V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
edwinlai
V2EX  ›  问与答

网站被流量攻击, 攻击 ip 竟然有 youku 的,

  •  
  •   edwinlai · 2014-03-08 18:53:27 +08:00 · 3736 次点击
    这是一个创建于 3913 天前的主题,其中的信息可能已经有所发展或是发生改变。
    这个ip固定几十M tcp流量进来,一直不停,源端口还是80 看外面感觉像我的ip下载youku的数据
    在硬件防火墙屏蔽这个ip,然后把网站的ip地址也改了,旧ip不用了,这个220.181.185.144 还是不断进来连接旧ip,
    这是什么情况
    ping zw-t-c.youku.com
    PING zw-t-c.youku.com (220.181.185.144) 56(84) bytes of data.
    64 bytes from 220.181.185.144: icmp_seq=0 ttl=244 time=34.6 ms
    64 bytes from 220.181.185.144: icmp_seq=1 ttl=244 time=34.9 ms

    网络记录
    ip 220.181.185.144
    Aggregated flows 32768
    Top 10 flows ordered by flows:
    Date flow start Duration Proto Src IP Addr Src Pt Dst IP Addr Dst Pt Packets Bytes
    2014-03-06 22:25:52.515 2333.215 TCP 220.181.185.144 80 x.x.x.x 54130 1266 55704
    2014-03-06 22:25:54.547 2327.107 TCP 220.181.185.144 80 x.x.x.x 40999 1256 55264
    2014-03-06 22:25:56.292 2326.881 TCP 220.181.185.144 80 x.x.x.x 10242 1252 55088
    2014-03-06 22:25:54.686 2325.957 TCP 220.181.185.144 80 x.x.x.x 15124 1233 54252
    2014-03-06 22:25:54.952 2324.662 TCP 220.181.185.144 80 x.x.x.x 40984 1237 54428
    2014-03-06 22:25:53.535 2332.460 TCP 220.181.185.144 80 x.x.x.x 10562 1218 53592
    2014-03-06 22:25:56.073 2326.012 TCP 220.181.185.144 80 x.x.x.x 29768 1226 53944
    2014-03-06 22:25:53.098 2324.728 TCP 220.181.185.144 80 x.x.x.x 11346 1222 53768
    2014-03-06 22:25:56.531 2315.809 TCP 220.181.185.144 80 x.x.x.x 61492 1224 53856
    2014-03-06 22:25:57.023 2327.846 TCP 220.181.185.144 80 x.x.x.x 56445 1215 53460
    Summary: total flows: 16894264, total bytes: 1.5 G, total packets: 34.7 M, avg bps: 5.2 M, avg pps: 14845, avg bpp: 43
    Time window: 2014-03-06 21:40:04 - 2014-03-06 23:04:46
    7 条回复    1970-01-01 08:00:00 +08:00
    niseter
        1
    niseter  
       2014-03-08 20:29:22 +08:00
    给人感觉就俩(纯属外行瞎猜)
    1.youku其中的服务器给人。。。
    2.LZ被中间人攻击了
    AstroProfundis
        2
    AstroProfundis  
       2014-03-08 20:35:14 +08:00
    其实...要不要检查下你的服务器上是不是真的在下载优酷的视频...
    edwinlai
        3
    edwinlai  
    OP
       2014-03-08 21:44:37 +08:00
    @AstroProfundis 检查过了, 不会是下载,服务器交换机端口限速5M,防火墙检查流量有20M, 即使换一个网段, 流量还在攻击, 这个攻击策略挺好的, 一直占用你的出口, 还没地方投诉, 除了这个ip,还有其他ip

    怀疑会不会伪装ip,
    MrMario
        4
    MrMario  
       2014-03-09 08:19:43 +08:00 via iPhone
    瞎猜一个啊,是不是攻击者伪装成你的ip向youku提交请求,然后youku就把包发你那儿去了?

    持续关注,望路过的大牛解惑:)
    edwinlai
        5
    edwinlai  
    OP
       2014-03-09 09:38:32 +08:00
    @MrMario 早上观察了一下, 流量还在继续涌进,大概连续2天,我这端ip没在使用状态, 对我们网络影响不是很大, 而且网站已经转移别的网络去
    MrMario
        6
    MrMario  
       2014-03-09 10:33:30 +08:00 via iPhone   ❤️ 1
    @edwinlai
    吓!谁这么无聊啊
    其实,我对攻击原理挺好奇的:P
    edwinlai
        7
    edwinlai  
    OP
       2014-03-09 12:15:07 +08:00
    @MrMario 我也很好奇
    还发现一个百度地图ip 111.206.37.xx
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1672 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 16:49 · PVG 00:49 · LAX 08:49 · JFK 11:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.