我最近注意到一个 IP 地址经常出现在我们的 SonicWall 日志中。在一天中,我们会看到大约 100 个丢弃的数据包来自 17.10.13.204,该 IP 地址属于 Apple 注册的 IP 块。以下是示例:
Apr 26 12:59:47 id=firewall sn=0017C5107A2C time="2011-04-26 12:59:47" fw=X.X.X.Y pri=1 c=32 m=179 msg="Probable TCP NULL scan detected" n=0 src=17.10.13.204:48225:X1 dst=X.X.X.Z:80 note="TCP Flag(s): None"
我不太担心——这只是一次 TCP NULL 扫描,他们只攻击了我们众多 IP 地址中的几个端口 80。话虽如此,我仍然很好奇到底发生了什么 :)
我用谷歌搜索了一下这个 IP 地址,除了其他人的日志文件等之外,没有找到更多内容。只有一篇帖子似乎很引人注目,但它已经存在几个月了,并且没有引起太大的关注。
还有人看到过这些人的 TCP NULL 扫描吗?我不确定这种情况持续了多久,因为我只存档了几个月的日志。我很好奇,想知道这是最近才发生的事情,还是已经发生了一段时间。
答案1
shell$ host 17.10.13.204
204.13.10.17.in-addr.arpa domain name pointer spoofed-src-frm-outside-apple.apple.com
答案2
这种情况已经持续了几个月。早在 2010 年 11 月,我就向 Apple 报告了此流量,现在我仍然看到它。我不认为这是 DoS,因为 Apple 很难阻止它。他们所要做的就是阻止发往其 IP 的 RST 数据包,或者直接阻止任何传入该 IP 的数据包。自开始以来,IP 一直保持不变。我已在我们的边缘路由层阻止了它,但我仍在记录丢弃情况,因此我可以确认它仍在进行中。
解决此问题的最佳方法是让 ISP 参与进来并开始追踪此流量的来源。我认为这是某种类型的配置错误。