |
3
edwinlai OP @AstroProfundis 检查过了, 不会是下载,服务器交换机端口限速5M,防火墙检查流量有20M, 即使换一个网段, 流量还在攻击, 这个攻击策略挺好的, 一直占用你的出口, 还没地方投诉, 除了这个ip,还有其他ip
怀疑会不会伪装ip, |
 |
4
MrMario 2014 年 3 月 9 日 via iPhone
瞎猜一个啊,是不是攻击者伪装成你的ip向youku提交请求,然后youku就把包发你那儿去了?
持续关注,望路过的大牛解惑:) |
1
Select Language