我意识到这是一个比较蹩脚/初学者的问题,但是我已经受到了中国几个地址的攻击,我不知道如何弥补这个漏洞。
我的 snort 日志(是的,我正在使用 snort!我看你印象深刻)显示如下内容:
TCP 端口扫描
[**] [122:1:0] (portscan) TCP Portscan [**]
[Priority: 3]
11/09-06:48:46.652278 58.218.199.227 -> 208.69.57.101
PROTO:255 TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:166 DF
和fragmentation overlap:
[**] [123:8:1] (spp_frag3) Fragmentation overlap [**]
[Priority: 3]
11/09-06:25:44.678218 208.69.57.102 -> 183.177.114.1
UDP TTL:64 TOS:0x0 ID:33670 IpLen:20 DgmLen:1500 MF
Frag Offset: 0x0000 Frag Size: 0x05C8
我不明白这是什么意思,但我认为这意味着有人正在从 58.218.199.227(我的 IP 地址是 208.69.57.101)对我进行端口扫描。他们还在分割我的重叠部分,对此我非常不满意。
这是alertsnort 生成的文件。我的服务器提供商关闭了我的服务器,因为他说昨晚有大约 60 GB 的数据传输。
那么我现在该怎么办?
- 立即采取哪些措施?我关闭了 Web 服务器、mysql 服务器。我还应该做什么?
- 我该如何解决这个问题?我应该查看日志文件并手动阻止所有 IP 地址是否生成了警报?
答案1
在我看来,这些警报只是简单的背景噪音。只要在互联网上可见,你就会在任何防火墙或 IDS 系统中收到“端口扫描”警报。它们是攻击吗?不,不是。他们只是摇动门把手,找出哪些门可能打开了。这是在做其他任何事情之前的侦察步骤。
Snort 对这些发出警报,因为它们可能很有趣。被扫描端口的趋势对一般信息安全社区来说很有趣,因为它们提供了黑客社区认为新漏洞的情报。如果你真的不关心摇晃门把手,我相信你可以抑制这些警报。
答案2
我手动阻止了 snort 日志中出现的所有 IP 地址。
这是CERT 的一份文件进一步概述了管理 UDP 攻击应采取的步骤