V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
kernel
V2EX  ›  云计算

阿里云经常发邮件说我的机子“由于被检测到对外攻击,已阻断该服务器对其它服务器端口 UDP:ALL)”是怎么回事?

  •  
  •   kernel · 2018-08-23 08:36:05 +08:00 · 8040 次点击
    这是一个创建于 2286 天前的主题,其中的信息可能已经有所发展或是发生改变。
    机子上只装了 postfix 对外端口并改了端口号和一个自已写的爬虫,没有其它对外监听端口。
    最近几个星期经常隔几天收到一个邮件:

    “”“
    您的云服务器( XXX )由于被检测到对外攻击,已阻断该服务器对其它服务器端口( UDP:ALL )的访问,阻断预计将在 XXX 时间内结束,请及时进行安全自查。若有疑问,请工单或电话联系阿里云售后,感谢您对阿里云的支持。
    ”“”

    每次被阻时间虽不长,我也没采取措施就好了(其实是我根本不知道哪有被攻击的点啊,只装了个 postfix ),过几天再来一次,但是很烦不是?

    PS. 机子用了 5M 固定带宽,流量有时大有时小。
    17 条回复    2018-08-23 18:10:30 +08:00
    x86
        1
    x86  
       2018-08-23 08:38:22 +08:00
    怎么回事,让你买安骑士呗
    tatelucky
        2
    tatelucky  
       2018-08-23 08:38:34 +08:00
    不是有客服吗?
    kernel
        3
    kernel  
    OP
       2018-08-23 08:44:58 +08:00
    另外我发现了,每次都是早上 6 点前一段时间,是我的爬虫工作最忙的点(同时会把数据发到另一机房),基本 5M 用满,平时流量不大。
    难道是因为阿里云发现我平时流量不大一到那个时间点连着 4 小时左右大流量就认为我是在发攻击?

    这是最近二个月开始有这消息,以前还没有,感觉可能是最近新上的功能。
    kernel
        4
    kernel  
    OP
       2018-08-23 08:47:09 +08:00
    @tatelucky 因为实际上似乎没有对我的爬虫产生影响,也没有报错,发生的时间每次都是我在睡觉时也办法上去看看网络情况
    ray1980
        5
    ray1980  
       2018-08-23 08:50:10 +08:00
    只有 WP 和几个没啥流量的站,也同样收到消息。
    ww2000e
        6
    ww2000e  
       2018-08-23 08:56:59 +08:00
    以前免费用半年,我什么也没做,也会发安全提示给我。。。
    yidinghe
        7
    yidinghe  
       2018-08-23 08:59:05 +08:00 via Android
    我也不知道如何排查,所以只能无视了。
    opengps
        8
    opengps  
       2018-08-23 09:01:47 +08:00
    服务器里有向外发 udp 协议数据的程序,这种情况误判可能性不大,还是找你们网工查查吧
    我能提供的思路是 分时段使用 netstat 命令,找出 udp 对外发数据的进程 id,逐一排查进程是不是可信的
    lujjjh
        9
    lujjjh  
       2018-08-23 09:04:52 +08:00 via iPhone
    多半是 UDP 反射攻击,不提供 UDP 服务的话可以直接禁掉入站的 UDP
    imn1
        10
    imn1  
       2018-08-23 09:07:03 +08:00
    都是语文没学好么?
    「对外攻击」,不是被攻击,就是你是主动发起方,你爬虫频率太高了吧?
    lujjjh
        11
    lujjjh  
       2018-08-23 09:33:07 +08:00 via iPhone
    @imn1 反射攻击了解下,https://codehut.me/posts/Y3Vyc29yOjMx

    爬虫频率太高不应该阻断 UDP
    kernel
        12
    kernel  
    OP
       2018-08-23 09:36:59 +08:00
    @opengps 所有发通知的时间和我爬虫的高峰是一致的,应该是误判。

    @imn1 我不就是说的这情况? 另外我爬虫频率不高,只是流量大一点(再大也是 5M,能大到哪里去),而且我只连接固定不到 5 个网站。

    @lujjjh 没有 UDP 服务,只有 postfix 和一个默认端口 111 的 rpcbind,别人应该不能借路
    opengps
        13
    opengps  
       2018-08-23 09:47:15 +08:00
    @kernel 不排除误判可能
    另外你的爬虫应该用不到 udp 协议吧,网站爬虫都是 7 层 http ( https ),基于 4 层 tcp 的
    触发检测规则的应该不是你的爬虫
    lxg1421
        14
    lxg1421  
       2018-08-23 09:59:13 +08:00
    我们服务器之前是开放所有端口,好像是被当肉鸡了,重新加了安全组没事了
    lujjjh
        15
    lujjjh  
       2018-08-23 10:19:44 +08:00
    @kernel 默认开启的端口才是最危险的……我一开始也以为我的是误判(似乎不购买收费服务就看不到源端口和目标端口),机器上只开启了 ntpd 和 rpcbind。

    但是我研究了下阿里云的网络流量监控,发现阿里云给出的疑似攻击的点出流量和入流量成正比,很像是反射攻击。你可以看看你的异常点的入流量是否正常。

    ntpd 和 rpcbind 因为协议设计原因都可以用来反射攻击: https://www.aqniu.com/threat-alert/9897.html
    shenkai600
        16
    shenkai600  
       2018-08-23 16:07:50 +08:00
    这个报警一般就是被黑了,做一下安全组,sshkey 也换一套吧,进程定时任务系统日志什么的都查一套。
    MorningBOBO
        17
    MorningBOBO  
       2018-08-23 18:10:30 +08:00
    有可能是误判,检查下出入口的流量
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1781 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 16:39 · PVG 00:39 · LAX 08:39 · JFK 11:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.