Я размещаю веб-сайт на Linux - Debian Wheezy x64. Наш веб-сервер - LiteSpeed
В последнее время мы получаем журналы следующего вида, в которых говорится, что это может быть потенциальная атака (??), однако поиски, позволяющие понять эту конкретную ситуацию, не дали никаких полезных результатов.
Не могли бы вы пролить свет на такие журналы? Должны ли мы заботиться об этом? Если да, есть предложения?
www kernel: [2175206.842121] ** RABHIT ** IN=eth0 OUT= MAC=02:00:00:5b:00:82:10:bd:18:e5:ff:80:08:00 SRC=195.39.196.50 DST=xx.xx.xx.xx LEN=44 TOS=0x08 PREC=0x00 TTL=52 ID=0 PROTO=TCP SPT=80 DPT=1 WINDOW=0 RES=0x00 ACK SYN URGP=0
DST является источником IP-адреса машины.
Здесь не так много повторяющихся логов, время от времени 1-3 - разные IP-адреса SRC
Спасибо
Пакет выглядит почти как законный пакет SYN-ACK. Единственная часть пакета, которая выглядит неправильно, - это временный номер порта. Предполагается, что эфемерные порты должны быть от 49152 и выше, но в вашем пакете это 1.
Похоже, возможна атака SYN flood на 195.39.196.50. Этот IP-адрес подвергается атаке, и злоумышленник подменяет ваш исходный IP-адрес в ходе атаки (злоумышленник, вероятно, подделывает тысячи других адресов одновременно). И номер эфемерного порта также выбирает злоумышленник.
Если это действительно так, то администратору будет легко отразить этот конкретный SYN-поток, потому что он может просто отклонить все SYN-пакеты, используя 1 в качестве эфемерного порта.
SYN-поток пытается исчерпать память на сервере. Каждый SYN-пакет, полученный этим сервером, будет выделять некоторую память, которая будет оставаться выделенной до истечения времени ожидания соединения. Вы можете уменьшить влияние на этот сервер, убедившись, что ваш брандмауэр отвечает на нераспознанный пакет пакетом RST. Таким образом, вместо того, чтобы выделять память до истечения времени ожидания соединения, она будет выделена только на несколько миллисекунд, необходимых для отправки SYN-ACK и возврата RST.