Unsere E1-Verbindung wird von unserer Firewall* geschlossen. Dies geschieht zeitweise alle paar Tage.
Etwa zur gleichen Zeit wie der Abbruch finde ich Protokolleinträge wie diesen:
Jun 2 09:53:35 sg580 kernel: Flood - dropped: IN=eth1 OUT= MAC=00:d0:cf:04:7c:13:00:15:2b:ff:97:68:08:00 SRC=61.162.229.252 DST=221.133.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0
Und immer von der gleichen SRC-IP!
Werden wir einem DOS-Angriff ausgesetzt?!
Was können wir dagegen tun?
Danke,
Ashley
*Unsere Firewall ist eine SnapGear SG580
Antwort1
Bösartig oder nicht - esIstein DOS-Angriff - aber bestenfalls ein übertriebener.
Beachten Sie, dass das SYN-Flag gesetzt ist, d. h. es wird versucht, auf Port 1433 eine neue Verbindung zu Ihrer IP herzustellen – klingt nach einem MS SQL-Dienst.
Dieser Dienst weist Schwachstellen auf, daher handelt es sich vermutlich um einen erbärmlichen Script-Kiddy, der versucht, l33t zu sein.
Schauen Sie sich dieSANs-Seite zu Schwachstellen an Port 1433...
Beachten Sie, dass esIst- sehr wohl - trotz des vorherigen Kommentars ist es möglich, einen DOS-Angriff von einem einzelnen Host aus durchzuführen. Es hängt vom Dienst und der Sicherheitslücke ab, nicht davon, ob es von einem oder mehreren Hosts ausgeht.
Wenn beispielsweise eine Angriffseinheit eine Ressourcenverschwendung von 5 Einheiten verursacht, wäre der Angriff möglicherweise mit 100 Hosts erfolgreicher. Wenn jedoch eine Angriffseinheit eine Ressourcenverschwendung von 100.000 Einheiten verursachen kann, ist 1 Host mehr als ausreichend.
Beachten Sie schließlich, dass die IP-Adresse der Quelle aus China, Peking, stammt. Ist es wahrscheinlich, dass Sie eine MS SQL-Verbindung mit hoher Geschwindigkeit aus Peking erhalten? =)
Antwort2
Technisch gesehen würde man DDoS (Distributed Denial of Service) verwenden, um einen DoS-Angriff von mehreren Quell-IPs zu beschreiben, aber es ist fast unmöglich, tatsächlich einen Denial-of-Service-Zustand zu verursachen, wenn man nur von einer einzigen IP überflutet wird, ganz zu schweigen davon, dass dies nur alle paar Tage vorkommt. Also nein, ich würde es nicht als DoS-Angriff bezeichnen.
Ich würde sagen, blockiere ihn und schau, wie es läuft.
Ehtyar.
Antwort3
Es könnte ein Konfigurationsproblem auf dem betreffenden Computer sein, das dazu führt, dass er eine Flut sendet. Es könnte ein Router- oder Netzwerkkonfigurationsproblem sein. Oder es könnte etwas Feindseliges sein. Es hängt davon ab, ob es von innerhalb oder außerhalb Ihres Netzwerks kommt. Es sieht so aus, als käme es von außerhalb Ihres Netzwerks. In diesem Fall stimme ich Ehtyar Holmes zu und sage, blockieren Sie es und sehen Sie, was passiert. Wenn es jemand ist, der sich legitim mit Ihrem Netzwerk verbinden kann, aber ein Problem mit seinem Computer hat, dann wird er Sie möglicherweise kontaktieren. Wenn es jemand Feindseliges ist, wird er Sie hoffentlich in Ruhe lassen.