Наше соединение E1 закрывается нашим брандмауэром*. Это происходит периодически каждые несколько дней.
Я нахожу записи в журнале, подобные этой, относящиеся примерно к тому же времени, что и вылет:
Jun 2 09:53:35 sg580 kernel: Flood - dropped: IN=eth1 OUT= MAC=00:d0:cf:04:7c:13:00:15:2b:ff:97:68:08:00 SRC=61.162.229.252 DST=221.133.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0
Всегда с одного и того же SRC IP!
Нас атакуют DOS?!
Что мы можем с этим сделать?
Спасибо,
Эшли
*Наш брандмауэр — SnapGear SG580
решение1
Вредоносный или нет - этоявляетсяDOS-атака, но в лучшем случае очень настойчивая.
Обратите внимание, что установлен флаг SYN, т.е. он пытается установить новое соединение с вашим IP-адресом через порт 1433 — похоже на службу MS SQL.
У этой службы есть уязвимости, так что, скорее всего, это какой-то жалкий скрипт-кидди, пытающийся выдать себя за l33t.
Взгляните наСтраница SAN об уязвимостях порта 1433...
Обратите внимание, что этоявляется- очень даже - возможно провести DOS-атаку с одного хоста, несмотря на предыдущий комментарий. Это зависит от сервиса и уязвимости, а не от того, с одного хоста или со многих.
Например, если 1 единица атаки вызывает 5 единиц траты ресурсов, то, возможно, атака будет более эффективной, если использовать 100 хостов, однако, если 1 единица атаки может вызвать 100 000 единиц траты ресурсов, то 1 хоста будет более чем достаточно.
Наконец, обратите внимание, что IP-адрес источника находится в Китае, Пекине. Вероятно ли, что вы должны получать соединение MS SQL на высокой скорости из Пекина? =)
решение2
Технически можно было бы использовать DDoS (распределенный отказ в обслуживании) для описания DoS-атаки с нескольких исходных IP-адресов, но на самом деле практически невозможно вызвать состояние отказа в обслуживании при флудинге только с одного IP-адреса, не говоря уже о том, что это происходит только раз в несколько дней. Так что нет, я бы не назвал это DoS-атакой.
Я бы посоветовал заблокировать его и посмотреть, что будет дальше.
Эхтиар.
решение3
Это может быть проблема конфигурации на рассматриваемой машине, которая заставляет ее отправлять поток. Это может быть проблема с маршрутизатором или сетевой конфигурацией. Или это может быть что-то враждебное. Это зависит от того, исходит ли это изнутри или извне вашей сети. Похоже, что это исходит извне вашей сети. В этом случае я согласен с Эхтиаром Холмсом и говорю, заблокируйте это и посмотрите, что произойдет. Если это кто-то, кто может законно подключиться к вашей сети, но у кого-то есть какие-то проблемы с компьютером, то они могут связаться с вами. Если это кто-то враждебный, они, будем надеяться, оставят вас в покое.