tcpdump 甚至显示关闭接口的流量

tcpdump 甚至显示关闭接口的流量

使用 Debian Buster 并在线配置了 VLAN 接口,我想知道是否tcpdump显示任何发送到外部 IP 地址的流量?

在 Hetzner 上有一台服务器,只想配置 VLAN 流量。该服务器已配置 VLAN,并且只有 VLAN 接口处于启用状态。因此,我通过 SSH 进入防火墙,然后通过 SSH 进入内部 VLAN 接口。

/etc/network/interfaces

auto eth0.4000
iface eth0.4000 inet static
  address 192.168.0.2
  netmask 255.255.255.0
  gateway 192.168.0.1
  mtu 1400

该服务器此外还有外部 IPv4 和 IPv6 地址。

使用时tcpdump我将看到传入服务器的流量/数据包,但ifconfig仅显示 eth0.4000 作为活动网络设备。

这是一个安全问题吗?如何阻止关闭接口上的传入数据包?

实际上,VLAN 之外的服务器没有响应,只有传入的数据包。

答案1

这完全正常。互联网上充斥着恶意行为者。每个公共 IP 接口都会不断受到试图获取访问权限的攻击。这些攻击有几个共同的特点:

  • 它们通常以端口 22(SSH)为目标,但也会尝试其他常见的远程访问端口
  • 有多次尝试源自同一个 IP 地址
  • nslookup等显示这些 IP 地址属于托管公司,通常位于众所周知的攻击源国家
  • 来自单个地址的攻击仅持续很短的时间
  • 攻击完成后,很少会从同一 IP 地址重复发起攻击
  • 授权日志显示 root 等用户的登录尝试
  • 一个用户名尝试使用多个不同的密码登录

所有设备都会发生这种情况,包括家用路由器。这些都是由机器人使用单词列表进行的简单暴力攻击。虽然这些尝试是恶意的,但只要遵循简单的规则,就可以轻松阻止这些尝试:

  • 不允许远程 root 访问;或完全禁用 root 访问,并sudo在系统维护需要时使用
  • 确保防火墙运行并保持最新状态
  • 基本防火墙规则“丢弃所有进入的数据包,除非其他规则明确允许”应始终作为防火墙规则集的最后一行。即使防火墙解决方案具有隐式拒绝,我也会添加此规则。
  • 仅在必要时打开入口流量的端口;并且只打开必要的端口
  • 仅采用完善的安全访问方法,例如 SSH 或 VNC
  • 使用非标准端口进行远程访问

有几件事可以做来增加额外的安全层:

  • 配置 SSHD 仅监听正在使用的 IP 接口上的请求
  • 使用Fail2ban或者类似的做法,在一定次数的登录尝试失败后,在一段时间内阻止特定的 IP 地址
  • 为了简化管理,如果主机上没有积极使用 IPv6,则完全放弃对 IPv6 的支持
  • 要求托管服务提供商丢弃已在其路由器上设置的公网 IP 的入口流量

如果接口瘫痪,这些尝试实际上不可能成功;因此可以说这些额外的方法是多余的。然而,也可以说,没有“过度安全”这回事——除非所采用的安全措施开始妨碍你自己的行动能力。

相关内容