J'utilise des instances amazon 85 ec2. Avant-hier, j'ai reçu des e-mails d'AMAZON pour Abus d'AMAZON EC2 . il parle d'attaques DOS sur un hôte distant.
Le contenu du courrier d'Amazon est joint pour votre référence.
Attaques par déni de service contre des hôtes distants sur Internet ; vérifiez les informations fournies ci-dessous par le rapporteur de l'abus.
Extrait de journal :
2012-02-23 00:31:38.218128 IP (tos 0x0, ttl 64, id 5911, offset 0, flags [DF], proto: UDP (17), length: 78) IP_addres.33840 > 89.36.27.40.0: UDP, length 50
2012-02-23 00:31:38.218146 IP (tos 0x0, ttl 64, id 5912, offset 0, flags [DF], proto: UDP (17), length: 78) IP_address.33840 > 89.36.27.40.0: UDP, length 50
mon client m'a informé qu'il fallait bloquer le port 17 dans iptables. nous l'avons bloqué en utilisant la commande iptables :-)
sudo iptables -A OUTPUT -p udp --dport 17 -j DROP.
Après le blocage du port UDP en 17, les attaques DOS ont continué.
Enfin, nous récupérons le journal des attaques DOS par la commande :
sudo tcpdump -nnvv -i any 'udp[tcp-syn] & (tcp-syn)' != 0 and not port 22
J'ai besoin de clarifier si, dans les valeurs du journal d'AMAZON, "proto : UDP (17)" signifie le port UDP 17. Si oui, cela signifie que nous avons bloqué le port sortant. Comment l'attaque continue-t-elle ?
Sinon, nous devons prendre des mesures ou effectuer des tests supplémentaires.
Veuillez fournir une solution pour arrêter ces attaques DOS.