방화벽*에 의해 E1 연결이 닫히고 있습니다. 며칠에 한번씩 간헐적으로 발생합니다.
드롭아웃과 거의 동시에 다음과 같은 로그 항목을 찾았습니다.
Jun 2 09:53:35 sg580 kernel: Flood - dropped: IN=eth1 OUT= MAC=00:d0:cf:04:7c:13:00:15:2b:ff:97:68:08:00 SRC=61.162.229.252 DST=221.133.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0
항상 동일한 SRC IP에서도 사용됩니다!
우리가 DOS 공격을 받고 있나요?!
이에 대해 우리는 무엇을 할 수 있나요?
감사해요,
애쉴리
*저희 방화벽은 SnapGear SG580입니다.
답변1
악의적이든 아니든 - 그것~이다DOS 공격이지만 최선을 다해 시도하는 공격입니다.
SYN 플래그가 설정되어 있습니다. 즉, 포트 1433에서 IP에 대한 새 연결을 설정하려고 합니다. MS SQL 서비스처럼 들립니다.
해당 서비스에는 취약점이 있으므로 l33t가 되려는 한심한 스크립트 키디일 가능성이 높습니다.
다음을 살펴보세요.포트 1433 취약점에 대한 SAN 페이지...
참고하세요~이다- 아주 그렇습니다 - 이전 설명에도 불구하고 단일 호스트에서 DOS 공격을 수행하는 것이 가능합니다. 이는 서비스 및 취약점에 따라 달라지며 호스트가 하나 또는 여러 개라는 사실이 아닙니다.
예를 들어, 1개의 공격 단위로 5개의 자원 낭비가 발생한다면 100개의 호스트를 사용하면 공격이 더 잘 수행될 수 있지만, 1개의 공격 단위로 100,000개의 자원 낭비가 발생할 수 있다면 1개의 호스트가 그 이상입니다. 충분한.
마지막으로 소스의 IP 주소가 중국 베이징이라는 점에 유의하세요. 베이징에서 높은 속도로 MS SQL 연결을 수신해야 할 가능성이 있습니까? =)
답변2
기술적으로 DDoS(분산 서비스 거부)를 사용하여 여러 소스 IP의 DoS 공격을 설명하지만 단일 IP에서만 플러딩이 발생하는 경우 실제로 서비스 거부 조건을 유발하는 것은 거의 불가능하며 며칠에 한 번씩 발생합니다. . 아니요. 저는 이를 DoS 공격이라고 부르지 않습니다.
그 사람을 차단하고 일이 어떻게 되는지 지켜봐야겠어요.
Ehtyar.
답변3
해당 시스템의 구성 문제로 인해 플러드가 발생할 수 있습니다. 라우터 또는 네트워크 구성 문제일 수 있습니다. 아니면 적대적인 것일 수도 있습니다. 네트워크 내부에서 들어오는지 외부에서 들어오는지에 따라 다릅니다. 네트워크 외부에서 들어오는 것 같습니다. 이 경우 나는 Ehtyar Holmes의 의견에 동의하고 차단하고 무슨 일이 일어나는지 확인하라고 말합니다. 귀하의 네트워크에 합법적으로 연결할 수 있지만 컴퓨터에 문제가 있는 사람이 귀하에게 연락할 수도 있습니다. 적대적인 사람이라면 당신을 내버려두기를 바랍니다.