Os relatórios de inundação de pacotes sugerem um attacK do DOS?

1

Nossa conexão E1 está sendo fechada pelo nosso firewall *. Isso acontece intermitentemente a cada poucos dias.

Eu encontro entradas de registro como esta ao mesmo tempo que o dropout:

Jun  2 09:53:35 sg580 kernel: Flood - dropped: IN=eth1 OUT= MAC=00:d0:cf:04:7c:13:00:15:2b:ff:97:68:08:00 SRC=61.162.229.252 DST=221.133.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0   

Sempre do mesmo ip SRC também!

Estamos sendo atacados pelo DOS?!

O que podemos fazer sobre isso?

Obrigado,

Ashley

* Nosso firewall é um SnapGear SG580

    
por chickeninabiscuit 04.06.2009 / 02:41

3 respostas

1

Malicioso ou não - é um ataque DOS - mas difícil na melhor das hipóteses.

Observe que o sinalizador SYN está definido, ou seja, ele está tentando estabelecer uma nova conexão com seu IP na porta 1433 - soa como um serviço MS SQL.

Existem vulnerabilidades para esse serviço, então é provável que seja algum script-kiddy tentando ser l33t.

Dê uma olhada na página SANs nas vulnerabilidades da porta 1433 ...

Note que é - muito possível - para executar um ataque DOS de um único host, apesar do comentário anterior feito. Depende do serviço e da vulnerabilidade, não do fato de ser de um ou vários hosts.

Por exemplo, se 1 unidade de ataque causar 5 unidades de desperdício de recursos, talvez o ataque seja melhor usando 100 hosts, no entanto, se 1 unidade de ataque puder causar 100.000 unidades de desperdício de recursos, 1 host é mais que suficiente.

Por fim, observe que o endereço IP da fonte é da China, Pequim. É provável que você esteja recebendo uma conexão MS SQL em uma taxa alta de Pequim? =)

    
por 04.06.2009 / 06:09
0
Tecnicamente, seria usado o DDoS (Distributed Denial of Service) para descrever um ataque DoS de vários IPs de origem, mas é quase impossível causar uma condição de negação de serviço quando a inundação de um único IP, sem mencionar que ocorre apenas a cada poucos dias. Então, não, eu não chamaria isso de ataque DoS.

Eu diria bloqueá-lo e ver como as coisas correm.

Ehtyar.

    
por 04.06.2009 / 03:14
0

Pode ser um problema de configuração na máquina em questão que faz com que ele envie uma inundação. Pode ser um problema de configuração de roteador ou rede. Ou poderia ser algo hostil. Depende se vem de dentro ou de fora da sua rede. Parece que está vindo de fora da sua rede. Neste caso, eu concordo com Ehtyar Holmes e digo bloqueá-lo e ver o que acontece. Se for alguém que possa se conectar legitimamente à sua rede, mas que tenha algum problema com o computador, poderá entrar em contato com você. Se é alguém hostil, eles vão te deixar em paz.

    
por 04.06.2009 / 04:26