Nuestro firewall* está cerrando nuestra conexión E1. Ocurre de forma intermitente cada pocos días.
Encuentro entradas de registro como esta casi al mismo tiempo que el abandono:
Jun 2 09:53:35 sg580 kernel: Flood - dropped: IN=eth1 OUT= MAC=00:d0:cf:04:7c:13:00:15:2b:ff:97:68:08:00 SRC=61.162.229.252 DST=221.133.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0
¡Siempre desde la misma ip SRC también!
¿Estamos siendo atacados por DOS?
¿Qué podemos hacer al respecto?
Gracias,
ashley
*Nuestro firewall es un SnapGear SG580
Respuesta1
Malicioso o no -esun ataque de DOS, pero, en el mejor de los casos, un ataque difícil.
Observe que el indicador SYN está configurado, es decir, está intentando establecer una nueva conexión a su IP en el puerto 1433. Suena como un servicio MS SQL.
Hay vulnerabilidades para ese servicio, por lo que es probable que se trate de algún patético script-kid que intenta ser l33t.
Echa un vistazo aPágina de SAN sobre vulnerabilidades del puerto 1433...
Tenga en cuenta quees- mucho - es posible realizar un ataque DOS desde un solo host, a pesar del comentario anterior realizado. Depende del servicio y de la vulnerabilidad, no del hecho de que sea de 1 host o de varios.
Por ejemplo, si 1 unidad de ataque causa 5 unidades de desperdicio de recursos, entonces tal vez el ataque funcionaría mejor usando 100 hosts; sin embargo, si 1 unidad de ataque puede causar 100,000 unidades de desperdicio de recursos, entonces 1 host es más que suficiente.
Finalmente, observe que la dirección IP de la fuente es de China, Beijing. ¿Es probable que reciba una conexión MS SQL a una velocidad elevada desde Beijing? =)
Respuesta2
Técnicamente, uno usaría DDoS (Denegación de servicio distribuida) para describir un ataque DoS desde múltiples IP de origen, pero es casi imposible causar una condición de Denegación de servicio cuando se inunda desde una sola IP, sin mencionar que ocurre solo cada pocos días. . Entonces no, yo no lo llamaría un ataque DoS.
Yo diría que lo bloquees y veas cómo van las cosas.
Ehtyar.
Respuesta3
Podría ser un problema de configuración en la máquina en cuestión que hace que envíe una inundación. Podría ser un problema de configuración del enrutador o de la red. O podría ser algo hostil. Depende de si proviene de dentro o fuera de su red. Parece que proviene de fuera de su red. En este caso, estoy de acuerdo con Ehtyar Holmes y le digo que lo bloquee y vea qué pasa. Si se trata de alguien que puede conectarse legítimamente a su red, pero que tiene algún problema con su computadora, entonces puede comunicarse con usted. Si se trata de alguien hostil, con suerte te dejarán en paz.