没有我作为接收者的 UDP 数据报如何到达我的服务器?

没有我作为接收者的 UDP 数据报如何到达我的服务器?

我有一堆 UDP 数据报到达我的服务器,如下所示:

一些 UDP 数据报不适合我的服务器

问题是,我的 IP不是 208.69.57.21就是208.69.57.101这样这些数据报是如何接收/记录的通过我的 tcpdump?

另外,这种攻击正式名称叫什么?我不认为这是 DOS。

答案1

我可能错了,但当第 3 层地址不匹配时,我能想到的数据报到达您的计算机的唯一方法是,如果第 2 层地址在发送方上手动解析,并且发送方位于同一第 2 层网段上。如果是这样,您应该能够通过该数据包捕获中的第 2 层源地址识别发送方。我想,位于第 2 层网段上的第 3 层设备(路由器或防火墙)也可能受到损害或配置错误,导致该第 3 层地址被错误地解析为您的第 2 层地址。

无论哪种情况,都要根据 MA​​C 地址来追踪发送者。

答案2

您的网络使用什么网络掩码?如果是 /24,您很可能会看到其他人的流量,因为他们的目标地址不在交换机的 CAM 表中。如果交换机不知道设备在哪个端口上,它就会从每个端口发送发往该设备的流量。

这是攻击吗?不确定。源端口号和目标端口号均为 0,并且出现 UDP 长度错误,这看起来很奇怪。也许有人想看看 208.69.57.21 是否容易受到攻击MS11-083/CVE-2011-2013

答案3

除非您的网络不典型,否则没有规则可以阻止数据包被交换到其目的地以外的机器。以太网层不知道数据包要发往哪个 IP 地址,因此无法通过 IP 可靠地过滤它们。它通过以太网硬件地址进行过滤,但它并不总是确切知道哪个端口与以太网硬件地址相关联。因此,一些数据包确实会被淹没到所有交换端口。

但这些看上去确实是腐败的。

答案4

您的主机可能是虚拟专用服务器吗?也许这些数据报的目的地是与您的节点共享同一 NIC 的另一个容器。(...并且由于某种原因,你的网卡处于混杂模式

这将是UDP 洪水攻击,如果数据报没有损坏并且发往随机端口。

相关内容