我们的E1连接正在被我们的防火墙*closures。 它每隔几天就会间歇性地发生。
我发现像这样的日志条目大约在退出的同一时间:
Jun 2 09:53:35 sg580 kernel: Flood - dropped: IN=eth1 OUT= MAC=00:d0:cf:04:7c:13:00:15:2b:ff:97:68:08:00 SRC=61.162.229.252 DST=221.133.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0 总是从相同的SRC IP呢!
我们被DOS攻击了吗?
我们能做些什么呢?
谢谢,
阿什利
*我们的防火墙是SnapGear SG580
恶意或不恶意 – 这是一个DOS攻击 – 但是一个最好的尝试。
请注意,SYN标志被设置,即它试图build立一个新的连接到您的IP端口1433 – 听起来像一个MS SQL服务。
该服务存在漏洞,因此可能是一些可怜的脚本 – kiddy试图成为l33t。
看看端口1433漏洞的SAN页面 …
请注意,尽pipe有以前的评论,但是可以从单个主机执行DOS攻击。 这取决于服务和漏洞,而不是来自1个或多个主机的事实。
例如,如果1个单位的攻击导致5个单位的资源浪费,那么使用100个主机可能会更好,但是如果1个单位的攻击可能导致10万个单位的资源浪费,那么1个主机大于足够。
最后请注意,来源的IP地址来自中国,北京。 您是否有可能从北京以较高的价格收到MS SQL连接? =)
从技术上讲,人们会使用DDoS(分布式拒绝服务)来描述来自多个源IP的DoS攻击,但是当仅从单个IP溢出时,实际上几乎不可能导致拒绝服务条件,更不用说每隔几天。 所以不,我不会把它称为DoS攻击。
我会说阻止他,看看事情是怎么回事。
Ehtyar。
这可能是有问题的机器上的一个configuration问题,导致它发送洪水。 这可能是路由器或networkingconfiguration问题。 或者它可能是敌对的东西。 这取决于它是来自networking内部还是外部。 它看起来像是来自你的networking之外。 在这种情况下,我同意Ehtyar Holmes并且说阻止它并且看看会发生什么。 如果某个人可以合法地连接到您的networking,但是他们的电脑有问题,那么他们可能会与您联系。 如果这是一个敌对的人,他们会希望离开你一个人。