晚上好。
今天我注意到我正在使用的盒子上出现了奇怪的洪水,这里是来自 tcpdump 的转储:
23:21:07.580917 IP (tos 0x0, ttl 64, id 5746, offset 0, flags [DF], proto TCP (6), length 94) f125.wedos.net.microsoft-ds > kryton.progresive.cz.57250: Flags [P.], cksum 0xbe27 (correct), seq 3455992339:3455992381, ack 1572183034, win 23577, options [nop,nop,TS val 782520278 ecr 604343104], length 42SMB PACKET: SMBecho (REPLY)
23:21:07.718300 IP (tos 0x0, ttl 64, id 45880, offset 0, flags [DF], proto TCP (6), length 216) f125.wedos.net.microsoft-ds > gin.adminsite.cz.47263: Flags [P.], cksum 0xa55d (correct), seq 967:1131, ack 1483, win 15597, options [nop,nop,TS val 782520417 ecr 743201370], length 164SMB PACKET: SMBtrans2 (REPLY)
23:21:07.720359 IP (tos 0x0, ttl 64, id 45881, offset 0, flags [DF], proto TCP (6), length 216) f125.wedos.net.microsoft-ds > gin.adminsite.cz.47263: Flags [P.], cksum 0x5ee0 (correct), seq 1131:1295, ack 1605, win 15597, options [nop,nop,TS val 782520418 ecr 743201371], length 164SMB PACKET: SMBtrans2 (REPLY)
23:21:07.720932 IP (tos 0x0, ttl 64, id 45882, offset 0, flags [DF], proto TCP (6), length 91) f125.wedos.net.microsoft-ds > gin.adminsite.cz.47263: Flags [P.], cksum 0xdc2e (correct), seq 1295:1334, ack 1733, win 15597, options [nop,nop,TS val 782520419 ecr 743201373], length 39SMB PACKET: SMBtrans2 (REPLY)
峰值约为每秒 250 个这样的数据包(“仅”~10mbit/s,但仍然很烦人)。
f125.wedos.net 不是我的主机名,而是与我的提供商位于不同子网的主机。目标地址是来自我的提供商的子网中的一个随机地址。
Box 运行的是 Debian 7.7,这是一个全新安装,没有重大修改,也没有运行其他服务/守护程序。
我该如何防止这种情况发生?我应该直接与数据中心的技术人员讨论这个问题吗?
谢谢。
答案1
我怎样才能防止这种情况发生?
你可以限制速率:
iptables -I 输入 -p tcp --dport 445 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 445 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
或者如果您需要 samba 服务,则将子网上的传入 tcp/445 全部删除/过滤....该端口通常是 windoze 攻击。