Networking

(D)DoS 攻擊後流量積壓?

  • May 16, 2013

大約 25 小時前,我收到一封來自 UptimeRobot (uptimerobot.com) 的電子郵件,告訴我網站已關閉。

我跑到我的伺服器機房,在那裡我的 TP-Link 路由器完全沒有響應(即使是從 LAN 端),路由器上的紅綠燈以極快的速度閃爍,等等。我收到一個“朋友”的消息說他認識的某個人是個白痴,並且在某個聊天頻道上告訴所有人攻擊我。

經過 17 個小時的流量衝擊(大約每秒 15,000 個數據包),我將網路移至新的 WAN IP,這顯然阻止了攻擊。據我所知,那些不愉快的人仍在攻擊舊IP。無論該地址分配給誰,我都感到難過。

無論如何,在我切換IP後,我的路由器上的紅綠燈仍然在閃爍,它仍然沒有響應。我給它和調製解調器都硬重啟了;在他們回來後,紅綠燈已經減速到正常速度,路由器現在響應了。

問題是,網路仍然感覺像是受到了攻擊——每當我 ping google.com 時(這顯然是正常的),我得到大約 50% 的封包遺失並且往返大約需要 100 毫秒——而正常的 30 毫秒左右。

我已經多次重啟路由器和調製解調器,認為它們可能仍然被來自攻擊的流量“阻塞”;但事實證明這並不成功。區域網路本身很好——我在不同節點之間得到 0% 的封包遺失,延遲低至 0.051 毫秒,所以我推斷內部網路中沒有任何東西導致問題。

有人知道這裡發生了什麼嗎?到我們的 ISP 的管道是否有可能完全積壓了攻擊期間發送的流量?這對我來說毫無意義,只是想知道是否有人以前經歷過這樣的事情。提前致謝。

編輯:

以下是從外部 ping 網路後的一些輸出,以防有人感興趣:

(IP省略,因為在那次攻擊之後我現在很偏執)

PING x.x.x.x (x.x.x.x): 56 data bytes
64 bytes from x.x.x.x: icmp_seq=0 ttl=59 time=47.797 ms
64 bytes from x.x.x.x: icmp_seq=1 ttl=59 time=47.103 ms
64 bytes from x.x.x.x: icmp_seq=2 ttl=59 time=41.792 ms
64 bytes from x.x.x.x: icmp_seq=3 ttl=59 time=51.739 ms
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5
Request timeout for icmp_seq 6
Request timeout for icmp_seq 7
64 bytes from x.x.x.x: icmp_seq=8 ttl=59 time=43.218 ms
Request timeout for icmp_seq 9
64 bytes from x.x.x.x: icmp_seq=10 ttl=59 time=45.034 ms
64 bytes from x.x.x.x: icmp_seq=11 ttl=59 time=42.263 ms
Request timeout for icmp_seq 12
64 bytes from x.x.x.x: icmp_seq=13 ttl=59 time=46.498 ms
Request timeout for icmp_seq 14
Request timeout for icmp_seq 15
Request timeout for icmp_seq 16
64 bytes from x.x.x.x: icmp_seq=17 ttl=59 time=43.183 ms
^C
--- x.x.x.x ping statistics ---
18 packets transmitted, 9 packets received, 50.0% packet loss
round-trip min/avg/max/stddev = 41.792/45.403/51.739/3.031 ms

這是來自地理上靠近網路的位置,通常有 0% 的封包遺失,延遲約為 25 毫秒。再次感謝您的幫助。

這是一個跟踪路由,它可能比上面的 ping 輸出提供更多資訊:

traceroute to x.x.x.x (x.x.x.x), 64 hops max, 52 byte packets
1  10.0.0.1 (10.0.0.1)  4.767 ms  4.178 ms  4.195 ms
2  7.38.4.1 (7.38.4.1)  11.357 ms  18.649 ms  14.658 ms
3  69.63.243.209 (69.63.243.209)  15.616 ms  32.639 ms  16.381 ms
4  69.63.249.85 (69.63.249.85)  26.902 ms  13.912 ms  15.729 ms
5  67.231.220.182 (67.231.220.182)  26.328 ms  27.733 ms  15.328 ms
6  * * *
7  * * *
8  * * *
9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
^C

看起來數據包在 之後被丟棄67.231.220.182,根據 ARIN 的 WHOIS 是 Mt. Pleasant 上的 Rogers 交換站 - 這應該是我所在的位置和我試圖到達的網路之間的最後一跳。這讓我相信這不是我的 ISP 的問題,所以我認為我的管道不是問題。

不,路由器和調製解調器不會“排隊”,它們只會傳遞流量。如果它們已重新啟動,它們會重新啟動並偵聽傳入流量。如果他們得到一個數據包,他們就會路由它,如果另一端沒有任何東西,它就會流入任何東西,路由器或調製解調器不會記憶體數據包的副本以進行重試或類似的事情。任何網路重試、記憶體、跟踪失去的數據包等都是端點的責任,而不是中間設備的責任。

至於解決你的丟包問題,這真的是你應該打電話給你的 ISP 的事情。他們的工作是確保您擁有可靠和穩定的連接。對於企業級客戶,它們通常非常有幫助,甚至可能會採用速率限制、IP 阻止或其他一些措施來避免攻擊。熟悉您的 ISP 的幫助台。請記住,您付錢讓他們管理您的網路連接,讓他們工作!:)

引用自:https://serverfault.com/questions/508138