背景
在一个小型私人网络(1 个路由器/FW + 1 个服务器)发生事故期间,我的服务器意外暴露在互联网上。
幸运的是,它受到自己的 UFW 的保护,只允许来自特定网络范围的 1 个特定流量,并丢弃此接口上的所有其他流量。
因此,在事件发生期间,它记录了大量异常流量,我试图对其进行分类。我得到了:
- 端口扫描(
SYN仅限数据包) - DNS 扫描(UDP 至端口 53)
- DNS 欺骗尝试(UDP 从端口 53 到端口 > 40000)
但我也得到了 1 个无法分类的模式......
问题
- 我的分类正确吗?
- 您知道什么样的流量/攻击尝试会触发我的防火墙记录具有以下规范的数据包吗:
TCP仅有的- 旗帜:
ACK(90%)或ACK+PSH(10%) - 主要来自
port 8888(70%) LEN=52 WINDOW=18(50%);LEN <100(90%)和WINDOW<=20(90%)- 目的港范围广泛,超过 30000 个