何か (誰か) が、IP 範囲全体から UDP パケットを送信しています。これはマルチキャスト DNS のようです。
当社のサーバーホストから以下が提供されました (当社の IP アドレスは XX でマスクされています)。
Jun 3 11:02:13 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:23 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:32 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:35 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
/var/log/auth.log ファイルを確認したところ、中国から (ip-locator を使用して) 誰かが ssh を使用してサーバーに侵入しようとしていたことがわかりました。
...
Jun 3 11:32:00 server2 sshd[28511]: Failed password for root from 202.100.108.25 port 39047 ssh2
Jun 3 11:32:08 server2 sshd[28514]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25 user=root
Jun 3 11:32:09 server2 sshd[28514]: Failed password for root from 202.100.108.25 port 39756 ssh2
Jun 3 11:32:16 server2 sshd[28516]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25 user=root
...
このコマンドを使用して、その IP アドレスをブロックしました: sudo iptables -A INPUT -s 202.100.108.25 -j DROP
しかし、UDP マルチキャストについては全く分かりません。何がこれを実行しているのでしょうか? 誰が実行しているのでしょうか? また、どうすればこれを停止できるのでしょうか?
誰か知ってますか?
答え1
正直に言うと、なぜわざわざそんなことをするのでしょうか? ほとんどのサーバーでは、1 日に何百ものスキャンとログイン試行が行われます。すべてを手動でブロックするのは不可能です。
ファイアウォールは正常に機能しているようです。結局、不要なトラフィックをブロックしているのです。
不要なサービスを実行していないことを確認してください。利用できるサービスが少ないほど、侵入される可能性も少なくなります。
SSH を保護するには、root によるログインを拒否するように SSH を構成してください。すべての SSH アカウントのパスワードが強力であることを確認してください。拒否ホストログイン試行が数回失敗すると IP が自動的にブロックされます (非常に便利です)。ただし、自分の IP 範囲をホワイトリストに登録しておかないと、自分自身がロックアウトされる危険があります。また、ほとんどの攻撃はポート 22 のみを試行するため、別のポートで SSH を実行することも非常に効果的です。
サービスや帯域幅に影響がある場合にのみ、対処してください。トラフィックの送信元であるネットブロックの所有者を whois で確認し、所有者の Abuse アドレスに明確かつ友好的な苦情を申し立ててください。適切な時間内に返信がない場合は、ISP などに問い合わせてください。
答え2
第三者があなたの IP アドレスを偽装するのを阻止するためにできることはあまりありません。これは、あなたの送信元アドレスを偽装したスパムのようなものです。できることはすべて、あなたのマシンの前にある ISP のファイルウォールで既に実行されている可能性があります。
ただし、ssh ログイン試行をより簡単にブロックできます。拒否ホスト(私はすべてのサーバーでこれを使用しています)、または同様のもの失敗2バン(SSH だけでなく) ログファイルをスキャンし、ログイン試行回数が多すぎる場合は IP アドレスをブロックします (通常は DenyHosts と同じように、IP アドレスを /etc/hosts.deny に追加します)
答え3
UDP ではソース アドレスを簡単に偽装できるため、パケットはどこからでも送信される可能性があります。誰かがあなたのブロードキャスト アドレス宛てのパケットを偽造している可能性があります。ポート 5353 の受信と送信をフィルターします。マルチキャスト DNS はローカルである必要があります。ファイアウォールでブロードキャスト アドレスをフィルターします。ターゲット アドレスへの送信トラフィックをフィルターして、トラフィックの送信元があなたではないことを確認します。
これは、昨年 DNS で実行された増幅攻撃と非常によく似ています。これらはソース アドレスを偽造して実行されました。この場合、実際のターゲットはあなたです。