Сервер, Заблокированный Поставщиком, Отправляющим Пакеты UDP в определенный IP - что это означает?
Мой веб-сервер был недавно заблокирован моим поставщиком по причине, что он выполнял нападение к другому серверу. Электронная почта содержала следующий журнал:
08:26:39.219940 68:05:ca:07:02:01 > 78:fe:3d:46:e8:a5, ethertype IPv4
(0x0800), length 1057: 5.9.97.70.46156 > 180.97.163.74.80: UDP, length 1015
08:26:39.221584 68:05:ca:07:02:01 > 78:fe:3d:46:e8:a5, ethertype IPv4
(0x0800), length 1061: 5.9.97.70.55018 > 180.97.163.74.80: UDP, length 1019
08:26:39.221669 68:05:ca:07:02:01 > 78:fe:3d:46:e8:a5, ethertype IPv4
(0x0800), length 1053: 5.9.97.70.36559 > 180.97.163.74.80: UDP, length 1011
...
Я понятия не имею, что, возможно, произвело это, и по-видимому никому не удалось ввести систему. Если я понимаю это правильно, это - исходящий трафик.
Тот журнал подразумевает, что сервер сознательно нападал в другом сервере, или мог поведение какое-либо другое объяснение? Я провел дни в выяснении, что могло быть проблемой, таким образом, я буду действительно ценить, если кто-то, кто испытал аналогичную ситуацию, мог совместно использовать его понимание здесь со мной.
Брандмауэр должен был быть активным.
В вашем вопросе не указана информация о том, где был произведен захват этого пакета. Однако, судя по тому, что исходный MAC-адрес зарегистрирован как Intel Corporate (начиная с 68: 05: CA), а целевой MAC-адрес зарегистрирован как Juniper Networks (начиная с 78: FE: 3D), похоже, что это было записано по ссылке из вашего с сервера к первому маршрутизатору.
Если это так, это исключает возможность того, что вас просто обвиняли в подделке пакетов кем-то еще в Интернете.
UDP-пакеты, отправляемые на UDP-порт 80, не звучат хотя как нападение. Мне не известно о какой-либо широко развернутой службе, прослушивающей порт 80 UDP. Атаки обычно нацелены на широко развернутые службы.
Однако это действительно делает пакеты подозрительными, поскольку кажется маловероятным, что место назначения для этих пакетов является законной службой. Кроме того, поскольку ваш сервер размещен в Германии, маловероятно, что ваша база пользователей будет в Китае, что делает эти пакеты еще более подозрительными.
Что это за пакеты, остается только гадать, но возможно, что ваш сервер стал часть ботнета и 180.97.163.74 может быть контрольным узлом. Это, конечно, чистое предположение. Я ожидаю, что полное письмо будет содержать дополнительную информацию, объясняющую, почему они считают этот трафик проблемой.