bob*_*obo -4 security ubuntu snort
我意识到这是一个笨拙/初学者的问题,但我在中国受到了几个地址的攻击,我不知道如何解决这个问题。
我的 snort 日志(是的,我正在使用 snort!我看到你印象深刻)显示如下内容:
TCP端口扫描
[**] [122:1:0] (portscan) TCP Portscan [**]
[Priority: 3]
11/09-06:48:46.652278 58.218.199.227 -> 208.69.57.101
PROTO:255 TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:166 DF
并且fragmentation overlap:
[**] [123:8:1] (spp_frag3) Fragmentation overlap [**]
[Priority: 3]
11/09-06:25:44.678218 208.69.57.102 -> 183.177.114.1
UDP TTL:64 TOS:0x0 ID:33670 IpLen:20 DgmLen:1500 MF
Frag Offset: 0x0000 Frag Size: 0x05C8
我不明白这是什么意思,但我认为这意味着有人正在从 58.218.199.227(208.69.57.101 是我的 IP 地址)对我进行端口扫描。他们还分散了我的重叠部分,我对此并不友好。
这是alertsnort生成的文件。我的服务器提供商关闭了我的服务器,因为他说昨晚有 60 GB 的数据传输。
那我现在该怎么办?
在我看来,这些警报只是简单的背景噪音。只要在互联网上可见,您就会在任何防火墙或 IDS 系统中收到“端口扫描”警报。他们是攻击吗?不,不是真的。他们只是在晃动门把手,以确定哪些门可能是打开的。这是完成任何其他操作之前的侦察步骤。
Snort 会向它们抛出 ALERT,因为它们可能很有趣。被扫描端口的趋势对一般信息安全社区来说很有趣,因为它们会产生关于黑客社区认为新易受攻击的内容的情报。如果您真的不在乎摇晃门把手,我相信您可以抑制这些警报。