Попытки подключения на порте 80 в журналах маршрутизатора, но не журналах сервера
У меня есть статический веб-сайт Apache2 на порте 80 на сервере Ubuntu, подключенном к моей LAN позади маршрутизатора. Веб-сайт обычно функционирует.
Мои журналы маршрутизатора показывают пакеты попыток подключения портировать 80 как это
[LAN access from remote] from 46.101.54.78:31560 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:30:16
[LAN access from remote] from 46.101.54.78:25586 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:29:51
[LAN access from remote] from 46.101.54.78:25216 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:28:38
[LAN access from remote] from 46.101.54.78:52677 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:28:13
[LAN access from remote] from 46.101.54.78:36812 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:27:00
[LAN access from remote] from 46.101.54.78:45750 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:26:36
[LAN access from remote] from 46.101.54.78:17352 to [my.servers.internal.url]:80, Tuesday, Apr 10,2018 12:26:11
Но эти попытки подключения не обнаруживаются или по ошибке Apache2 или по журналам доступа.
Есть ли какие-либо другие журналы, которые могли бы показать то, что продолжается здесь?
1 ответ
Это могло быть нападением лавинной рассылки SYN.
Короче говоря, удаленная попытка взломщика открыть как можно больше соединение TCP, пытаясь исчерпать некоторый ресурс (память, диск журнала...).
Значение по умолчанию apache2 конфигурация (как протестировано на 16,04) не регистрирует такое соединение данных меньше.
Ваше поле человечности должно быть защищено от такого нападения, net.ipv4.tcp_syncookies кажется, включают по умолчанию на человечности, но Ваш маршрутизатор может находиться в опасности.