亚马逊EC2滥用
亚马逊EC2滥用
提问于 2012-02-23 05:48:13
我正在使用Amazon85个ec2实例。前天,亚马逊收到了有关亚马逊滥用EC2的电子邮件。上面写的是DOS对远程主机的攻击。
亚马逊邮件内容附件供您参考.
拒绝服务攻击Internet上的远程主机;请查看以下由虐待记者提供的信息。
日志摘录:
2012-02-23 00:31:38.218128 IP (tos 0x0, ttl 64, id 5911, offset 0, flags [DF], proto: UDP (17), length: 78) IP_addres.33840 > 89.36.27.40.0: UDP, length 50
2012-02-23 00:31:38.218146 IP (tos 0x0, ttl 64, id 5912, offset 0, flags [DF], proto: UDP (17), length: 78) IP_address.33840 > 89.36.27.40.0: UDP, length 50我的客户告诉我在iptables中阻止端口17。我们使用iptables命令阻止:-
sudo iptables -A OUTPUT -p udp --dport 17 -j DROP.在UDP端口于17日被封锁后,DOS的攻击仍在继续。
最后,我们通过命令获取DOS攻击日志:
sudo tcpdump -nnvv -i any 'udp[tcp-syn] & (tcp-syn)' != 0 and not port 22我需要澄清从AMAZON日志值"proto: UDP ( 17 )“是否意味着UDP端口17,如果是意味着一旦我们阻塞了出站端口。袭击是如何进行的?
否则,我们需要做额外的措施或测试。
请任何人提供解决方案来阻止这种DOS攻击
回答 1
Server Fault用户
发布于 2012-11-26 12:26:13
袭击是如何进行的?
你没有解决源头问题。您应该彻底检查您的日志,以查看其他人是如何导致您的服务器生成此流量的。尝试使用tcpdump查看是否有其他与实例有关的连接或来自实例的出站连接不寻常。您可能有一个向公众开放的服务(无意中)被滥用来造成这种情况。检查您的实例中打开了哪些端口,以了解哪些端口暴露在internet上。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/362900
复制相关文章
相似问题
腾讯云开发者
