我们的 E1 连接正在被我们的防火墙关闭*。它每隔几天就会间歇性发生。
我发现像这样的日志条目与 dropout 大约在同一时间:
Jun 2 09:53:35 sg580 kernel: Flood - dropped: IN=eth1 OUT= MAC=00:d0:cf:04:7c:13:00:15:2b:ff:97:68:08:00 SRC=61.162.229.252 DST=221.133.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0
也总是来自同一个 SRC ip!
我们被DOS攻击了吗?!
我们能做些什么呢?
谢谢,
阿什利
*我们的防火墙是 SnapGear SG580
恶意与否——这是一种 DOS 攻击——但充其量只是一种尝试。
请注意,SYN 标志已设置,即,它正在尝试在端口 1433 上与您的 IP 建立新连接——听起来像是 MS SQL 服务。
该服务存在漏洞,因此可能是一些可怜的脚本小子试图成为 l33t。
查看有关端口 1433 漏洞的 SAN 页面...
请注意,尽管前面已经发表了评论,但从单个主机执行 DOS 攻击是非常可能的。这取决于服务和漏洞,而不是来自 1 个或多个主机的事实。
例如,如果 1 单位的攻击造成 5 单位的资源浪费,那么使用 100 台主机可能会更好,但是如果 1 单位的攻击可以造成 100,000 单位的资源浪费,那么 1 台主机超过足够的。
最后,注意源的IP地址来自中国北京。您是否应该从北京高速接收 MS SQL 连接?=)
从技术上讲,人们会使用 DDoS(分布式拒绝服务)来描述来自多个源 IP 的 DoS 攻击,但是当仅从单个 IP 泛滥时,实际上几乎不可能导致拒绝服务条件,更不用说它每隔几天就会发生一次. 所以不,我不会称之为 DoS 攻击。
我会说阻止他,看看情况如何。
埃蒂亚尔。
可能是相关机器上的配置问题导致它发送洪水。可能是路由器或网络配置问题。或者它可能是敌对的东西。这取决于它是来自网络内部还是外部。看起来它来自您的网络外部。在这种情况下,我同意 Ehtyar Holmes 并说阻止它,看看会发生什么。如果有人可以合法地连接到您的网络,但他们的计算机有问题,那么他们可能会与您联系。如果是怀有敌意的人,他们希望让你一个人呆着。