1 votes

Abus d'Amazon EC2

J'utilise des instances amazon 85 ec2. Avant-hier, j'ai reçu des e-mails d'AMAZON pour Abus d'AMAZON EC2 . il parle d'attaques DOS sur un hôte distant.

Le contenu du courrier d'Amazon est joint pour votre référence.

Attaques par déni de service contre des hôtes distants sur Internet ; vérifiez les informations fournies ci-dessous par le rapporteur de l'abus.

Extrait de journal :

2012-02-23 00:31:38.218128 IP (tos 0x0, ttl 64, id 5911, offset 0, flags [DF], proto: UDP (17), length: 78) IP_addres.33840 > 89.36.27.40.0: UDP, length 50
2012-02-23 00:31:38.218146 IP (tos 0x0, ttl 64, id 5912, offset 0, flags [DF], proto: UDP (17), length: 78) IP_address.33840 > 89.36.27.40.0: UDP, length 50

mon client m'a informé qu'il fallait bloquer le port 17 dans iptables. nous l'avons bloqué en utilisant la commande iptables :-)

sudo iptables -A OUTPUT -p udp --dport 17 -j DROP.

Après le blocage du port UDP en 17, les attaques DOS ont continué.

Enfin, nous récupérons le journal des attaques DOS par la commande :

sudo tcpdump -nnvv -i any 'udp[tcp-syn]  & (tcp-syn)' != 0 and not port 22

J'ai besoin de clarifier si, dans les valeurs du journal d'AMAZON, "proto : UDP (17)" signifie le port UDP 17. Si oui, cela signifie que nous avons bloqué le port sortant. Comment l'attaque continue-t-elle ?

Sinon, nous devons prendre des mesures ou effectuer des tests supplémentaires.

Veuillez fournir une solution pour arrêter ces attaques DOS.

2voto

Nathan V Points 711

Comment l'attaque continue-t-elle ?

Vous n'avez pas réglé le problème de la source. Vous devez examiner minutieusement vos journaux pour voir comment quelqu'un d'autre fait en sorte que votre serveur génère ce trafic. Essayez d'utiliser tcpdump pour voir si d'autres connexions entrantes ou sortantes de votre instance sont inhabituelles. Il se peut qu'un service ouvert au public (involontairement) soit à l'origine de ce problème. Vérifiez quels ports sont ouverts dans votre instance pour savoir ce qui est exposé à l'Internet.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X