最近我们的一台服务器面临DOS攻击,从iptables日志我们发现它们命中了服务器的161端口。我想知道为什么?这是iptable日志
Mar 25 14:02:45 srv1 kernel: iptables denied: IN=eth0 OUT=MAC=xx:xx:xx SRC=xx.xx.xx.xx DST=xx.xx.xx.xx LEN=66 TOS=0x00 PREC=0x00 TTL=237 ID=1047 PROTO=UDP SPT=22 DPT=161 LEN=46
Mar 25 14:02:55 srv1 kernel: iptables denied: IN=eth0 OUT= MAC=xx:xx:xx SRC=xx.xx.xx.xx DST=xx.xx.xx.xx LEN=66 TOS=0x08 PREC=0x20 TL=232 ID=1047 PROTO=UDP SPT=7777 DPT=161 LEN=46
...
答案 0 :(得分:0)
根据/etc/services,端口161是SNMP的端口。也许这可以解释为什么黑客攻击该端口?许多网络设备使用SNMP进行管理。
他们可能尝试过一种解释的SNMP放大攻击,例如:在https://isc.sans.edu/forums/diary/SNMP+The+next+big+thing+in+DDoS+Attacks/18089/
反射器的想法是使小的请求数据包获得大的回复数据包响应。请求数据包的源IP地址显然被欺骗成为攻击的目标。所以,换句话说:你不是攻击的真正目标,他们只是试图使用你的网络设备来扩大真实攻击目标的流量。