Что-то (Кто-то) рассылает UDP-пакеты, отправленные со всего нашего диапазона IP. Похоже, это многоадресный DNS.
Наш хост сервера предоставил следующее (наш IP-адрес замаскирован с помощью XX):
Jun 3 11:02:13 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:23 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:32 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:35 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Я проверил свой файл /var/log/auth.log и обнаружил, что кто-то из Китая (используя ip-locator) пытался получить доступ к серверу с помощью ssh.
...
Jun 3 11:32:00 server2 sshd[28511]: Failed password for root from 202.100.108.25 port 39047 ssh2
Jun 3 11:32:08 server2 sshd[28514]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25 user=root
Jun 3 11:32:09 server2 sshd[28514]: Failed password for root from 202.100.108.25 port 39756 ssh2
Jun 3 11:32:16 server2 sshd[28516]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25 user=root
...
Я заблокировал этот IP-адрес с помощью этой команды: sudo iptables -A INPUT -s 202.100.108.25 -j DROP
Однако я понятия не имею о многоадресной рассылке UDP. Что это такое? Кто это делает? И как это остановить?
Кто-нибудь знает?
решение1
Честно говоря, зачем беспокоиться? Большинство серверов получают сотни сканирований и попыток входа в систему в день. Просто невозможно вручную заблокировать их все.
Ваш брандмауэр, похоже, выполняет свою работу. В конце концов, он блокирует нежелательный трафик.
Убедитесь, что вы не запускаете ненужные службы. Чем меньше доступно, тем меньше есть возможностей взломать.
Для защиты SSH: Убедитесь, что вы настроили SSH на запрет входа root. Убедитесь, что пароли всех учетных записей SSH надежны.Denyhostsавтоматически блокирует IP после нескольких неудачных попыток входа (очень полезно), но убедитесь, что вы внесли в белый список свой диапазон IP, иначе вы рискуете быть заблокированным. Также очень эффективно запустить SSH на другом порту, поскольку большинство атак пробуют только порт 22.
Я бы принял меры только в том случае, если это влияет на ваши услуги или пропускную способность. Проверьте whois владельца сетевого блока, с которого идет трафик, и отправьте ясную и дружелюбную жалобу на адрес Abuse владельца. Если они не ответят в разумные сроки, обратитесь к их интернет-провайдеру и т. д.
решение2
Вы не можете сделать многого, чтобы остановить подмену вашего IP-адреса третьей стороной — это как спам с вашим адресом From. Все, что можно сделать, может быть уже сделано с помощью файловой стены вашего провайдера перед вашим компьютером.
Однако вы можете легко заблокировать попытки входа по SSH.Denyhosts(который я использую на всех своих серверах) или подобныйfail2ban(не только SSH) оба сканируют лог-файл(ы) и после «слишком большого количества» попыток входа в систему блокируют IP-адрес (я обычно просто поступаю так, как это делает DenyHosts, и добавляю IP-адреса в /etc/hosts.deny)
решение3
UDP легко подделать исходный адрес, пакеты могут приходить откуда угодно. Кто-то может подделывать пакет на ваш широковещательный адрес. Фильтруйте входящий и исходящий порт 5353, многоадресный DNS должен быть локальным. Фильтруйте широковещательный адрес на вашем брандмауэре. Фильтруйте исходящий трафик на целевой адрес, чтобы убедиться, что вы не тот, кто отправляет трафик.
Это выглядит подозрительно, как атаки с усилением, которые были запущены на DNS в прошлом году. Они были сделаны путем подделки исходного адреса. Если это так, то вы и есть настоящая цель.