UDP淹没了300 Kbps + SYN探测/其他攻击。洪水还是低速率的DDoS?
UDP淹没了300 Kbps + SYN探测/其他攻击。洪水还是低速率的DDoS?
提问于 2017-08-31 04:42:35
因此,在超过2周的时间里,我收到的是一种不间断的24/7攻击的组合。
首先,UDP以280 Kbps / 110 pps (360字节长)的小速率泛滥。
02:29:41.978484 IP (tos 0x0, ttl 48, id 56020, offset 0, flags [DF], proto UDP (17), length 360)
120.xxx.xxx.xxx.15070 > 200.xxx.xxx.xxx.7072: [udp sum ok] UDP, length 332
0x0030: fefe 7f7f fefe 7f7f fffe ff7f fffe fe7f ................
0x0040: 7ffe fe7f 7ffe ff7f 7eff feff ff7e fefe ........~....~..
0x0050: ff7e 7ffe ffff 7e7f feff 7f7e fffe 7f7f .~....~....~....
0x0060: 7efe ffff 7e7f fefe ff7e ffff ffff 7efe ~...~....~....~.
0x0070: ff7f 7e7f feff 7f7e ffff 7f7e 7ffe 7f7e ..~....~...~...~
0x0080: 7eff ffff 7e7f feff 7e7e feff 7f7e ffff ~...~...~~...~..
0x0090: ff7f ffff 7f7e fffe 7f7f 7efe ff7f 7ffe .....~....~.....
0x00a0: fe7f 7f7f fefe 7f7e fffe ff7f 7efe feff .......~....~...
0x00b0: 7eff feff 7f7e fffe ff7f 7ffe feff 7efe ~....~........~.
0x00c0: feff 7e7f feff ff7f fefe 7f7f 7ffe fe7f ..~.............
0x00d0: 7e7f feff 7f7f fefe 7f7e fefe ff7e feff ~........~...~..
0x00e0: 7f7e ffff ff7e fffe ff7f 7ffe ff7f 7eff .~...~........~.
0x00f0: feff 7f7e fffe 7f7e 7efe ff7f 7e7f fefe ...~...~~...~...
0x0100: 7f7e 7fff ff7f 7fff fe7f 7e7f feff 7e7e .~........~...~~
0x0110: fffe 7f7e 7ffe 7f7e 7eff fe7f 7e7e fefe ...~...~~...~~..
0x0120: 7f7e fffe ff7e 7efe ff7f 7eff ff7f 7efe .~...~~...~...~.
0x0130: ff7f 7eff feff 7fff feff 7e7f feff 7e7e ..~.......~...~~
0x0140: fefe ff7f 7ffe feff 7f7e fefe 7f7e fffe .........~...~..
0x0150: fe7f 7ffe feff ff7f fefe ff7f fffe feff ................
0x0160: 7ffe fefe 7f7f fefe ........这些是具有相同端口目的地和相同源IP的不停止数据包。
同时,Im被随机TCP端口+端口445的组合击中,速度较小,每秒5个数据包。他们似乎只是SYN扫描仪/ 445端口敲门尝试。
43.xxx.xxx.xxx.1000 > 200.xxx.xxx.xxx.40476: Flags [S.], cksum 0xaee4 (incorrect -> 0xaedc), seq xxx:xxx, ack xxx, win 8760, length 8
02:30:49.862649 IP (tos 0x0, ttl 239, id 19108, offset 0, flags [DF], proto TCP (6), length 48)
43.xxx.xxx.xxx.1000 > 200.xxx.xxx.xxx.9752: Flags [S.], cksum 0x4dcf (incorrect -> 0x4dc7), seq xxx:xxx, ack xxx, win 8760, length 8
02:30:50.644298 IP (tos 0x0, ttl 239, id 61707, offset 0, flags [DF], proto TCP (6), length 48)
43.xxx.xxx.xxx.1000 > 200.xxx.xxx.xxx.22728: Flags [S.], cksum 0x9ee6 (incorrect -> 0x9ede), seq xxx:xxx, ack xxx, win 8760, length 8
02:31:11.700387 IP (tos 0x48, ttl 106, id 18219, offset 0, flags [DF], proto TCP (6), length 52)
Now begins 445 probes...
