Назад | Перейти на главную страницу

Как датаграммы UDP, в которых я не являюсь получателем, достигают моего сервера?

У меня есть куча датаграмм UDP, доходящих до моего сервера, которые выглядят так:

Вопрос в том, мой IP не является 208.69.57.21, (это было 208.69.57.101) так как эти датаграммы вообще принимаются / регистрируются моим tcpdump?

Кроме того, что это за атака формально? Я не думаю, что это DOS.

Я мог ошибаться, но единственный способ, которым я могу придумать, чтобы датаграмма достигла вашего компьютера, когда адрес уровня 3 не совпадает, - это если адрес уровня 2 вручную разрешен для отправителя, а отправитель находится на том же уровне 2 сегмент. Если это так, вы сможете идентифицировать отправителя по адресу источника уровня 2 в этом захвате пакета. Я предполагаю, что также возможно, что устройство уровня 3 (маршрутизатор или брандмауэр), которое находится на вашем сегменте уровня 2, может быть взломано или неправильно настроено, что приведет к неправильному разрешению этого адреса уровня 3 на ваш адрес уровня 2.

В любом случае следуйте за отправителем, идентифицированным по его MAC-адресу.

Какая сетевая маска используется в вашей сети? Если это / 24, вы, вероятно, видите чужой трафик, потому что его адрес назначения отсутствует в таблице CAM коммутатора. Если коммутатор не знает, к какому порту подключено устройство, он будет отправлять трафик, предназначенный этому устройству, через каждый порт.

Это нападение? Точно сказать не могу. Тот факт, что номера портов источника и назначения равны 0 вместе с ошибкой длины UDP, выглядит странным. Может быть, кто-то пытается проверить, уязвима ли 208.69.57.21 к MS11-083 / CVE-2011-2013.

Если у вас нет нетипичной сети, не существует правил, предотвращающих передачу пакета на машины, отличные от места назначения. Уровень Ethernet не знает, к какому IP-адресу привязаны пакеты, поэтому он не может надежно фильтровать их по IP. Он фильтрует по аппаратному адресу Ethernet, но не всегда точно знает, какой порт связан с аппаратным адресом Ethernet. Таким образом, некоторые пакеты попадают на все коммутируемые порты.

Однако они кажутся коррумпированными.

Есть ли шанс, что ваш хост является виртуальным частным сервером? Возможно, эти датаграммы предназначены для другого контейнера, который использует ту же сетевую карту, что и ваш узел. (... и по какой-то причине ваш сетевой адаптер находится в беспорядочном режиме)

Это было бы Атака UDP Flood, если дейтаграммы не были повреждены и предназначались для случайных портов.