早上我朋友 Skype 我說伺服器是否有問題?因為很常收到偵測不到服務的 E-Mail。我看了一下伺服器狀態一覽表的網頁,發現對外的服務常常不正常,但對內的服務卻是 OK 的。當下便判斷應該是分享器(Vigor2910)出了問題。
我告知他說,應該是 Vigor2910 有點問題。他便告知我說,他來重新啟動 Vigor2910。但是,過了一陣子,感覺好像問題又發生了。所以,我便連進去 Vigor2910 的 Web 管理介面來檢查。
剛連進去的時候,感覺網路還 OK,並沒有連線緩慢的問題。所以,便開始檢查這台機器的狀態。在「自我診斷工具」→「NAT 連線數狀態表」,看到這組 91.205.43.25 IP 大量連伺服器的 DNS 服務。
再去看「資料流量監控」時,哇塞!已經把 NAT 連線數佔滿啦!這應該是攻擊吧?
用 nslookup 反解 91.205.43.25 是沒有記錄的,研判應該是國外的 IP。
|
C:\>nslookup 91.205.43.25 *** hntp1.hinet.net can't find 91.205.43.25: Non-existent domain |
因為沒有設定過 Vigor2910 的防火牆,想說先去把「NAT 連線數限制」關掉再說。在「頻寬管理」→「NAT 連線數限制」中,去「停用」。
沒想到連線的量一直往上衝,先暫時不限制,以確保服務能正常運作。
接下來就只好努力地 K 手冊來進行設定囉!(幸好有中文版的說明手冊)Vigor2910 的防火牆有兩大過濾器,節錄一下手冊的內容:
再看些範例後,就抱著嘗試的心去進行設定囉!
先在「防火牆」→「過濾器設定」,點選 2. Default Data Filter
再點選「過濾器規則」2
勾選「啟用過濾規則」,註解我是打攻擊的 IP「91.205.43.25」,方向:「WAN -> LAN」,來源 IP:「91.205.43.25」,過濾器:「立刻封鎖」,按下「確定」來生效。
確定「過濾器規則」2 設好後,再按下「確定」來生效。
接下來到「防火牆」→「基本設定」,去啟用「資料過濾器」,「開始過濾器組別」就用預設的「組別#2」,同樣按下「確定」來生效。
果然,慢慢地連線數就往下降了。真是幸運!設成功了。當然,要把「NAT 連線數限制」打開囉!要不然,以後就沒法知道是否又有相同的問題發生!!
本想說事情解決了,結果朋友反應太常收到 Vigor 發的告警信,呵!得從 DNS Server 上著手了。
20100724
我在MIS的日誌 (11)