本校[163.20.169.2]主機疑似攻擊事件警訊

事件類型 對外攻擊 發現時間 2014-12-29 06:36:00
事件主旨 教育部資安事件通告-新北市三重區碧華國民小學[163.20.169.2]主機疑似攻擊事件警訊通知
事件描述 由於來源IP所發送的攻擊封包內容具有明確攻擊行為,且符合入侵偵測系統特徵值而被阻擋。本中心研判來源IP疑似進行可疑行為而持續對目標IP進行攻擊。由於攻擊封包數量已達到告警臨界值,且事件資安風險程度較高,並會嚴重消耗網路頻寬與降低整體網路連線品質,而被本中心列入監控通報事件。 入侵偵測防禦系統偵測到來源IP(163.20.169.2)短時間內發送至少一種中、高風險等級的攻擊封包,針對目標IP(173.51.105.34)進行攻擊,且連線內容已被阻擋。

處理過程:

  • 主要攻擊行為:利用DNS伺服器對外開放弱點,對外發動DDoS攻擊。
  • 163.20.169.2 原為本校電腦教室主要對外 DNS,架設於 iChip 上,該伺服器原廠已不復存在,系統不再提供更新服務,因而存在此弱點。
  • 將該服務停止,不再提供服務,直接共用本校主要對外 DNS。
  • 修改四間電腦教室 Phantosys 伺服器的IP設定,及其DHCP服務中 IP 配發相關設定。