我在连接到路由器后面的 LAN 的 Ubuntu 服务器上的端口 80 上有一个静态 Apache2 网站。该网站正常运行。
我的路由器日志显示对端口 80 的连接尝试次数激增,如下所示
[LAN access from remote] from 46.101.54.78:31560 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:30:16
[LAN access from remote] from 46.101.54.78:25586 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:29:51
[LAN access from remote] from 46.101.54.78:25216 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:28:38
[LAN access from remote] from 46.101.54.78:52677 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:28:13
[LAN access from remote] from 46.101.54.78:36812 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:27:00
[LAN access from remote] from 46.101.54.78:45750 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:26:36
[LAN access from remote] from 46.101.54.78:17352 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:26:11
但是这些连接尝试不会出现在 Apache2 错误或访问日志中。
还有其他日志可以显示这里发生的事情吗?
答案1
这可能是SYN洪水攻击。
简而言之,远程攻击者尝试打开尽可能多的 TCP 连接,试图耗尽一些资源(内存、日志磁盘等)。
默认的 apache2 配置(在 16.04 上测试)不会记录这种无数据的连接。
你的 ubuntu 盒子应该受到保护以免受此类攻击,net.ipv4.tcp_syncookies似乎在 ubuntu 上默认启用,但你的路由器可能存在风险。