少なくとも数か月以来、netstat -t
TCPポート22、80、および443がインターネットに公開されているWebサーバー上のコマンドは、多くの場合、SYN_RECV
状態:
$ netstat -nt
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 128.1XX.XX.X:22 142.93.230.186:50603 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 104.248.89.196:36332 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 167.71.79.217:40430 SYN_RECV
tcp 0 0 128.1XX.XX.X:22 142.93.235.90:36742 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 178.128.243.146:35451 SYN_RECV
tcp 0 0 128.1XX.XX.X:443 178.62.253.100:43994 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 188.166.91.16:42461 SYN_RECV
tcp 0 0 128.1XX.XX.X:22 178.62.242.138:33381 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 142.93.235.90:57784 SYN_RECV
tcp 0 0 128.1XX.XX.X:443 165.22.198.207:36181 SYN_RECV
tcp 0 0 128.1XX.XX.X:22 68.183.11.83:63899 SYN_RECV
tcp 0 0 128.1XX.XX.X:22 104.248.93.253:41816 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 104.248.85.129:48833 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 178.62.207.43:59050 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 128.199.55.152:55891 SYN_RECV
tcp 0 0 128.1XX.XX.X:443 178.62.205.23:52978 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 165.22.198.135:36668 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 165.22.203.65:65273 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 68.183.15.91:46722 SYN_RECV
tcp 0 0 128.1XX.XX.X:443 167.71.4.136:55194 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 142.93.228.103:60458 SYN_RECV
tcp 0 0 128.1XX.XX.X:443 178.62.253.100:52599 SYN_RECV
tcp 0 0 128.1XX.XX.X:22 104.248.89.56:46283 SYN_RECV
tcp 0 0 128.1XX.XX.X:443 178.62.250.235:43637 SYN_RECV
tcp 0 0 128.1XX.XX.X:443 167.71.7.181:37556 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 104.248.89.200:64128 SYN_RECV
tcp 0 0 128.1XX.XX.X:22 142.93.139.213:38821 SYN_RECV
tcp 0 0 128.1XX.XX.X:443 104.248.92.161:63004 SYN_RECV
tcp 0 0 128.1XX.XX.X:22 68.183.15.91:46210 SYN_RECV
tcp 0 0 128.1XX.XX.X:443 104.248.92.138:39651 SYN_RECV
tcp 0 0 128.1XX.XX.X:22 178.62.241.74:43953 SYN_RECV
tcp 0 0 128.1XX.XX.X:22 142.93.224.74:42996 SYN_RECV
tcp 0 0 128.1XX.XX.X:443 165.22.196.167:38597 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 178.128.254.3:36751 SYN_RECV
tcp 0 0 128.1XX.XX.X:22 104.248.93.27:32904 SYN_RECV
tcp 0 0 128.1XX.XX.X:443 167.71.78.255:60529 SYN_RECV
tcp 0 0 128.1XX.XX.X:22 165.22.201.209:45397 SYN_RECV
tcp 0 0 128.1XX.XX.X:80 178.62.207.205:39291 SYN_RECV
tcp 0 0 128.1XX.XX.X:22 165.22.198.207:61967 SYN_RECV
tcp 0 0 128.1XX.XX.X:443 178.62.234.81:39309 SYN_RECV
[---cut---]
最初に私が持っていたのはSYNフラッディング攻撃だったということですが、(a)サーバーは「攻撃」の影響をまったく受けていないようです(b)SYNレートはかなり低く、わずか2パケットを超えています/秒。(c)通常、そのサーバー(大学のネットワークでホストされている大学のラボのWebサーバー)と完全に異なるネットブロック(ホームサーバーを介して接続されている)にあるホームサーバーの両方で同じネットブロックから送信されるSYNパケットを観察します。パブリックダイナミックIPを使用した通常の住宅用ファイバー接続)、および(d)LinuxカーネルがSYNフラッドの可能性について準拠することはありません(TCP SYN Cookieが有効になっています)。
私が不思議に思っているのは、これらのSYNパケットの実際の目的が何であるかです。それらはネットワークの問題(不適切に設定されたファイアウォールまたは同様の問題)に起因するものではないようです。ほとんどの場合、データセンターのIPスペースから取得されます。IPスペースは1日ごとに変化します(Amazon EC2、Serverius、DigitalOceanなど)。場合によっては、1つから数個のIPである場合もあれば、数十ある場合もあります。 pingを実行すると、IPが応答する場合とそうでない場合があります。私は散発的にテストしただけですが、ポート80または443のIPで到達可能なWebサーバーを見つけることはほとんどありませんでした(これより多くのポートをスキャンしようとしたことはありません)。彼らは恐らく1時間バーストして来て、その後消えます。それらを自動的に検出して、「スケジュール」があるかどうかを確認するために1時間ごとのプロットを作成することはまだしていません。
これは偽造されたIP送信元アドレスを使用したある種の増幅攻撃である可能性もあると考えていました(受信した各SYNパケットは、サーバーがタイムアウトする前に最終的に5つのSYN ACKパケットを生成します)。しかし、それは(a)a通常のサーバーはRSTパケットで迅速に応答するため、それ以降のSYN ACKを停止します。(b)前述のように、これらのサーバーは、DDoS増幅攻撃に値する可能性のある公開Webサイトをホストしていないようです。
(偽装されている可能性がありますか?)送信元アドレスには、ほとんどPTRレコードがないか、一般的なものがありますが、場合によっては実際のホスト名が提供されます(たとえば、上記のリストでは、142.93.230.186はparimatchklub.comを提供し、明らかにロシアのスポーツ賭博サイトです)。 。サイトへの到達が非常に遅かったので、たぶんそれは確かに、見かけの送信元アドレスに対する何らかの形のリフレクション攻撃ですか?
他の誰かがすでにこれを観察しましたか?これらのパケットの実際の目的について何か説明はありますか?
それは、nmap Hostの発見のようなものによって残されたフットプリントのように見えます。 Nmapは、ホスト検出ツールおよびポートスキャナーです。
nmapのホスト検出フェーズは、icmp pingをブロックするサーバーを検出するために、synパケットをWebサーバーポートに送信できます。誰かがnmapを使用して、IP範囲(または0.0.0.0/0)のライブホストを検出していて、ホストにまったく関心がない可能性があります。
おそらく、SYNパケットとICMPパケットをパケットスニッフィングし、以下で説明するスキャンと比較することで、これを検出できます。 https://nmap.org/book/man-Host-discovery.html
また、より広いポートスキャンでフォローアップしているかどうかも確認できます。脆弱性がわかっている特定のポートを持つホストを探している可能性があります。
これらのパケットの実際の目的について何か説明はありますか?
netstat
の出力は、サーバーがESTABLISH
接続に失敗したことを示しています。これは、暫定的な接続の問題または偽装された(偽造された)IPソースエンドポイントである可能性があります—送信した応答が単にイニシエーターに到達しなかった(s)。
「なりすましバージョン」を選択した場合、少なくともサーバーが接続しているチャネルへの接続を追跡することをお勧めします。アップストリームではなく、LAN(実際のLANまたはVMネットワークなど)である可能性があります。
次に、それが上流である場合、懸念を彼らの懸念に転送するかもしれません [〜#〜] noc [〜#〜] (もちろん、サポートから始まります)。あなたの味方なら、それを片付けましょう。
サーバーのセキュリティをバイパスするのはHTTP回避である可能性があります。 IPアドレスは悪意のあるホストである可能性があります。これは、ホストマルウェアに知られ、ボットネットアクティビティに参加する予算ホスティングプロバイダーであるためです。