Наше соединение E1 закрывается нашим брандмауэром *. Это происходит с перебоями каждые несколько дней.
Я нахожу такие записи в журнале примерно в то же время, что и выпадение:
Jun 2 09:53:35 sg580 kernel: Flood - dropped: IN=eth1 OUT= MAC=00:d0:cf:04:7c:13:00:15:2b:ff:97:68:08:00 SRC=61.162.229.252 DST=221.133.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0
Всегда с одного и того же ip SRC!
Нас атакуют DOS ?!
Что мы можем с этим поделать?
Спасибо,
Эшли
* Наш межсетевой экран - SnapGear SG580.
Вредоносный или нет - это является DOS-атака - но в лучшем случае попытка.
Обратите внимание, что установлен флаг SYN, т. Е. Он пытается установить новое соединение с вашим IP-адресом на порту 1433 - похоже на службу MS SQL.
У этой службы есть уязвимости, так что, скорее всего, это какой-нибудь жалкий скрипач, пытающийся быть лэбом.
Взгляните на Страница SAN об уязвимостях порта 1433...
Обратите внимание, что это является - очень даже возможно - выполнить DOS-атаку с одного хоста, несмотря на предыдущий комментарий. Это зависит от сервиса и уязвимости, а не от того, что она с одного или нескольких хостов.
Например, если 1 единица атаки вызывает 5 единиц потери ресурсов, тогда, возможно, атака будет лучше при использовании 100 хостов, однако, если 1 единица атаки может вызвать 100000 единиц потери ресурсов, тогда 1 хост будет более чем достаточно.
Наконец, обратите внимание, что IP-адрес источника из Китая, Пекина. Вероятно, вы должны получать соединение MS SQL с высокой скоростью из Пекина? знак равно
Технически можно было бы использовать DDoS (распределенный отказ в обслуживании) для описания DoS-атаки с нескольких исходных IP-адресов, но практически невозможно вызвать состояние отказа в обслуживании при лавинной рассылке только с одного IP-адреса, не говоря уже о том, что это происходит только каждые несколько дней. . Так что нет, я бы не назвал это DoS-атакой.
Я бы сказал, заблокируйте его и посмотрите, как все пойдет.
Эхтяр.
Это может быть проблема конфигурации на рассматриваемой машине, которая вызывает флуд. Это может быть проблема с конфигурацией маршрутизатора или сети. Или это могло быть что-то враждебное. Это зависит от того, идет ли он изнутри вашей сети или за ее пределами. Похоже, он исходит из-за пределов вашей сети. В этом случае я согласен с Этьяром Холмсом и говорю, что заблокируйте это и посмотрите, что произойдет. Если это кто-то, кто может законно подключиться к вашей сети, но у него есть проблемы с компьютером, он может связаться с вами. Если это кто-то враждебный, они, надеюсь, оставят вас в покое.