请问11879每天都会受到UDP攻击应该如何解决？

shmily7368

你好，管理员。为什么11879每天都会自动断连好几次。还会受到一些外网ip的攻击，请问应该如何解决，这是安全日记和端口日记。

GOCLOUD小舒

您好！请看图“对端：31:26:69:14:FF:04连接终止”，连接断开是服务器发起的，可能是防止PPPoE商用或者是被攻击断开的，这方面和路由器没有关系，联系运营商可解决。
另外攻击的原因我给您分析一下：
1、攻击目标肯定是您的外网IP。
2、PPPOE上网每次重新拨号IP都有可能会变。
3、所以被攻击的时候，肯定是查到您的外网IP才会攻击。
解决呗攻击，建议您内网杀毒，如何pppoe重新拨号就一个可以解决。
还有可能是内网p2p业务导致告警：“UDP连接数阈值设置过低，导致P2P业务之类，BT下载时候告警”
进入【主机监控】-【告警阈值设置】可以修改告警的阈值值。




判断攻击是因为P2P下载时 告警阈值设置太小：请进入【网络安全】-【攻击防御】设置udp_flood攻击防御的阈值。








。

shmily7368

GOCLOUD小舒 发表于 2018-3-6 20:37
您好！请客图“对端：31:26:69:14:FF:04连接终止”，连接断开是服务器发起的，可能是防止PPPoE商用或者是被 ...

谢谢舒工的回答 内网杀毒具体应该怎么做？我的外网ip是申请的固定ip，我想应该是被攻击断开的，因为我使用别的版本也不会出现断开的情况，所以应该不是运营商主动断开。还有我想那些发起攻击的外网ip是怎么知道我的外网ip的，是不是某台设备中毒了路由器被劫持了。

Matrix

GOCLOUD小舒 发表于 2018-3-6 20:37
您好！请客图“对端：31:26:69:14:FF:04连接终止”，连接断开是服务器发起的，可能是防止PPPoE商用或者是被 ...

2875分钟，大概48小时，也就是PPPOE统一释放，至于UDP连接攻击，我倒是不觉得是攻击，而是UDP连接数阈值设置过低，导致P2P业务之类，BT下载时候告警。有个简单判断办法，外网的攻击UPNP是不会建立的，而内网大量的UDP连接，一般UPNP会建立很多条。另外避免攻击的话，最简单的方法就是禁止外网PING，降低被检测到的概率。

shmily7368

Matrix 发表于 2018-3-7 09:40
2875分钟，大概48小时，也就是PPPOE统一释放，至于UDP连接攻击，我倒是不觉得是攻击，而是UDP连接数阈值设 ...

谢谢大哥指导 那我马上去禁止ping外网吧 有些开了p2p业务确实udp会突破1000 是否需要提高阀值 还有你的意思是运营商主动断开网络吗？

Matrix

shmily7368 发表于 2018-3-7 09:53
谢谢大哥指导 那我马上去禁止ping外网吧 有些开了p2p业务确实udp会突破1000 是否需要提高阀值 还有你的意 ...

提高的是udp_flood攻击防御的阈值，默认太低，我2800都不够用，现在调整到3600勉强够用（你可以调整到2400）。当然如果连接数限制，也要适当调整。