Logging

這是拒絕服務攻擊嗎?

  • April 17, 2013

我的 kern.log 被這些行淹沒了:

Jan  4 03:00:57 myhost kernel: [9040601.809740] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=33285 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:01:09 myhost kernel: [9040613.699425] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=62996 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:01:21 myhost kernel: [9040625.584770] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=26121 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:01:33 myhost kernel: [9040637.471088] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=59140 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:01:45 myhost kernel: [9040649.352450] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=33805 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:01:56 myhost kernel: [9040661.237910] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=33285 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:02:08 myhost kernel: [9040673.116958] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=14341 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:02:20 myhost kernel: [9040685.003337] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=22793 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:02:32 myhost kernel: [9040696.886561] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=32783 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:02:44 myhost kernel: [9040708.770251] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=14854 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:02:56 myhost kernel: [9040720.652454] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=56844 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:03:08 myhost kernel: [9040732.530823] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=4373 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:03:20 myhost kernel: [9040744.409373] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=62989 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:03:32 myhost kernel: [9040756.417865] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=4116 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:03:44 myhost kernel: [9040769.008748] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=16136 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:03:57 myhost kernel: [9040782.192103] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=9476 PROTO=UDP SPT=25345 DPT=53 LEN=44 
Jan  4 03:04:10 myhost kernel: [9040795.020864] iptables denied: IN=eth0 OUT= MAC=10:00:25:09:e7:40:00:21:5e:3f:c4:04:08:00 SRC=178.33.217.13 DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=236 ID=55553 PROTO=UDP SPT=25345 DPT=53 LEN=44 

這是 DoS 攻擊嗎?當然 xx.xx.xx.xx 是我的 IP 地址(目的地)。

編輯:我也有很多來自其他 IP 的請求,但相同的埠。

不,這不是 DDoS,甚至根本不明顯它是任何類型的攻擊。

它是一個試圖聯繫伺服器上的 UDP 埠 53 的單個 IP 地址。這是 DNS 使用的埠。

很可能你最近搬進了這台伺服器,剛剛獲得了這個 IP 地址,而這個 IP 地址的一些以前的使用者在上面有一個 DNS 伺服器。

由於您沒有執行 DNS 伺服器,因此您可以放心地忽略它。

根據您提供的資訊,無法判斷這是否是 DOS。但這可能是 DNS 放大攻擊。

數據包擷取將能夠對此有所了解。但如果 3 天只有 6MB 的日誌,我會說這不太可能。

引用自:https://serverfault.com/questions/462839