急。。。Help,從昨天Mail 一直被攻擊,有人知道如何解嗎?謝謝

 
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server)
上一篇文章 :: 下一篇文章  
發表人 內容
liwaiy
一級


註冊時間: 2003-09-24
文章: 24
來自: 台灣 , 中華民國

發表發表於: 星期六 九月 03, 2005 1:41 pm    文章標題: 急。。。Help,從昨天Mail 一直被攻擊,有人知道如何解嗎?謝謝 引言回覆

從昨天晚上到現在MAIL 的SMTP一直被大量連結,照成外部的信件都寄不進來,有前輩知道如何解嗎?

1.已更換mail server 的DNS IP,一樣沒用,判斷是攻擊我的domain Name.
2.用防火牆(netscreen-25)檔source IP,檔了80多個還是沒用,因為太多了,所以放棄。
3.將雷電的SMTP 數量增加到1000還是沒用,感覺是處理不過來。
但雷電看到的session只有150條左右。若不增加正常的mail session 會得到
MAX SMTP SERVICES EXCEEDED, please try again later的訊息。
4.已停了25port 的服務將近7小時,打開一樣攻擊。


5.內部仍可以外寄mail到seednet及hinet mail server ,故暫時排除自己的mail server 及防火牆有異常。雷電的log如下:
[2005/9/3 上午 12:04:09] 211.20.188.103 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:04:09] 210.96.119.1 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:04:09] 202.131.228.182 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:04:09] 210.96.119.1 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:04:09] 202.131.228.182 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:04:09] 210.96.119.1 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:04:09] 211.20.188.103 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:04:09] 63.230.40.222 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:04:09] 211.20.188.103 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:04:09] 61.64.127.201 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:04:09] 218.62.72.44 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:04:09] 210.212.19.132 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:04:09] 218.62.72.44 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:04:09] 61.3.117.10 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:04:18] SMTP 服務接受從 211.23.207.218 來的連線
[2005/9/3 上午 12:04:21] SMTP 服務接受從 211.23.207.218 來的連線
[2005/9/3 上午 12:04:23] SMTP 服務接受從 211.74.175.73 來的連線
[2005/9/3 上午 12:04:24] SMTP 服務接受從 211.74.175.73 來的連線
[2005/9/3 上午 12:04:24] SMTP 服務接受從 211.74.175.73 來的連線
[2005/9/3 上午 12:04:24] SMTP 服務接受從 211.74.175.73 來的連線
[2005/9/3 上午 12:04:24] SMTP 服務接受從 211.74.175.73 來的連線
[2005/9/3 上午 12:04:27] SMTP 服務接受從 211.23.207.218 來的連線
[2005/9/3 上午 12:04:36] SMTP 服務接受從 201.6.66.102 來的連線
[2005/9/3 上午 12:04:39] SMTP 服務接受從 201.6.66.102 來的連線
[2005/9/3 上午 12:04:45] SMTP 服務接受從 201.6.66.102 來的連線
[2005/9/3 上午 12:04:46] SMTP 服務接受從 211.74.175.73 來的連線
[2005/9/3 上午 12:04:47] SMTP 服務接受從 211.74.175.73 來的連線
[2005/9/3 上午 12:04:47] SMTP 服務接受從 211.74.175.73 來的連線
[2005/9/3 上午 12:04:47] SMTP 服務接受從 211.74.175.73 來的連線
[2005/9/3 上午 12:04:47] SMTP 服務接受從 211.74.175.73 來的連線

