クライアントから以下の相談を受けています。
さくらインターネットの専用サーバ(FreeBSD)で運用していますが、
下記の不正パケットが頻発している為、
サーバ(さくらインターネット)からの退去を勧告されています。
(IP番号は ○:自サーバのIP、△:宛先不明な他サーバ で伏せています。)
19:02:30.000000 IP ○.○.○.○.35457 > △.△.△.△.13324: UDP,length 1
尚、以前にも同様の症状があった為、一度OSの再起動をしています。
処々対応しなければいけないとは思いますが、
.35457 等のIP番号の後ろに付く数字の意味が不明です。
これはログによって番号が変わっています。
ポート番号ではなさそうなので。。。お分かりの方ご教授下さい。
またトラブルTipsも受付します。
その数字はポート番号ですよ。
○.○.○.○.35457 > △.△.△.△.13324
のうち、35457 はサーバーから発信されているUDPパケットのポート番号、
13324は宛先のポート番号で、△.△.△.△の UDP PORT 13324番宛にサイズ1のUDPパケットが
飛んでいることを示しています。35457は発信側なのでその時点で使われていない任意のポート番号が
使われますので番号はかわります。
udp port 13324番はnetaudio(RTP)などで使われているようです。
△.△.△.△へのDOS(Denial of Service)攻撃をやっているから、退去勧告を受けたのでは。
不正アクセスされてDOS攻撃の踏み台になっている可能性が大きいですね。
ネットはすぐ切られても文句は言えません。そのサーバー上で運用しているアプリの総点検が必要です。
FreeBSDでも穴はありますので…
url はダミーです。
ポート番号ではなさそうなので。。。お分かりの方ご教授下さい。
出力は tcpdump のものでしょうか?
でしたら、その項目はポート番号です。
ログによって番号が変わるのは実際に変えているからでしょう。
これだけでは特定できかねますが、最近の攻撃方法として以下のようなものがあります。
JVNTA08-190B: 複数の DNS 実装にキャッシュポイズニングの脆弱性
またトラブルTipsも受付します
自サーバーから覚えのないパケットが出力されているようなので、侵入されたと思ってよいかと。
セキュリティ設定等いろいろなところは確認しないとだめですね。
ありがとうございます。