我正在使用亚马逊85 ec2实例。 前天收到来自AMAZON的电子邮件,用于AMAZON EC2滥用 。 它说到远程主机上的DOS攻击。
拒绝服务攻击Internet上的远程主机; 检查虐待记者提供的信息。
日志摘录:
2012-02-23 00:31:38.218128 IP (tos 0x0, ttl 64, id 5911, offset 0, flags [DF], proto: UDP (17), length: 78) IP_addres.33840 > 89.36.27.40.0: UDP, length 50 2012-02-23 00:31:38.218146 IP (tos 0x0, ttl 64, id 5912, offset 0, flags [DF], proto: UDP (17), length: 78) IP_address.33840 > 89.36.27.40.0: UDP, length 50 我的客户通知我在iptables中阻塞端口17。 我们使用iptables命令阻止: –
sudo iptables -A OUTPUT -p udp --dport 17 -j DROP.
在17端口被阻塞后仍然继续DOS攻击。
最后我们通过命令获取DOS攻击日志:
sudo tcpdump -nnvv -i any 'udp[tcp-syn] & (tcp-syn)' != 0 and not port 22
我需要澄清是否从AMAZON的日志值“proto:UDP(17)”是指UDP端口17.如果是,意味着一旦我们阻塞了出站端口。 攻击如何继续?
否则,我们需要额外的措施或testing。
请提供解决scheme来阻止这种DOS攻击
攻击如何继续?
您没有解决源代码问题。 您应该彻底查看您的日志,看看别人是如何导致您的服务器产生这种stream量。 尝试使用tcpdump来查看是否有其他连接进入或从您的实例出站是不寻常的。 你可能有一个向公众(无意)开放的服务,这个服务正在被滥用。 查看您的实例中打开了哪些端口,以查明暴露给互联网的内容。