web-dev-qa-db-ja.com

サーバーログではなく、ルーターログのポート80での接続試行

ルータの背後にあるLANに接続されたUbuntuサーバーのポート80に静的Apache2 Webサイトがあります。 Webサイトは正常に機能します。

ルーターログには、このようにポート80への接続試行のバーストが表示されます

[LAN access from remote] from 46.101.54.78:31560 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:30:16
[LAN access from remote] from 46.101.54.78:25586 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:29:51
[LAN access from remote] from 46.101.54.78:25216 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:28:38
[LAN access from remote] from 46.101.54.78:52677 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:28:13
[LAN access from remote] from 46.101.54.78:36812 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:27:00
[LAN access from remote] from 46.101.54.78:45750 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:26:36
[LAN access from remote] from 46.101.54.78:17352 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:26:11

ただし、これらの接続試行は、Apache2エラーまたはアクセスログのいずれにも表示されません。

ここで何が起こっているかを示す他のログはありますか?

2
Organic Marble

これは、 SYNフラッド 攻撃である可能性があります。

手短に言えば、リモートの攻撃者はできるだけ多くのTCP接続を開き、リソース(メモリ、ログディスクなど)を使い果たしようとします。

デフォルトのApache2構成(16.04でテスト済み)では、このようなデータレス接続は記録されません。

あなたのubuntuボックスは、そのような攻撃から保護されるべきです、net.ipv4.tcp_syncookiesはUbuntuでデフォルトで有効になっているようですが、ルーターが危険にさらされている可能性があります。

2
pim