Что-то (кто-то) отправляет UDP-пакеты, отправленные со всего нашего диапазона IP-адресов. Похоже, это многоадресный DNS.
Наш серверный хост предоставил это (наш IP-адрес замаскирован XX):
Jun 3 11:02:13 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:23 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:32 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:35 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Я проверил свой файл /var/log/auth.log и обнаружил, что кто-то из Китая (с помощью ip-locator) пытался войти на сервер с помощью ssh.
...
Jun 3 11:32:00 server2 sshd[28511]: Failed password for root from 202.100.108.25 port 39047 ssh2
Jun 3 11:32:08 server2 sshd[28514]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25 user=root
Jun 3 11:32:09 server2 sshd[28514]: Failed password for root from 202.100.108.25 port 39756 ssh2
Jun 3 11:32:16 server2 sshd[28516]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25 user=root
...
Я заблокировал этот IP-адрес с помощью этой команды: sudo iptables -A INPUT -s 202.100.108.25 -j DROP
Однако я понятия не имею о многоадресной рассылке UDP, что это делает? кто это делает? и как я могу это остановить?
Кто-нибудь знает?
Честно говоря, зачем? Большинство серверов получают сотни сканирований и попыток входа в систему в день. Заблокировать их все вручную просто невозможно.
Кажется, ваш брандмауэр выполняет свою работу. В конце концов, это блокировка нежелательного трафика.
Убедитесь, что вы не запускаете ненужные службы. Чем меньше их доступно, тем в меньшее количество средств можно проникнуть.
Чтобы защитить SSH: убедитесь, что вы настроили SSH на запрет входа в систему с правами root. Убедитесь, что пароли всех учетных записей SSH надежны. Denyhosts автоматически заблокирует IP-адреса после нескольких неудачных попыток входа в систему (очень полезно), но убедитесь, что вы занесли в белый список свой собственный диапазон IP-адресов, иначе вы рискуете быть заблокированными самостоятельно. Также очень эффективным является запуск SSH на другом порту, поскольку большинство атак пытаются использовать только порт 22.
Я буду действовать только тогда, когда это влияет на ваши услуги или пропускную способность. Проверьте whois для владельца сетевого блока, с которого идет трафик, и отправьте четкую и понятную жалобу на адрес злоупотребления владельцем. Если они не ответят в разумные сроки, обратитесь к своему интернет-провайдеру и т. Д.
UDP легко подделать адрес источника, пакеты могут приходить откуда угодно. Кто-то может подделать пакет на ваш широковещательный адрес. Фильтр порта 5353 для входящих и исходящих, многоадресный DNS должен быть локальным. Отфильтруйте широковещательный адрес на вашем брандмауэре. Отфильтруйте исходящий трафик на целевой адрес, чтобы убедиться, что вы не отправляете трафик.
Это подозрительно похоже на атаки с усилением, которые проводились на DNS в прошлом году. Это было сделано путем подделки исходного адреса. В таком случае настоящая цель - это вы.
Вы мало что можете сделать, чтобы остановить стороннюю подмену вашего IP-адреса - это как спам с вашим адресом От. Все, что можно сделать, может быть уже сделано с файловой стеной вашего интернет-провайдера перед вашим компьютером.
Однако вы можете более легко блокировать попытки входа в систему по ssh. Denyhosts (который я использую на всех своих серверах) или аналогичный fail2ban (не только по SSH) оба сканируют файлы журнала и после `` слишком большого количества '' попыток входа в систему блокируют IP-адрес (я обычно просто делаю, как это делает DenyHosts, и добавляю IP-адреса в /etc/hosts.deny)