这些日志是什么意思?我是在攻击某人吗?

这些日志是什么意思?我是在攻击某人吗?

这天晚上,我的服务器进入了“反黑客”模式,我只能使用只读 FTP 下载我的数据。

他们告诉我,我对网络构成了威胁,这些是导致警报的日志:

Attack detail : 82Kpps/25Mbps
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason
2016.04.24 03:04:13 CEST   MY_IP:44530     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:35962     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:18864     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:16468     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:2619      8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:62047     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:7871      8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:12277     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:8326      8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:20403     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:18801     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:19608     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:35276     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:43425     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:43856     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:41362     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:1385      8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:38576     8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:1623      8.8.8.8:53              TCP      RST            40 ATTACK:DNS
2016.04.24 03:04:13 CEST   MY_IP:54750     8.8.8.8:53              TCP      RST            40 ATTACK:DNS

其中 MY_IP 显然是我的服务器的 IP 地址。

  1. 发生什么事了?
  2. 我是在攻击别人吗?
  3. 我受到攻击了吗?
  4. 8.8.8.8 不是谷歌的DNS吗?

答案1

您的服务器似乎正遭受 DNS 放大攻击[1][2][3]。

这意味着您的服务器正在用查询轰炸 Google 的 DNS 服务器,所以您的服务器确实被用来攻击 Google。

您没有受到攻击,您的服务器已被入侵并被用来攻击其他人,在这种情况下,看起来是谷歌。

8.8.8.8 是 Google 公开提供的 DNS 服务

您的服务器是否已完全修补?除了您需要的端口外,其他所有端口是否都已锁定?您的密码是否比较弱?

  1. https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/
  2. http://whatis.techtarget.com/definition/DNS-amplification-attack
  3. https://en.wikipedia.org/wiki/Reflection_attack

相关内容