内网上百台 ecs，路由器是 ros，最近发现路由器里有大量 ntp 连接，内网扫描还是攻击，怎么找出元凶

有一点像 DRDos。

楼主意思是有人在内网发动 ntp 反射放大攻击？

提供的信息太模糊，看看 ntp 的 udp 包大量流入还是大量流出到外网

二分法试试？

即使 IP 地址可以用随机,但是 mac 只能在同一个二层网传播。

抓一下包。先从 mac 地址来判断是外网发起攻击，还是从内网发起攻击。

至少看一下目标 mac(源 MAC 我也可以伪造)就知道是内网，还是外网了。

建议关闭 ntp 服务，或者用 ros 自带的防火墙屏蔽之。

如果你既不想封 NTP，也像对内网开放 NTP。

采用 qos 功能来减缓攻击带来的损失

先 manage 标记 udp 123 端口的数据包,然后分类，在设置个小队列 sfq(随机公平队列)，设置在内网 in 方向过来的包策略上。

当别人从内网攻击你路由器 ntp 发起请求 DOS 攻击时，因为 QOS 的作用，可以抑制带宽到一定的量，且采用随机公平队列。正常用户的 NTP 请求也有可能能正常发到路由器上，由路由器受理，但几率不受控制。

不过这事治标不治本的方法，
最好在对方发起攻击的时候观察交换机端口的流量，然后抓包，或者采用 sflow,netflow 技术等收集 4 层信息。这样可以准确抓出交换机哪个物理接口，发送了大量 UDP 123 端口的报文。

哦，对了，
非网管的低端交换机别指望支持 sflow,netflow 之类的技术

@mrzx mac 地址是伪造的 eeffffffffff，阿里云内网 vpc 没有交换机。。。完全关闭 ntp 是不行的，看来只能 ros 控制控制了。另外有没有可能 ros 被攻破了，实际上就是 ros 自己发的呢？怎么看 ros 的进程呢

用的是二层广播地址咯，那难怪呢。

ros 正版的话，正常情况，这个软路由有自己的一套 shell,
这套 shell 是不会自动调用 /bin /sbin 目录下的任何二进制小工具，权限也卡的非常死，你拿不到 linux 的常用的 bash shell 来进行操作的。

1.ros 破解有 2 种方式，一种安装好了，类似用 pe 的方式启动，引导，加载原装有 ros 的硬盘，在原有系统上修改。你除非对 ros 的系统很熟悉，不然不好改，可以尝试修改用户默认登陆 shell 的类型。至少 5.x 以前的版本，硬盘都没有采用加密，可以随时 mount 挂在的，数据也是明文的。

2.如果你装的是盗版的 ros,基本上都留有后门的。你用 nmap 扫一下，可能有开放非 22 的 ssh 端口，而且 root 密码为空.进去直接调用的就是 bash shell.
网上破解的有很多个 ROS 版本，但广为流程，可以为 5.x 破解的俄罗斯 ISO 光盘破解那个默认就存在这种类似漏洞,还有很多所谓别人破解好的 img 版本，里面也存在后门。
计算用破解的 ROS，我劝你用俄罗斯那个破解方式，至少后门已经公布好久了。别人破解好的改版 ros,不知道还弄出了什么幺蛾子。
我当时也是公司内网做安全扫描的时候无意间发现的。

破解的 ros 被黑，没遇到过，这个后门可能是我当时发现的比较及时，没造成什么影响。

抱歉，手打有误，有错别字。这该死的拼音输入法。

@trepwq 还有，有点不对啊，全二层广播应该 F 打头的啊。eeffffffffff 怎么前面会有 2 个 ee?这个前面 24bit 通常作为厂家标识符

@mrzx 最新正版 chr 版的 ros。确实是 ee 开头的 mac，另一个 mac 地址是路由器网卡 mac

看来用 ros 的 v 友不少呀。

@mrzx 多谢提醒。前天在网上安装的破解版确实留有后门

@g079708 正常，小心一点，黑了你的路由器不要紧，怕就是拿它当跳板访问你内部的资源就更方便了。