Назад | Перейти на главную страницу

Тысячи портов 25 подключений

Сегодня вечером несколько IP-адресов установили почти 2500 подключений к порту 25 почтового сервера. 2500 - это максимальное ограничение, и 50 или менее одновременных подключений - это нормально. Они ничего не сделали, когда установили связь. IP-адреса принадлежат серверам исходящей почты Facebook, но, конечно, они могли быть подделаны. У кого-нибудь был опыт с чем-то подобным? Есть ли хороший способ предотвратить это?

"TCPIP" 3808 "2013-04-12 21:37:19.787" "TCP - 66.220.155.135 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.787" "TCP - 66.220.155.137 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.819" "TCP - 66.220.144.163 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.819" "TCP - 66.220.144.137 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.850" "TCP - 69.171.232.166 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.850" "TCP - 66.220.155.138 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.850" "TCP - 66.220.155.154 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.850" "TCP - 66.220.144.150 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.865" "TCP - 66.220.155.161 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.865" "TCP - 66.220.155.157 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.865" "TCP - 69.171.232.142 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.865" "TCP - 66.220.155.152 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.928" "TCP - 66.220.155.147 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.928" "TCP - 66.220.155.139 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.928" "TCP - 66.220.155.161 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.943" "TCP - 66.220.155.154 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.943" "TCP - 66.220.155.159 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.959" "TCP - 66.220.144.166 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.975" "TCP - 66.220.144.155 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:19.990" "TCP - 69.171.232.163 connected to 12.186.192.3:25."
"TCPIP" 3808 "2013-04-12 21:37:20.006" "TCP - 66.220.155.147 connected to 12.186.192.3:25."

Поскольку вы можете сказать, кому принадлежат серверы:

  1. возьмите tcpdump, показывающий установление соединения и начальный обмен с вашим почтовым сервером
  2. написать письмо по поводу нарушения / технического контакта организации, обслуживающей серверы
  3. ограничьте скорость входящих соединений от "проблемных" серверов до разумного значения, чтобы они не повлияли на вашу способность получать другую почту
  4. нарушить "зависшие" соединения, например перезапустив почтовый сервер
  5. уведомлять пользователей о том, что письма от @ facebook.com, скорее всего, придут с опозданием или вообще не будут приходить, пока проблема не устранена

Похоже, ваш smtp-сервер подвергается какой-то атаке типа отказ в обслуживании, исходные IP-адреса, скорее всего, будут подделаны, то есть подделаны (я бы сделал это, если бы использовал DoS-атаку на сервер). Лучшая стратегия - развернуть IP-фильтрацию, чтобы заблокировать эти адреса до тех пор, пока атака не прекратится.