На прошлой неделе синфлудили почтовый сервер нашей конторы. Отбился, благо был DoS, а не DDoS. Больше флуда не было. Стал присматривать за "netstat -nt | grep SYN_RECV" и увидел, что время от времени появляются одиночные подключения извне вида:
tcp 0 0 <мой IP>:25 <внешний IP>:80 SYN_RECVТакие подключения могут повторяться по нескольку часов, и, что характерно, по одному (лишь один раз наблюдал сразу два), то есть на попытку DoSа не похоже. Причём порт, с которого приходят пакеты - всегда 80 или (реже) 443, а IP-адреса разные. Вреда от этого, конечно, никакого, но мало ли...
Коллеги, не сталкивались ли вы с чем-то подобным? Хотелось бы понять, что это за гаврики, стоит ли опасаться, или просто заб[иы]ть.
>[оверквотинг удален]
> 0 <мой IP>:25
> <внешний IP>:80
> SYN_RECV
А что вас настораживает? 80 порт потенциального клиента???
Так это говорит лишь о том, что ПО подключающееся с той стороны запущено скорее всего с правами рута или админа (простым пользователям порты с номерами 1-1024 недоступны к использованию) и 80 порт никем не занят....
> А что вас настораживает? 80 порт потенциального клиента???Настораживают две вещи:
1. Это предположительно началось во время или сразу после явной DoS-атаки.
2. Таких "потенциальных" уже больше десятка. IP-адреса разные, со всего мира, без обратного DNS или с таким, что ясно - динамические. У всех порт 80 или 443. Похоже на работу ботнета.> Так это говорит лишь о том, что ПО подключающееся с той стороны
> запущено скорее всего с правами рута или админа (простым пользователям порты
> с номерами 1-1024 недоступны к использованию) и 80 порт никем не
> занят....Вот-вот, и это тоже настораживает. Это указывает на кривое или зловредное ПО. Если таких наберётся не десяток а сотня-другая, уже получим DDoS. Паранойя? Возможно...
что-то вспомнились времена студенчества, когда на ноутбуке не запускался апач с ошибкой что порт занят.
А порты 80, 443 были заняты, внезапно, скайпом, у которого была включена какая-то опция обхода NAT.странное совпадение.
> что-то вспомнились времена студенчества, когда на ноутбуке не запускался апач с ошибкой
> что порт занят.
> А порты 80, 443 были заняты, внезапно, скайпом, у которого была включена
> какая-то опция обхода NAT.
> странное совпадение.Спасибо, интересно, не знал. По запросу "skype port 80 443" много гуглится. А может ли скайп за чем-нибудь полезть на 25-й порт? Про это я ничего не нашёл.
PS. Утром опять была вялая попытка SYN-флуда (IP Британских Виргинских островов).
[...Ну, может быть, кому-то будет интересно...]Написал программку для отслеживания этого дела и занесения в чёрный список (ipset) наиболее ретивых. Полёт нормальный.
Странные подключения продолжаются. К портам 80 и 443 добавились 82 и 53. Последнее особенно интересно, потому что это оказались вполне реальные DNS-сервера в Испании: ns.dinahosting.com и ns2.dinahosting.com. Неужели и они в ботнете? Вряд ли. Я, наверное, что-то не понимаю.
Update: пока это писал, нарисовалась ещё парочка DNS-серверов: clyde.ns.cloudflare.com и tina.ns.cloudflare.com. Поведение аналогичное: SYN-пакеты с 53-го порта на 25-й.
> [...Ну, может быть, кому-то будет интересно...]
> Написал программку для отслеживания этого дела и занесения в чёрный список (ipset)
> наиболее ретивых. Полёт нормальный.
> Странные подключения продолжаются. К портам 80 и 443 добавились 82 и 53.
> Последнее особенно интересно, потому что это оказались вполне реальные DNS-сервера в
> Испании: ns.dinahosting.com и ns2.dinahosting.com. Неужели и они в ботнете? Вряд ли.
> Я, наверное, что-то не понимаю.
> Update: пока это писал, нарисовалась ещё парочка DNS-серверов: clyde.ns.cloudflare.com
> и tina.ns.cloudflare.com. Поведение аналогичное: SYN-пакеты с 53-го порта на 25-й.В syn в качестве src можно подставить любой IP...
Короче, в итоге я запретил на фаерволе пакеты с 80-го (и только с 80-го) порта на 25-й — и этих чудиков как ветром сдуло. За четыре дня ни одного не было. И это при том, что другие использовавшиеся ими порты (443, 53, 82 и ещё 22) я не блокировал.Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться прислать письмо через соединение с исходящим портом 80?
> Короче, в итоге я запретил на фаерволе пакеты с 80-го (и только
> с 80-го) порта на 25-й — и этих чудиков как ветром
> сдуло. За четыре дня ни одного не было. И это при
> том, что другие использовавшиеся ими порты (443, 53, 82 и ещё
> 22) я не блокировал.
> Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться
> прислать письмо через соединение с исходящим портом 80?обычно нет, читайте про ip_local_port_range
>> Собственно, теперь остаётся только вопрос: может ли нормальный почтовый сервер попытаться
>> прислать письмо через соединение с исходящим портом 80?
> обычно нет, читайте про ip_local_port_rangeКак «обычно»-то я знаю. Нет ли каких-нибудь «необычных», но встречающихся? Не только Линукс. Вроде бы нет. Но мало ли кто-нибудь встречал.