Интерпретация ** RABHIT ** журналы - Потенциальный Attak - SYN?
Я размещаю сеть на Linux - Debian Хрипящий x64. Нашим веб-сервером является LiteSpeed
- использование APF-брандмауэра и DDoS-поражения
Недавно, мы получаем журналы ниже вида, говоря нам это может быть потенциальная атака (??), однако ищет разрешение понять, что эта определенная ситуация имеет, приносят нулевые полезные результаты.
Вы могли принести более легкий на этом виде журналов? Должны нам придется заботиться об этом? Если да, какие-либо предложения?
www kernel: [2175206.842121] ** RABHIT ** IN=eth0 OUT= MAC=02:00:00:5b:00:82:10:bd:18:e5:ff:80:08:00 SRC=195.39.196.50 DST=xx.xx.xx.xx LEN=44 TOS=0x08 PREC=0x00 TTL=52 ID=0 PROTO=TCP SPT=80 DPT=1 WINDOW=0 RES=0x00 ACK SYN URGP=0
DST имеет источник IP машины
Существует не много повторных журналов как это, 1-3 время от времени - другой дюйм/с SRC
Спасибо
Пакет выглядит почти как легитимный SYN-ACK пакет. Единственная часть пакета, которая выглядит неправильно, это эфемерный номер порта. Предполагается, что эфемерные порты - от 49152 и выше, но в вашем пакете это 1.
Похоже на возможную атаку SYN flood против 195.39.196.50. Этот IP подвергается атаке, и злоумышленник подменяет в атаке ваш IP адрес источника (скорее всего, злоумышленник подменяет тысячи других адресов одновременно). Атакующий также выбирает эфемерный номер порта
Если это действительно так, то администратору будет легко отбить этот SYN-флуд, потому что он может просто отвергнуть все SYN-пакеты, используя 1 в качестве эфемерного порта.
SYN-флуд пытается исчерпать память на сервере. Каждый SYN-пакет, полученный этим сервером, выделит часть памяти, которая останется выделенной до завершения соединения. Вы можете уменьшить воздействие на этот сервер, убедившись, что ваш брандмауэр отвечает на нераспознанный пакет пакетом RST. Таким образом, вместо того, чтобы выделять память до завершения соединения, она будет выделяться только на несколько миллисекунд, необходимых для отправки SYN-ACK и получения RST обратно
.