数据包泛滥的报告是否意味着发生了 DOS 攻击?

数据包泛滥的报告是否意味着发生了 DOS 攻击?

我们的 E1 连接被防火墙关闭*。每隔几天就会发生这种情况。

我在丢失数据的同时发现了类似这样的日志条目:

Jun  2 09:53:35 sg580 kernel: Flood - dropped: IN=eth1 OUT= MAC=00:d0:cf:04:7c:13:00:15:2b:ff:97:68:08:00 SRC=61.162.229.252 DST=221.133.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0   

也总是来自相同的 SRC ip!

我们遭受 DOS 攻击了吗?!

我们能做些什么呢?

谢谢,

阿什利

*我们的防火墙是 SnapGear SG580

答案1

无论是否恶意 - 它DOS 攻击 - 但充其量只是一次尝试性的攻击。

请注意,SYN 标志已设置,即,它正在尝试在端口 1433 上与您的 IP 建立新连接 - 听起来像是 MS SQL 服务。

该服务存在漏洞,因此很可能是某些可怜的脚本小子试图成为 l33t。

看看SAN 页面关于端口 1433 漏洞...


请注意- 确实如此 - 尽管之前有评论,但从单个主机执行 DOS 攻击是可能的。这取决于服务和漏洞,而不是它来自 1 个主机还是多个主机。

例如,如果 1 个单位的攻击会造成 5 个单位的资源浪费,那么使用 100 台主机可能效果会更好,但是如果 1 个单位的攻击可以造成 100,000 单位的资源浪费,那么 1 台主机就足够了。


最后,请注意源 IP 地址来自中国北京。您是否可能以高速率接收来自北京的 MS SQL 连接?=)

答案2

从技术上讲,人们会使用 DDoS(分布式拒绝服务)来描述来自多个源 IP 的 DoS 攻击,但仅从单个 IP 发起洪流几乎不可能真正导致拒绝服务情况,更不用说这种情况每隔几天才会发生一次。所以不,我不会称之为 DoS 攻击。

我想说的是屏蔽他,看看事情会如何发展。

埃蒂亚尔。

答案3

可能是有问题的机器的配置问题导致它发送洪水攻击。也可能是路由器或网络配置问题。也可能是某种恶意攻击。这取决于它是来自网络内部还是外部。它看起来好像来自网络外部。在这种情况下,我同意 Ehtyar Holmes 的观点,建议阻止它,看看会发生什么。如果有人可以合法连接到您的网络,但其计算机存在问题,那么他们可能会联系您。如果是恶意攻击,他们希望不会打扰您。

相关内容