Irgendwas (jemand) sendet UDP-Pakete aus unserem gesamten IP-Bereich. Dies scheint Multicast-DNS zu sein.
Unser Server-Host hat dies bereitgestellt (unsere IP-Adresse ist mit XX maskiert):
Jun 3 11:02:13 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:23 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:32 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:35 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Ich habe meine Datei /var/log/auth.log überprüft und herausgefunden, dass jemand aus China (mithilfe eines IP-Locators) versucht hat, per SSH auf den Server zuzugreifen.
...
Jun 3 11:32:00 server2 sshd[28511]: Failed password for root from 202.100.108.25 port 39047 ssh2
Jun 3 11:32:08 server2 sshd[28514]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25 user=root
Jun 3 11:32:09 server2 sshd[28514]: Failed password for root from 202.100.108.25 port 39756 ssh2
Jun 3 11:32:16 server2 sshd[28516]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25 user=root
...
Ich habe diese IP-Adresse mit diesem Befehl blockiert: sudo iptables -A INPUT -s 202.100.108.25 -j DROP
Ich habe jedoch keine Ahnung vom UDP-Multicasting. Was macht das? Wer macht das? Und wie kann ich es stoppen?
Weiß jemand?
Antwort1
Ehrlich gesagt, warum sich die Mühe machen? Die meisten Server erhalten täglich Hunderte von Scans und Anmeldeversuchen. Es ist einfach unmöglich, sie alle manuell zu blockieren.
Ihre Firewall scheint ihre Aufgabe zu erfüllen. Schließlich blockiert sie den unerwünschten Datenverkehr.
Stellen Sie sicher, dass Sie keine unnötigen Dienste ausführen. Je weniger Dienste verfügbar sind, desto weniger können angegriffen werden.
So sichern Sie SSH: Stellen Sie sicher, dass Sie SSH so konfigurieren, dass die Anmeldung durch Root verweigert wird. Stellen Sie sicher, dass die Passwörter aller SSH-Konten stark sind.Denyhostsblockiert IPs automatisch nach einigen fehlgeschlagenen Anmeldeversuchen (sehr nützlich), aber stellen Sie sicher, dass Sie Ihren eigenen IP-Bereich auf die Whitelist setzen, sonst besteht das Risiko, dass Sie selbst ausgesperrt werden. Ebenfalls sehr effektiv ist es, SSH auf einem anderen Port laufen zu lassen, da die meisten Angriffe nur Port 22 versuchen.
Ich würde nur dann Maßnahmen ergreifen, wenn es Ihre Dienste oder Bandbreite beeinträchtigt. Überprüfen Sie den Whois-Status des Besitzers des Netzblocks, aus dem der Datenverkehr kommt, und senden Sie eine klare und freundliche Beschwerde an die Missbrauchsadresse des Besitzers. Wenn dieser nicht innerhalb einer angemessenen Zeit antwortet, wenden Sie sich an seinen ISP usw.
Antwort2
Sie können nicht viel tun, um zu verhindern, dass Dritte Ihre IP-Adresse fälschen – das ist wie Spam mit Ihrer Absenderadresse. Alles, was getan werden kann, wird möglicherweise bereits mit der Filewall Ihres ISPs vor Ihrem Computer getan.
Sie können SSH-Anmeldeversuche jedoch einfacher blockieren.Denyhosts(das ich auf allen meinen Servern verwende) oder ein ähnlichesFehler2Ban(nicht nur SSH) beide scannen die Logdatei(en) und blockieren nach „zu vielen“ Anmeldeversuchen die IP-Adresse (ich mache es normalerweise wie DenyHosts und füge IP-Adressen zu /etc/hosts.deny hinzu)
Antwort3
Bei UDP kann die Quelladresse leicht gefälscht werden, Pakete könnten von überall her kommen. Jemand könnte ein Paket an Ihre Broadcast-Adresse fälschen. Filtern Sie Port 5353 für eingehende und ausgehende Daten, Multicast-DNS sollte lokal sein. Filtern Sie die Broadcast-Adresse Ihrer Firewall. Filtern Sie ausgehenden Datenverkehr an die Zieladresse, um sicherzustellen, dass Sie nicht derjenige sind, der den Datenverkehr sendet.
Dies sieht verdächtig nach den Amplification-Angriffen aus, die letztes Jahr auf DNS ausgeführt wurden. Dabei wurde die Quelladresse gefälscht. Wenn dies der Fall ist, sind Sie das eigentliche Ziel.