Algo (alguien) está enviando paquetes UDP desde todo nuestro rango de IP. Esto parece ser DNS de multidifusión.
Nuestro servidor proporcionó esto (nuestra dirección IP está enmascarada con XX):
Jun 3 11:02:13 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:23 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:32 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:35 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Revisé mi archivo /var/log/auth.log y descubrí que alguien de China (usando ip-locator) estaba intentando ingresar al servidor usando ssh.
...
Jun 3 11:32:00 server2 sshd[28511]: Failed password for root from 202.100.108.25 port 39047 ssh2
Jun 3 11:32:08 server2 sshd[28514]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25 user=root
Jun 3 11:32:09 server2 sshd[28514]: Failed password for root from 202.100.108.25 port 39756 ssh2
Jun 3 11:32:16 server2 sshd[28516]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25 user=root
...
He bloqueado esa dirección IP usando este comando: sudo iptables -A INPUT -s 202.100.108.25 -j DROP
Sin embargo, no tengo idea acerca de la multidifusión UDP, ¿qué está haciendo esto? ¿quién lo está haciendo? ¿Y cómo puedo detenerlo?
¿Nadie sabe?
Respuesta1
Francamente, ¿por qué molestarse? La mayoría de los servidores realizan cientos de escaneos e intentos de inicio de sesión por día. Es simplemente imposible bloquearlos a todos manualmente.
Su firewall parece estar haciendo su trabajo. Después de todo, está bloqueando el tráfico no deseado.
Asegúrese de no ejecutar ningún servicio innecesario. Cuanto menos haya disponibles, menos habrá para entrar.
Para proteger SSH: asegúrese de configurar SSH para denegar el inicio de sesión mediante root. Verifique que las contraseñas de todas las cuentas SSH sean seguras.Denegar hostsbloqueará automáticamente las IP después de algunos intentos fallidos de inicio de sesión (muy útil), pero asegúrese de incluir en la lista blanca su propio rango de IP o correrá el riesgo de que lo bloqueen. También es muy efectivo ejecutar SSH en un puerto diferente, ya que la mayoría de los ataques solo prueban el puerto 22.
Solo tomaría medidas cuando afecte sus servicios o ancho de banda. Verifique el whois del propietario del bloque de red del que proviene el tráfico y proporcione una queja clara y amigable a la dirección de Abuso del propietario. Si no responden en un tiempo razonable, acude a su ISP, etc.
Respuesta2
No hay mucho que puedas hacer para evitar que un tercero falsifique tu dirección IP; es como spam con tu dirección De. Todo lo que se puede hacer ya se puede hacer con el filewall de su ISP frente a su máquina.
Sin embargo, puedes bloquear más fácilmente los intentos de inicio de sesión ssh.Denegar hosts(que uso en todos mis servidores), o similarfalla2ban(no solo SSH) ambos archivos de registro de escaneo y después de 'demasiados' intentos de iniciar sesión, bloquearán la dirección IP (normalmente hago lo que hace DenyHosts y agrego direcciones IP a /etc/hosts.deny)
Respuesta3
UDP es fácil de falsificar la dirección de origen, los paquetes pueden provenir de cualquier lugar. Alguien podría estar falsificando un paquete dirigido a su dirección de transmisión. Filtre el puerto 5353 entrante y saliente, el DNS de multidifusión debe ser local. Filtre la dirección de transmisión en su firewall. Filtre el tráfico saliente a la dirección de destino para asegurarse de que no sea usted quien envíe el tráfico.
Esto se parece sospechosamente a los ataques de amplificación que se ejecutaron en DNS el año pasado. Eso se hizo falsificando la dirección de origen. Si este es el caso, tú eres el verdadero objetivo.