Портскан атакует откуда-то

Question

Портскан атакует откуда-то

Я понимаю, что это вопрос начинающего, но на меня напала пара адресов в Китае, и я не уверен, как закрыть дыру.

Мои журналы snort (да, я использую snort! Я вижу, вы впечатлены) показывают такие вещи:

TCP Portscan

[**] [122:1:0] (portscan) TCP Portscan [**]
[Priority: 3] 
11/09-06:48:46.652278 58.218.199.227 -> 208.69.57.101
PROTO:255 TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:166 DF

А также fragmentation overlap:

[**] [123:8:1] (spp_frag3) Fragmentation overlap [**]
[Priority: 3] 
11/09-06:25:44.678218 208.69.57.102 -> 183.177.114.1
UDP TTL:64 TOS:0x0 ID:33670 IpLen:20 DgmLen:1500 MF
Frag Offset: 0x0000   Frag Size: 0x05C8

Я не понимаю, что это значит, но я думаю, что это означает, что кто-то сканирует порты с 58.218.199.227 (208.69.57.101 - мой IP-адрес). Они также фрагментируют мои совпадения, к которым я не отношусь любезно.

Это alert файл, сгенерированный snort. Мой провайдер сервера отключил мой сервер, потому что он сказал, что прошлой ночью было что-то вроде 60 ГБ передачи данных.

Так что мне теперь делать?

Каковы немедленные действия? Я закрыл веб-сервер, MySQL сервер. Что-нибудь еще, что я должен сделать?
Как мне решить проблему? Должен ли я просто просмотреть файл журнала и вручную заблокировать все IP-адреса, которые генерировали предупреждения?

-4

ubuntu security snort

Источник

bobobobo 09 ноя '11 в 17:36

2 ответа

Другие вопросы по тегам ubuntu security snort

sysadmin1138 09 ноя '11 в 17:48 2011-11-09 17:48 · Answer 1 · 2011-11-09 17:48

На мой взгляд, эти предупреждения являются простым фоновым шумом. Просто будучи видимым из интернета, вы будете получать предупреждения "portcan" в любом брандмауэре или системе IDS. Это атака? Нет, не совсем. Они просто покачивают дверные ручки, чтобы понять, какие двери открыты. Это контрольный шаг, прежде чем что-либо еще будет сделано.

Snort бросает ALERT на тех, потому что они потенциально интересны. Тенденции в сканируемых портах интересны для общего сообщества по информационной безопасности, поскольку они дают информацию о том, что хакерское сообщество считает недавно уязвимым. Если вы действительно не заботитесь о покачивании дверных ручек, я думаю, что вы можете подавить эти оповещения.

bobobobo 09 ноя '11 в 17:45 2011-11-09 17:45 · Answer 2 · 2011-11-09 17:45

Я вручную заблокировал все IP-адреса, которые появляются в журналах snort.

Вот документ CERT, в котором излагаются шаги, предпринимаемые для управления атаками UDP.

0

Источник

bobobobo 09 ноя '11 в 17:45