Я веду блог на WordPress. Я получаю частые уведомления по электронной почте от LFD о блоках UDP_IN. Обычно я получаю более 10 писем об этом ежедневно.
Письмо выглядит следующим образом:
Время:
IP:
Просмотров: 11 Заблокировано: временный блокПример попаданий блоков: ядро хоста: Брандмауэр: UDP_IN заблокирован IN = venet0 OUT = MAC = SRC = x.x.x.x DST = x.x.x.x LEN = xxx TOS = 0x00 PREC = 0x00 TTL = xxx ID = xxxxx PROTO = UDP SPT = xxx DPT = xxx LEN = xxx
Практически каждый раз заблокированный IP-адрес отличается. Я хочу знать, это какая-то атака или ложное срабатывание?
Заранее спасибо.
Этот порт обычно используется для согласования IPSec VPN, так что это, вероятно, результат того, что боты ищут в Интернете неправильно настроенную VPN, которую они могут использовать, и / или порт со слабой безопасностью, в которую они могут взломать.
Номер порта: 500
TCP / UDP: UDP
Доставка: Нет
Протокол / Имя: isakmp
Описание порта: isakmp. Используется в FW-1 VPN для обмена ключами и синхронизации при использовании шифрования ISAKMP или IPSEC между FW-1. Порты FW-1: tcp 256, tcp / udp 259, udp 500, tcp 900.
Итак, да, это атака, но нет, вам не о чем беспокоиться (если вы по какой-то причине не запускаете VPN-сервер на своем веб-сервере).