我的 kern.log 中充斥着这些行:
Jan 4 03:00:57 myhost kernel: [9040601.809740] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=33285 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:01:09 myhost kernel: [9040613.699425] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=62996 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:01:21 myhost kernel: [9040625.584770] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=26121 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:01:33 myhost kernel: [9040637.471088] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=59140 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:01:45 myhost kernel: [9040649.352450] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=33805 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:01:56 myhost kernel: [9040661.237910] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=33285 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:02:08 myhost kernel: [9040673.116958] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=14341 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:02:20 myhost kernel: [9040685.003337] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=22793 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:02:32 myhost kernel: [9040696.886561] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=32783 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:02:44 myhost kernel: [9040708.770251] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=14854 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:02:56 myhost kernel: [9040720.652454] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=56844 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:03:08 myhost kernel: [9040732.530823] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=4373 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:03:20 myhost kernel: [9040744.409373] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=62989 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:03:32 myhost kernel: [9040756.417865] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=4116 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:03:44 myhost kernel: [9040769.008748] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=16136 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:03:57 myhost kernel: [9040782.192103] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=9476 PROTO=UDP SPT=25345 DPT=53 LEN=44
Jan 4 03:04:10 myhost kernel: [9040795.020864] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=55553 PROTO=UDP SPT=25345 DPT=53 LEN=44
这是 DoS 攻击吗?当然 xx.xx.xx.xx 是我的 IP 地址(目的地)。
编辑:我也收到了很多来自其他 IP 的请求,不过是相同的端口。
答案1
不,这不是 DDoS,甚至根本不明显这是一种攻击。
它是一个尝试连接服务器上的 UDP 端口 53 的单个 IP 地址。这是 DNS 使用的端口。
最有可能的是,您最近刚进入该服务器并刚刚获得此 IP 地址,并且该 IP 地址的某个先前用户在其上有一个 DNS 服务器。
由于您没有运行 DNS 服务器,因此可以放心地忽略它。
答案2
根据您提供的信息,无法判断这是否是 DOS。但这可能是 DNS 放大攻击。
数据包捕获可以解释这一点。但如果只有 3 天的 6MB 日志,我会说这不太可能。
答案3
这是 DDoS 攻击,但您是攻击者!(好吧,几乎是,因为有良好的 iptables 规则)更准确地说,您通过这种方式与攻击主机 178.33.217.13 的个人合作。此 IP 不是攻击者,但这是一个受害者,被带有欺骗 IP 的 dns 查询答案淹没。换句话说,您可以通过这种方式回答没有向您询问任何内容的主机。好消息是,您的防火墙阻止了这次攻击。我敢肯定,这是 DNS 放大攻击。