我有一堆 UDP 数据报到达我的服务器,如下所示:
问题是,我的 IP不是 208.69.57.21
就是208.69.57.101
这样这些数据报是如何接收/记录的通过我的 tcpdump?
另外,这种攻击正式名称叫什么?我不认为这是 DOS。
答案1
我可能错了,但当第 3 层地址不匹配时,我能想到的数据报到达您的计算机的唯一方法是,如果第 2 层地址在发送方上手动解析,并且发送方位于同一第 2 层网段上。如果是这样,您应该能够通过该数据包捕获中的第 2 层源地址识别发送方。我想,位于第 2 层网段上的第 3 层设备(路由器或防火墙)也可能受到损害或配置错误,导致该第 3 层地址被错误地解析为您的第 2 层地址。
无论哪种情况,都要根据 MAC 地址来追踪发送者。
答案2
您的网络使用什么网络掩码?如果是 /24,您很可能会看到其他人的流量,因为他们的目标地址不在交换机的 CAM 表中。如果交换机不知道设备在哪个端口上,它就会从每个端口发送发往该设备的流量。
这是攻击吗?不确定。源端口号和目标端口号均为 0,并且出现 UDP 长度错误,这看起来很奇怪。也许有人想看看 208.69.57.21 是否容易受到攻击MS11-083/CVE-2011-2013。
答案3
除非您的网络不典型,否则没有规则可以阻止数据包被交换到其目的地以外的机器。以太网层不知道数据包要发往哪个 IP 地址,因此无法通过 IP 可靠地过滤它们。它通过以太网硬件地址进行过滤,但它并不总是确切知道哪个端口与以太网硬件地址相关联。因此,一些数据包确实会被淹没到所有交换端口。
但这些看上去确实是腐败的。
答案4
您的主机可能是虚拟专用服务器吗?也许这些数据报的目的地是与您的节点共享同一 NIC 的另一个容器。(...并且由于某种原因,你的网卡处于混杂模式)
这将是UDP 洪水攻击,如果数据报没有损坏并且发往随机端口。