[2005/9/3 上午 12:05:05] SMTP 服務接受從 218.62.72.44 來的連線
[2005/9/3 上午 12:05:07] SMTP 服務接受從 85.95.61.195 來的連線
[2005/9/3 上午 12:05:09] SMTP 服務接受從 211.74.175.73 來的連線
[2005/9/3 上午 12:05:09] 200.52.163.19 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 210.212.19.132 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 211.185.3.5 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 211.185.3.5 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 218.88.32.241 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 200.171.169.244 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 211.78.35.47 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 210.96.119.1 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 200.171.169.244 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 200.171.26.138 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 218.88.32.241 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 200.171.169.244 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 200.171.26.138 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 61.64.127.201 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 200.171.26.138 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 203.66.56.123 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 80.65.77.196 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 218.88.32.241 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 202.131.228.182 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:09] 218.88.32.241 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:05:20] SMTP 服務接受從 211.74.175.73 來的連線
[2005/9/3 上午 12:05:20] SMTP 服務接受從 211.74.175.73 來的連線
[2005/9/3 上午 12:05:20] SMTP 服務接受從 211.74.175.73 來的連線
[2005/9/3 上午 12:05:20] SMTP 服務接受從 211.74.175.73 來的連線
[2005/9/3 上午 12:05:23] SMTP 服務接受從 218.62.72.44 來的連線
[2005/9/3 上午 12:05:23] SMTP 服務接受從 200.32.121.22 來的連線
[2005/9/3 上午 12:05:28] SMTP 服務接受從 202.39.21.164 來的連線
[2005/9/3 上午 12:05:32] SMTP 服務接受從 211.74.175.74 來的連線
[2005/9/3 上午 12:05:33] SMTP 服務接受從 211.74.175.74 來的連線
[2005/9/3 上午 12:05:33] SMTP 服務接受從 211.74.175.74 來的連線
[2005/9/3 上午 12:05:33] SMTP 服務接受從 211.74.175.74 來的連線
[2005/9/3 上午 12:05:33] SMTP 服務接受從 211.74.175.74 來的連線
[2005/9/3 上午 12:05:35] SMTP 服務接受從 200.79.235.95 來的連線
[2005/9/3 上午 12:05:38] SMTP 服務接受從 200.79.235.95 來的連線
[2005/9/3 上午 12:05:38] SMTP 服務接受從 61.57.227.137 來的連線
[2005/9/3 上午 12:05:38] SMTP 服務接受從 218.62.72.44 來的連線
[2005/9/3 上午 12:05:41] SMTP 服務接受從 218.62.72.44 來的連線
[2005/9/3 上午 12:05:44] SMTP 服務接受從 200.79.235.95 來的連線
[2005/9/3 上午 12:05:44] SMTP 服務接受從 218.62.72.44 來的連線
[2005/9/3 上午 12:05:45] SMTP 服務接受從 61.56.194.8 來的連線
[2005/9/3 上午 12:05:54] SMTP 服務接受從 192.168.1.232 來的連線
[2005/9/3 上午 12:05:56] SMTP 服務接受從 200.79.235.95 來的連線
[2005/9/3 上午 12:05:57] SMTP 服務接受從 200.32.121.22 來的連線
[2005/9/3 上午 12:05:59] SMTP 服務接受從 211.4.241.23 來的連線

[2005/9/3 上午 12:06:02] SMTP 服務接受從 211.20.188.77 來的連線
[2005/9/3 上午 12:06:08] SMTP 服務接受從 200.32.121.22 來的連線
[2005/9/3 上午 12:06:09] 211.20.188.72 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:06:09] 200.171.169.244 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:06:09] 210.243.166.66 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:06:09] 211.20.188.72 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:06:09] 211.20.188.72 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:06:09] 218.88.32.241 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:06:09] 210.212.19.132 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:06:09] 203.66.56.123 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:06:09] 210.96.119.1 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:06:09] 211.185.3.5 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:06:09] 200.171.169.244 因為閒置 SMTP 過久而強迫中斷其連線
[2005/9/3 上午 12:06:17] SMTP 服務接受從 210.103.16.1 來的連線
[2005/9/3 上午 12:06:19] SMTP 服務接受從 210.96.119.1 來的連線
[2005/9/3 上午 12:06:20] SMTP 服務接受從 200.79.235.95 來的連線
[2005/9/3 上午 12:06:29] SMTP 服務接受從 210.212.19.132 來的連線
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期日 九月 04, 2005 12:08 am    文章標題: 引言回覆

分享器有那種防DDOS 攻擊的功能?
有些分享器有這種功能, 你可以找找看.
若沒有的話, 你除了加大SMTP max connection 以確保還能正常使用,
不致於被塞爆連線數而停止服務之外, 還是得從防火牆對 IP 加以防治.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
yunglily
一級


註冊時間: 2004-10-19
文章: 8
來自: 中華民國

發表發表於: 星期一 九月 19, 2005 11:01 am    文章標題: 應該可以將該ip 加入限制名單中 引言回覆

在基本設訂裡的IP限制設定,將這些IP打入拒絕清單,進來就直接趕出去。
_________________
Win2008 Server
Quad-Core Intel® Xeon® 5400 Series CPU*2 4G RAM
HDD 250GB * 2
HiNet ADSL 1M/1M 16IP
RaidenMAILD
回頂端
檢視會員個人資料 發送私人訊息
從之前的文章開始顯示:   
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server) 所有的時間均為 台北時間 (GMT + 8 小時)
1頁(共1頁)

 
前往:  
無法 在這個版面發表文章
無法 在這個版面回覆文章
無法 在這個版面編輯文章
無法 在這個版面刪除文章
無法 在這個版面進行投票


Powered by phpBB © 2001-2007 phpBB Group