Estou usando as instâncias do amazon 85 ec2. Dia antes de ontem recebi e-mails da AMAZON por abuso do AMAZON EC2 . diz sobre os ataques DOS no host remoto.
Ataques de negação de serviço contra hosts remotos na Internet; verifique as informações fornecidas abaixo pelo repórter de abuso.
Extrair log:
2012-02-23 00:31:38.218128 IP (tos 0x0, ttl 64, id 5911, offset 0, flags [DF], proto: UDP (17), length: 78) IP_addres.33840 > 89.36.27.40.0: UDP, length 50
2012-02-23 00:31:38.218146 IP (tos 0x0, ttl 64, id 5912, offset 0, flags [DF], proto: UDP (17), length: 78) IP_address.33840 > 89.36.27.40.0: UDP, length 50
meu cliente me informou para bloquear a porta 17 no iptables. nós bloqueamos usando o comando iptables: -
sudo iptables -A OUTPUT -p udp --dport 17 -j DROP.
Após a porta UDP bloqueada em 17. ainda os ataques do DOS continuaram.
finalmente, buscamos o log de ataque do DOS por comando:
sudo tcpdump -nnvv -i any 'udp[tcp-syn] & (tcp-syn)' != 0 and not port 22
Preciso esclarecer se a partir dos valores de log AMAZON "proto: UDP (17)" significa porta UDP 17. Se sim significa que uma vez bloqueamos a porta de saída. Como o ataque continua?
Caso contrário, precisamos fazer medidas adicionais ou testar.
Por gentileza, qualquer pessoa fornecerá soluções para interromper os ataques do DOS
How the attack continues?
Você não corrigiu o problema de origem. Você deve revisar seus registros detalhadamente para ver como outra pessoa está fazendo com que seu servidor gere esse tráfego. Tente usar o tcpdump para ver se há outras conexões dentro ou fora da sua instância que são incomuns. Você pode ter um serviço aberto ao público (involuntariamente) que está sendo abusado para causar isso. Verifique quais portas estão abertas na sua instância para descobrir o que está exposto à Internet.
Tags amazon-ec2 iptables ubuntu ddos