我已经编写了 iptables 来保护我的 Ubuntu 安装。我有 SSH,但我把它放在了 22 以外的其他端口上,以防暴力攻击。然而今天早上,一个 IP 每隔 30 秒 -1 分钟就尝试在 22 端口上进行连接(被 iptable 丢弃),导致超过 1k 个数据包。当我好奇它在做什么时,我暂时在 SSH 上打开了此端口的转发。然后我看到他试图以 root 身份连接,被 fail2ban 发现(但没有被禁止),然后它被断开连接。从此刻起,来自这个 IP 的尝试就停止了。
所以我有一些问题:
- 既然 drop 通常隐藏着,他怎么知道这里有服务器?这是随机的吗?
- 为什么他在死端口上如此努力,然后在创建请求时突然停止。他只尝试了一次。
- 丢弃数据包需要多少 CPU/性能?我可能被一个或多个 IP 淹没死端口而遭受 DDoS 攻击吗?
谢谢。
答案1
问题 1:drop 通常隐藏起来,他怎么知道这里有服务器?是随机的吗?
如果您的系统响应其他查询,例如 ping 和最常见的查询,那么坏人可能知道这一点。否则,是的,通常它只是随机的。
问题 2:为什么他在死端口上如此努力,然后在创建请求时突然停止?他只尝试了一次。
你会疯狂地试图理解这些坏人的逻辑。很多时候,这些逻辑根本就没有任何意义。这很可能是一个编程很差的机器人。
问题 3:丢弃数据包需要多少 CPU/性能?我是否会因一个或多个 IP 淹没死端口而遭受 DDoS 攻击?
您的单位时间低数据包示例涉及的资源非常少甚至可忽略不计。不,这些类型的速率不会构成 DOS(拒绝服务)或 DDOS(分布式拒绝服务)攻击。如果端口以非常高的单位时间数据包速率被淹没,则可能会开始饱和来自 ISP 的网络连接,从而成为 (D)DOS。