Quindi, per oltre 2 settimane, Im riceve ciò che appare una combinazione di attacchi non-stop 24/7 .
Prima questa UDP alluvione a una velocità stranamente piccola di 280 Kbps / 110 pps (360 byte di lunghezza)
02:29:41.978484 IP (tos 0x0, ttl 48, id 56020, offset 0, flags [DF], proto UDP (17), length 360)
120.xxx.xxx.xxx.15070 > 200.xxx.xxx.xxx.7072: [udp sum ok] UDP, length 332
0x0030: fefe 7f7f fefe 7f7f fffe ff7f fffe fe7f ................
0x0040: 7ffe fe7f 7ffe ff7f 7eff feff ff7e fefe ........~....~..
0x0050: ff7e 7ffe ffff 7e7f feff 7f7e fffe 7f7f .~....~....~....
0x0060: 7efe ffff 7e7f fefe ff7e ffff ffff 7efe ~...~....~....~.
0x0070: ff7f 7e7f feff 7f7e ffff 7f7e 7ffe 7f7e ..~....~...~...~
0x0080: 7eff ffff 7e7f feff 7e7e feff 7f7e ffff ~...~...~~...~..
0x0090: ff7f ffff 7f7e fffe 7f7f 7efe ff7f 7ffe .....~....~.....
0x00a0: fe7f 7f7f fefe 7f7e fffe ff7f 7efe feff .......~....~...
0x00b0: 7eff feff 7f7e fffe ff7f 7ffe feff 7efe ~....~........~.
0x00c0: feff 7e7f feff ff7f fefe 7f7f 7ffe fe7f ..~.............
0x00d0: 7e7f feff 7f7f fefe 7f7e fefe ff7e feff ~........~...~..
0x00e0: 7f7e ffff ff7e fffe ff7f 7ffe ff7f 7eff .~...~........~.
0x00f0: feff 7f7e fffe 7f7e 7efe ff7f 7e7f fefe ...~...~~...~...
0x0100: 7f7e 7fff ff7f 7fff fe7f 7e7f feff 7e7e .~........~...~~
0x0110: fffe 7f7e 7ffe 7f7e 7eff fe7f 7e7e fefe ...~...~~...~~..
0x0120: 7f7e fffe ff7e 7efe ff7f 7eff ff7f 7efe .~...~~...~...~.
0x0130: ff7f 7eff feff 7fff feff 7e7f feff 7e7e ..~.......~...~~
0x0140: fefe ff7f 7ffe feff 7f7e fefe 7f7e fffe .........~...~..
0x0150: fe7f 7ffe feff ff7f fefe ff7f fffe feff ................
0x0160: 7ffe fefe 7f7f fefe ........
Sono pacchetti non-stop con la stessa destinazione e lo stesso IP sorgente.
Simultanome, sono colpito da una combinazione di porte TCP casuali + porta 445, con una velocità inferiore di 5 pacchetti al secondo. Sembrano essere gli scanner SYN / 445 tentativi di bussare alla porta.
43.xxx.xxx.xxx.1000 > 200.xxx.xxx.xxx.40476: Flags [S.], cksum 0xaee4 (incorrect -> 0xaedc), seq xxx:xxx, ack xxx, win 8760, length 8
02:30:49.862649 IP (tos 0x0, ttl 239, id 19108, offset 0, flags [DF], proto TCP (6), length 48)
43.xxx.xxx.xxx.1000 > 200.xxx.xxx.xxx.9752: Flags [S.], cksum 0x4dcf (incorrect -> 0x4dc7), seq xxx:xxx, ack xxx, win 8760, length 8
02:30:50.644298 IP (tos 0x0, ttl 239, id 61707, offset 0, flags [DF], proto TCP (6), length 48)
43.xxx.xxx.xxx.1000 > 200.xxx.xxx.xxx.22728: Flags [S.], cksum 0x9ee6 (incorrect -> 0x9ede), seq xxx:xxx, ack xxx, win 8760, length 8
02:31:11.700387 IP (tos 0x48, ttl 106, id 18219, offset 0, flags [DF], proto TCP (6), length 52)
Now begins 445 probes...
36.xxx.xxx.xxx.63133 > 200.xxx.xxx.xxx.445: Flags [S], cksum 0x5f48 (correct), seq xxx:xxx, ack xxx, win 8192, options [mss 1452,nop,wscale 2,nop,nop,sackOK], length 0
02:31:21.049800 IP (tos 0x0, ttl 106, id 3996, offset 0, flags [DF], proto TCP (6), length 52)
123.xxx.xxx.xxx.7264 > 200.xxx.xxx.xxx.445: Flags [S], cksum 0x745e (correct), seq seq xxx:xxx, ack xxx, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
02:31:32.355143 IP (tos 0x48, ttl 110, id 2945, offset 0, flags [DF], proto TCP (6), length 52)
45.xxx.xxx.xxx.61134 > 200.xxx.xxx.xxx.445: Flags [S], cksum 0xda92 (correct), seq xxx:xxx, ack xxx, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
02:31:33.441688 IP (tos 0x28, ttl 109, id 8648, offset 0, flags [DF], proto TCP (6), length 52)
Allo stesso tempo, ci sono ~ 3 pacchetti al secondo a 4 porte nell'intervallo 5000-5100.
02:51:50.124083 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 364
02:51:50.278002 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 371
02:51:51.202326 IP 221.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 364
02:51:54.078075 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 360
02:51:54.123284 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 364
02:51:54.314175 IP 49.xxx.xxx.xxx.5060 > 200.xxx.xxx.xxx.50xx: SIP, length: 371
Inoltre, ogni 1 ora circa, c'è un rapido SYN probe da 300 pacchetti al secondo da un singolo IP a più host nella mia sottorete, incluso il mio provider di server DNS.
01:40:42.257034 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.25792: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.257243 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.62826: Flags [S.], seq xxx:xxx, ack xxx, ack xxx, win 8760, length 8
01:40:42.258176 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.2613: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.258203 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.6335: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.258890 IP 43.xxx.xxx.xxx.9594 > DNS.provider: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
01:40:42.258921 IP 43.xxx.xxx.xxx.9594 > 200.xxx.xxx.xxx.32031: Flags [S.], seq xxx:xxx, ack xxx, win 8760, length 8
TUTTE le mie porte sono filtrate (DROP), incluso il blocco UDP, ICMP in modo completo. Questa è una macchina isolata che alla fine aprirà la porta 80.
Quindi la domanda che mi interessa è questa inondazione UDP di 280 Kbps . Che scopo serve? È un segnale di avvertimento DDoS?
Combinati tutti gli IP, ci sono stati oltre +5000 IP univoci (sono stato anche tentato di usare la forza bruta SSH quando apro un registro di 22, 5 GB)