36.xxx.xxx.xxx.63133 > 200.xxx.xxx.xxx.445: Flags [S], cksum 0x5f48 (correct), seq xxx:xxx, ack xxx, win 8192, options [mss 1452,nop,wscale 2,nop,nop,sackOK], length 0
02:31:21.049800 IP (tos 0x0, ttl 106, id 3996, offset 0, flags [DF], proto TCP (6), length 52)
123.xxx.xxx.xxx.7264 > 200.xxx.xxx.xxx.445: Flags [S], cksum 0x745e (correct), seq seq xxx:xxx, ack xxx, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
02:31:32.355143 IP (tos 0x48, ttl 110, id 2945, offset 0, flags [DF], proto TCP (6), length 52)
45.xxx.xxx.xxx.61134 > 200.xxx.xxx.xxx.445: Flags [S], cksum 0xda92 (correct), seq xxx:xxx, ack xxx, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
02:31:33.441688 IP (tos 0x28, ttl 109, id 8648, offset 0, flags [DF], proto TCP (6), length 52)同时,也有一个~3包每秒到4个端口在5000-5100范围内。
02:51:50.124083 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 364
02:51:50.278002 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 371
02:51:51.202326 IP 221.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 364
02:51:54.078075 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 360
02:51:54.123284 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 364
02:51:54.314175 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 371最重要的是,每1小时左右,从一个IP到我的子网中的多个主机(包括我的DNS服务器提供程序)每秒有一个快速300个数据包。
01:40:42.257034 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.25792: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.257243 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.62826: Flags [S.], seq xxx:xxx, ack xxx, ack xxx, win 8760, length 8
01:40:42.258176 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.2613: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.258203 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.6335: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.258890 IP 43.xxx.xxx.xxx.9594 > DNS.provider: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.258921 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.32031: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8我所有的端口都被过滤(删除),包括完全阻塞UDP,ICMP。这是一台孤立的机器,最终将打开端口80。
所以我感兴趣的问题是280 Kbps的UDP洪水。它有什么用途?这是一个DDoS警告标志吗?
综合所有的I,已经有超过5000个独特的I(当我打开22,5GB的日志时,我也试图使用SSH蛮力)
回答 2
Security用户
发布于 2018-09-28 08:18:37
我的脚步会放松:
- 就像迈克尔说的-报告!
- 调查不同类型攻击中源地址的交集-来自UDP端口7072的地址与扫描SIP端口的地址是否相交?如果你有IP面对互联网,这是相当常见的捕获几个端口扫描尝试。基本上,根据您对攻击者是谁的假设将流量划分为多个组,并将重点放在专门针对您的IP的攻击者身上,这将是最危险的。
- 要了解更多关于攻击者强度的信息,我将为少数几个连接打开受影响的端口,并调查传入的有效负载。但是不要让攻击者连接到真正的服务!您可以使用简单的netcat:
nc -l -u IP 7020。
Security用户
发布于 2017-09-01 13:57:46
这可能是某种啮齿类/shrew DoS (因为您说数据包源地址总是相同的)攻击,尽管这些攻击通常以TCP服务为目标。总之,这些攻击试图消耗机器的资源,不是通过发送大量的数据,比如常规DoS/DDoS,而是通过播放超时、重传窗口等来获得相同的结果。有关这类攻击的更多信息,请参见本文:http://www.cs.cornell.edu/People/egs/cornellonly/syslunch/spring04/p75-kuzmanovic.pdf
检查UDP目标端口和跟踪中显示的有效负载(二进制内容),另一种可能是它可能指向某个游戏服务器或流服务(https://www.speedguide.net/port.php?port=7072),这些服务器可能容易受到DrDoS ( UDP服务常见)的攻击。这可能是你调查的好起点。
希望能帮上忙。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/168530
复制相关文章
相似问题
腾讯云开发者
