我們的 E1 連線被防火牆關閉*。每隔幾天就會間歇性地發生一次。
我在丟失的同時發現了類似這樣的日誌條目:
Jun 2 09:53:35 sg580 kernel: Flood - dropped: IN=eth1 OUT= MAC=00:d0:cf:04:7c:13:00:15:2b:ff:97:68:08:00 SRC=61.162.229.252 DST=221.133.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0
也總是來自同一個 SRC ip!
我們是否受到 DOS 攻擊?
對此我們能做些什麼呢?
謝謝,
阿什利
*我們的防火牆是 SnapGear SG580
答案1
無論是否惡意——它是DOS 攻擊——但充其量只是一次嘗試性攻擊。
請注意,SYN 標誌已設置,即它正在嘗試在連接埠 1433 上與您的 IP 建立新連接 - 聽起來像 MS SQL 服務。
該服務存在漏洞,因此很可能是某個可悲的腳本小子試圖成為 l33t。
請注意,它是- 非常如此 - 儘管之前有評論,但還是有可能從單一主機執行 DOS 攻擊。這取決於服務和漏洞,而不是來自一台或多台主機的事實。
例如,如果 1 單位的攻擊會造成 5 單位的資源浪費,那麼使用 100 台主機進行攻擊可能會效果更好,但如果 1 單位的攻擊會造成 100,000 單位的資源浪費,那麼 1 台主機就多於足夠的。
最後請注意,來源IP位址來自中國北京。您是否可能會以較高的速率從北京接收 MS SQL 連線? =)
答案2
從技術上講,人們會使用DDoS(分散式阻斷服務)來描述來自多個來源IP 的DoS 攻擊,但當僅來自單一IP 的泛洪時,幾乎不可能真正導致拒絕服務情況,更不用說它每隔幾天就會發生一次。所以不,我不會稱之為 DoS 攻擊。
我會說阻止他,看看事情進展如何。
埃赫蒂亞爾。
答案3
可能是相關計算機上的配置問題導致其發送洪水。這可能是路由器或網路設定問題。或者它可能是敵對的東西。這取決於它是來自網路內部還是外部。它看起來像是來自您的網路外部。在這種情況下,我同意 Ehtyar Holmes 的觀點,並說要阻止它,看看會發生什麼。如果某人可以合法連接到您的網絡,但電腦出現問題,那麼他們可能會與您聯繫。如果有人有敵意,他們希望不會打擾你。