网站被流量攻击, 攻击 ip 竟然有 youku 的,

2014-03-08 18:53:27 +08:00
 edwinlai
这个ip固定几十M tcp流量进来,一直不停,源端口还是80 看外面感觉像我的ip下载youku的数据
在硬件防火墙屏蔽这个ip,然后把网站的ip地址也改了,旧ip不用了,这个220.181.185.144 还是不断进来连接旧ip,
这是什么情况
ping zw-t-c.youku.com
PING zw-t-c.youku.com (220.181.185.144) 56(84) bytes of data.
64 bytes from 220.181.185.144: icmp_seq=0 ttl=244 time=34.6 ms
64 bytes from 220.181.185.144: icmp_seq=1 ttl=244 time=34.9 ms

网络记录
ip 220.181.185.144
Aggregated flows 32768
Top 10 flows ordered by flows:
Date flow start Duration Proto Src IP Addr Src Pt Dst IP Addr Dst Pt Packets Bytes
2014-03-06 22:25:52.515 2333.215 TCP 220.181.185.144 80 x.x.x.x 54130 1266 55704
2014-03-06 22:25:54.547 2327.107 TCP 220.181.185.144 80 x.x.x.x 40999 1256 55264
2014-03-06 22:25:56.292 2326.881 TCP 220.181.185.144 80 x.x.x.x 10242 1252 55088
2014-03-06 22:25:54.686 2325.957 TCP 220.181.185.144 80 x.x.x.x 15124 1233 54252
2014-03-06 22:25:54.952 2324.662 TCP 220.181.185.144 80 x.x.x.x 40984 1237 54428
2014-03-06 22:25:53.535 2332.460 TCP 220.181.185.144 80 x.x.x.x 10562 1218 53592
2014-03-06 22:25:56.073 2326.012 TCP 220.181.185.144 80 x.x.x.x 29768 1226 53944
2014-03-06 22:25:53.098 2324.728 TCP 220.181.185.144 80 x.x.x.x 11346 1222 53768
2014-03-06 22:25:56.531 2315.809 TCP 220.181.185.144 80 x.x.x.x 61492 1224 53856
2014-03-06 22:25:57.023 2327.846 TCP 220.181.185.144 80 x.x.x.x 56445 1215 53460
Summary: total flows: 16894264, total bytes: 1.5 G, total packets: 34.7 M, avg bps: 5.2 M, avg pps: 14845, avg bpp: 43
Time window: 2014-03-06 21:40:04 - 2014-03-06 23:04:46
3755 次点击
所在节点    问与答
7 条回复
niseter
2014-03-08 20:29:22 +08:00
给人感觉就俩(纯属外行瞎猜)
1.youku其中的服务器给人。。。
2.LZ被中间人攻击了
AstroProfundis
2014-03-08 20:35:14 +08:00
其实...要不要检查下你的服务器上是不是真的在下载优酷的视频...
edwinlai
2014-03-08 21:44:37 +08:00
@AstroProfundis 检查过了, 不会是下载,服务器交换机端口限速5M,防火墙检查流量有20M, 即使换一个网段, 流量还在攻击, 这个攻击策略挺好的, 一直占用你的出口, 还没地方投诉, 除了这个ip,还有其他ip

怀疑会不会伪装ip,
MrMario
2014-03-09 08:19:43 +08:00
瞎猜一个啊,是不是攻击者伪装成你的ip向youku提交请求,然后youku就把包发你那儿去了?

持续关注,望路过的大牛解惑:)
edwinlai
2014-03-09 09:38:32 +08:00
@MrMario 早上观察了一下, 流量还在继续涌进,大概连续2天,我这端ip没在使用状态, 对我们网络影响不是很大, 而且网站已经转移别的网络去
MrMario
2014-03-09 10:33:30 +08:00
@edwinlai
吓!谁这么无聊啊
其实,我对攻击原理挺好奇的:P
edwinlai
2014-03-09 12:15:07 +08:00
@MrMario 我也很好奇
还发现一个百度地图ip 111.206.37.xx

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/103443

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX