누군가(누군가)가 전체 IP 범위에서 전송된 UDP 패킷을 보내고 있습니다. 멀티캐스트 DNS인 것 같습니다.
우리 서버 호스트는 이것을 제공했습니다(우리 IP 주소는 XX로 가려져 있습니다):
Jun 3 11:02:13 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:23 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:32 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:35 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
내 /var/log/auth.log 파일을 확인한 결과 중국의 누군가(ip-locator 사용)가 ssh를 사용하여 서버에 로그인을 시도하고 있음을 발견했습니다.
...
Jun 3 11:32:00 server2 sshd[28511]: Failed password for root from 202.100.108.25 port 39047 ssh2
Jun 3 11:32:08 server2 sshd[28514]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25 user=root
Jun 3 11:32:09 server2 sshd[28514]: Failed password for root from 202.100.108.25 port 39756 ssh2
Jun 3 11:32:16 server2 sshd[28516]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25 user=root
...
다음 명령을 사용하여 해당 IP 주소를 차단했습니다. sudo iptables -A INPUT -s 202.100.108.25 -j DROP
그러나 UDP 멀티캐스팅에 대해서는 전혀 모릅니다. 이것은 무엇을 하는 것입니까? 누가 그 일을 하고 있나요? 어떻게 막을 수 있나요?
아는 사람 있나요?
답변1
솔직히, 왜 귀찮게 합니까? 대부분의 서버는 하루에 수백 번의 검색과 로그인 시도를 받습니다. 수동으로 모두 차단하는 것은 불가능합니다.
방화벽이 제 역할을 하고 있는 것 같습니다. 결국 원치 않는 트래픽을 차단하는 것입니다.
불필요한 서비스를 실행하지 않는지 확인하세요. 사용할 수 있는 것이 적을수록 침입할 수 있는 것도 줄어듭니다.
SSH를 보호하려면: 루트 로그인을 거부하도록 SSH를 구성해야 합니다. 모든 SSH 계정의 비밀번호가 강력한지 확인하세요.거부 호스트몇 번의 로그인 시도 실패 후 자동으로 IP를 차단하지만(매우 유용함) 자신의 IP 범위를 화이트리스트에 추가했는지 확인하세요. 그렇지 않으면 스스로 잠길 위험이 있습니다. 또한 대부분의 공격은 포트 22만 시도하므로 다른 포트에서 SSH를 실행하는 것도 매우 효과적입니다.
귀하의 서비스나 대역폭에 영향을 미칠 때만 조치를 취하겠습니다. 트래픽이 발생하는 넷블록의 소유자가 누구인지 확인하고 소유자의 Abuse 주소에 명확하고 우호적인 불만 사항을 제출하세요. 적절한 시간 내에 응답하지 않으면 해당 ISP 등에 문의하세요.
답변2
제3자가 귀하의 IP 주소를 스푸핑하는 것을 막기 위해 귀하가 할 수 있는 일은 많지 않습니다. 이는 보낸 사람 주소를 스팸으로 보내는 것과 같습니다. 수행할 수 있는 모든 작업은 이미 귀하의 컴퓨터 앞에 있는 ISP의 파일월을 통해 수행되었을 수도 있습니다.
하지만 SSH 로그인 시도를 더 쉽게 차단할 수 있습니다.거부 호스트(내 모든 서버에서 사용함) 또는 이와 유사한 것실패2금지(SSH뿐만 아니라) 로그 파일을 검색하고 '너무 많은' 로그인 시도 후에는 IP 주소를 차단합니다. (저는 일반적으로 DenyHosts가 하는 대로 수행하고 IP 주소를 /etc/hosts.deny에 추가합니다.)
답변3
UDP는 소스 주소를 스푸핑하기 쉽고 패킷은 어디에서나 들어올 수 있습니다. 누군가가 귀하의 브로드캐스트 주소로 패킷을 위조하고 있을 수 있습니다. 필터 포트 5353 수신 및 발신, 멀티캐스트 DNS는 로컬이어야 합니다. 방화벽에서 브로드캐스트 주소를 필터링합니다. 귀하가 트래픽을 보내는 사람이 아닌지 확인하기 위해 대상 주소로 나가는 트래픽을 필터링합니다.
이는 작년에 DNS에서 실행된 증폭 공격과 의심스러워 보입니다. 이는 소스 주소를 위조하여 수행되었습니다. 그렇다면 당신은 진짜 표적이다.