E1 接続がファイアウォールによって閉じられています*。これは数日おきに断続的に発生します。
ドロップアウトとほぼ同時期に、次のようなログ エントリが見つかりました。
Jun 2 09:53:35 sg580 kernel: Flood - dropped: IN=eth1 OUT= MAC=00:d0:cf:04:7c:13:00:15:2b:ff:97:68:08:00 SRC=61.162.229.252 DST=221.133.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0
常に同じ SRC IP からのものになります。
DOS攻撃を受けているのでしょうか?
これについて何ができるでしょうか?
ありがとう、
アシュリー
*当社のファイアウォールはSnapGear SG580です
答え1
悪意があるかどうかは別として、はDOS 攻撃 - せいぜい頑張った攻撃だ。
SYN フラグが設定されていることに注意してください。つまり、ポート 1433 で IP への新しい接続を確立しようとしているということです。これは MS SQL サービスのようです。
そのサービスには脆弱性があるため、l33t になろうとしている哀れなスクリプト キディがいる可能性があります。
見てみましょうポート 1433 の脆弱性に関する SAN ページ...
注意してくださいは前のコメントに反して、単一のホストから DOS 攻撃を実行することは可能です。これは、サービスと脆弱性に依存し、1 つのホストからか複数のホストからかは関係ありません。
たとえば、1 単位の攻撃で 5 単位のリソースが浪費される場合、100 台のホストを使用した方が攻撃の効率が上がる可能性があります。ただし、1 単位の攻撃で 100,000 単位のリソースが浪費される場合は、1 台のホストで十分です。
最後に、ソースの IP アドレスが中国の北京であることに注目してください。北京から MS SQL 接続を高頻度で受信している可能性は高いでしょうか? =)
答え2
技術的には、複数のソース IP からの DoS 攻撃を説明するために DDoS (分散型サービス拒否) を使用しますが、1 つの IP からのフラッディングで実際にサービス拒否状態を引き起こすことはほぼ不可能であり、数日に 1 回しか発生しません。したがって、これを DoS 攻撃と呼ぶことはできません。
彼をブロックして、どうなるか見てみましょう。
エフティアル。
答え3
問題のマシンの設定に問題があり、それがフラッド送信を引き起こしている可能性があります。ルーターまたはネットワークの設定の問題である可能性があります。または、悪意のあるものである可能性もあります。ネットワークの内部から送信されているか、外部から送信されているかによって異なります。ネットワークの外部から送信されているようです。この場合、Ehtyar Holmes 氏の意見に賛成します。ブロックして、どうなるか見てみましょう。ネットワークに正当に接続できる人であっても、コンピューターに何らかの問題がある場合は、連絡してくる可能性があります。悪意のある人であれば、おそらく放っておいてくれるでしょう。