我正在使用 amazon 85 ec2 实例。前天收到了 AMAZON 的电子邮件AMAZON EC2 滥用. 它讨论了针对远程主机的 DOS 攻击。
附上亚马逊邮件内容供您参考。
针对互联网上的远程主机的拒绝服务攻击;请查看滥用报告者下面提供的信息。
日志摘录:
2012-02-23 00:31:38.218128 IP (tos 0x0, ttl 64, id 5911, offset 0, flags [DF], proto: UDP (17), length: 78) IP_addres.33840 > 89.36.27.40.0: UDP, length 50
2012-02-23 00:31:38.218146 IP (tos 0x0, ttl 64, id 5912, offset 0, flags [DF], proto: UDP (17), length: 78) IP_address.33840 > 89.36.27.40.0: UDP, length 50
我的客户通知我在 iptables 中阻止端口 17。我们使用 iptables 命令进行阻止:-
sudo iptables -A OUTPUT -p udp --dport 17 -j DROP.
在 17 号 UDP 端口被封锁后,DOS 攻击仍然持续发生。
最后我们通过命令获取DOS攻击日志:
sudo tcpdump -nnvv -i any 'udp[tcp-syn] & (tcp-syn)' != 0 and not port 22
我需要澄清 AMAZON 日志值“proto: UDP (17)”是否表示 UDP 端口 17。如果是,则意味着我们曾经阻止过出站端口。攻击如何继续?
否则,我们需要采取额外的措施或测试。
请任何人提供解决方案来阻止这种 DOS 攻击
答案1
攻击如何继续?
您没有修复源问题。您应该彻底检查日志,看看其他人是如何导致您的服务器生成此流量的。尝试使用 tcpdump 查看是否有其他异常连接进入或从您的实例发出。您可能有一项向公众开放的服务(无意中)被滥用,从而导致这种情况。检查您的实例中开放了哪些端口,以找出哪些端口暴露在互联网上。