※ 引述《athenavenus (路过的人)》之铭言：
: Exchange本身是实体机
: 换主机是不太可能的><
: 而且公司不太肯花钱在IT上
: 所以没有其它主机玩具可玩><
: 用的是一般Hub~已换过Hub还是没改善
: Default Gateway则是设定在防火墙上
: Ping的动作已经试过了~断线不是在同一时间点上
: 而且诡异的是~刚开始Ping时回应时间都在个位数
: 持续一段时间后~回应时间回突然暴冲到三位数
这几句话是重点,当ping 值开始撑高,并且掉封包时
我的经验大部份是dos攻击,或者ddns攻击
导致你cpu 拉高,然后由于dns攻击会致使你网络一直被询问
因此当超过一个连线数时,网络撑不住就会开始掉封包
连线数量可以从fw去看,正常一间200人的企业 连线数不应该超过5000
你应该做的是去挡攻击你的ip
我最近在中华数位上spam 被smtp攻击至少是5分钟就一次
所以有开启当连续寄信超过几次就挡掉ip(spam可以设定)
如果是dns攻击则要从 mail server 或fw去挡,这是一门功课
我们家是有sonicwall,一开始我会先观察connection monitor 看有哪些ip一直在要53回应
然后开始看这些ip是由外对内 或由内对外,如果你们家dns是自建(有ad应该都是自建)
就只要给自己人询问就好,对外理论上不用来问你们家dns,应该可以在防火墙的规则上
把这种询问全封了
然后再来就是持续的smtp或pop3攻击,这比较难过虑,不过如果你们家外点人员不多
其实只要看好自己家的ip 然后透过连线数封包,看哪个ip的量大 先挡掉再来看
如果是自己家ip一直量大,就可能要从内部去着手,看谁的电脑被植入后门
然后对你的ms持续的smtp攻击或pop3攻击
另外也有可能你们的server 自己中毒...总之要检查的点不少
还是找一间对邮件或Exchange很熟的厂商协助吧
: 而且开始会掉封包~这时候主机就差不多要重开了><
: 会是因为前端装了Nopam垃圾邮件过滤主机的影响吗@@