Я использую экземпляры amazon 85 ec2. Позавчера получил письмо от AMAZON по запросу AMAZON EC2 злоупотребление. там говорится об атаках DOS на удаленный хост.
Атаки типа «отказ в обслуживании» на удаленные хосты в Интернете; проверьте информацию, предоставленную ниже репортером о нарушениях.
Извлечение журнала:
2012-02-23 00:31:38.218128 IP (tos 0x0, ttl 64, id 5911, offset 0, flags [DF], proto: UDP (17), length: 78) IP_addres.33840 > 89.36.27.40.0: UDP, length 50
2012-02-23 00:31:38.218146 IP (tos 0x0, ttl 64, id 5912, offset 0, flags [DF], proto: UDP (17), length: 78) IP_address.33840 > 89.36.27.40.0: UDP, length 50
мой клиент сообщил мне заблокировать порт 17 в iptables. Заблокировали с помощью команды iptables: -
sudo iptables -A OUTPUT -p udp --dport 17 -j DROP.
После того, как порт UDP был заблокирован в 17. DOS-атаки продолжались.
наконец, мы получаем журнал атак DOS командой:
sudo tcpdump -nnvv -i any 'udp[tcp-syn] & (tcp-syn)' != 0 and not port 22
Мне нужно уточнить, означает ли из значений журнала AMAZON «proto: UDP (17)» порт UDP 17. Если да, значит, однажды мы заблокировали исходящий порт. Как продолжается атака?
В противном случае нам необходимо провести дополнительные меры или проверить.
Любезно предоставьте решение, чтобы остановить атаки DOS.
Как продолжается атака?
Вы не устранили проблему с источником. Вам следует тщательно просмотреть свои журналы, чтобы увидеть, как кто-то другой заставляет ваш сервер генерировать этот трафик. Попробуйте использовать tcpdump, чтобы увидеть, есть ли другие необычные подключения к вашему экземпляру или исходящие из него. У вас может быть услуга, открытая для общественности (непреднамеренно), которой злоупотребляют, чтобы вызвать это. Проверьте, какие порты открыты в вашем экземпляре, чтобы узнать, что доступно в Интернете.