我的网络服务器最近被提供商封锁了,原因是它正在对另一台服务器进行攻击。电子邮件包含以下日志:
08:26:39.219940 68:05:ca:07:02:01 > 78:fe:3d:46:e8:a5, ethertype IPv4
(0x0800), length 1057: 5.9.97.70.46156 > 180.97.163.74.80: UDP, length 1015
08:26:39.221584 68:05:ca:07:02:01 > 78:fe:3d:46:e8:a5, ethertype IPv4
(0x0800), length 1061: 5.9.97.70.55018 > 180.97.163.74.80: UDP, length 1019
08:26:39.221669 68:05:ca:07:02:01 > 78:fe:3d:46:e8:a5, ethertype IPv4
(0x0800), length 1053: 5.9.97.70.36559 > 180.97.163.74.80: UDP, length 1011
...
我不知道是什么导致了这种情况,显然没有人成功进入系统。如果我理解正确的话,这是传出流量。
该日志是否意味着该服务器故意攻击另一台服务器,或者该行为是否有其他解释?我花了几天时间才弄清楚问题可能出在哪里,因此,如果有经历过类似情况的人可以在这里与我分享他的见解,我将不胜感激。
防火墙应该已经处于活动状态。
答案1
您的问题省略了有关此数据包捕获执行位置的信息。但是,从源 MAC 注册为 Intel Corporate(以 68:05:CA 开头)和目标 MAC 注册为 Juniper Networks(以 78:FE:3D 开头)来看,这听起来像是在从您的服务器到第一个路由器的链路上捕获的。
如果是这样的话,那就排除了你只是因为互联网上其他人伪造数据包而受到指责的可能性。
不过,发送到 UDP 端口 80 的 UDP 数据包听起来不像是攻击。我并不知道有任何广泛部署的服务在监听 UDP 端口 80。攻击通常针对广泛部署的服务。
然而,这确实让这些数据包听起来很可疑,因为这些数据包的目的地不太可能是合法服务。此外,由于您的服务器托管在德国,您的用户群不太可能在中国,这使得这些数据包听起来更加可疑。
这些数据包是什么还不得而知,但您的服务器可能已成为僵尸网络的一部分,并180.97.163.74可能成为控制节点。这当然只是纯粹的猜测。我希望完整的电子邮件包含更多信息,解释他们为何认为这种流量是个问题。