Я не уверен, что это правильное место, чтобы спросить это. Но сейчас я нахожусь в очень сложной ситуации. Наш сервер подвергается атаке SMTP DDoS. Почтовая служба была полностью недоступна. Мы проверили с командой центра обработки данных, и они сообщили нам о покупке нового модуля брандмауэра, который я не могу себе сейчас позволить. Когда мы пытаемся изменить порт, атака может быть остановлена, но почтовый сервис не работает. Есть ли какой-нибудь возможный способ остановить эту атаку?

OS: CentOS 
Mail service : exim 
SMTP port used : 25

Текущий почтовый журнал показан ниже:

2013-10-16 00:35:10 SMTP syntax error in "\223\032\020F\324\247\315f\200]\236m2\025\305sL\313\300y\377}\306\177]\246V\204\272n3\2115\031\335\215\240\247[\222\340*\340\230]\263\221\235\323=n\242\315\\260\2473\021q\255o\232a\263\262\306\016\2705A\261\2744\230`\302r\361\343=\376     \260\315\356-s\322\236C\255\327\353;\253\334h\304\207\341\276\201\324^\207\231\212\354\273"L\362:zNn\205\362\253r\240\032\235x\027u\211\006`\377\224\vR\204\360\020\265@k\025\301Y\212\033\204\346j!?9\026&\206)\215*:LP/[\006\3704\263W\206:P\340<@\360f\276D\365\3544I6\334\017O\242\377gT\277O\340Y\003B\330]\205\3103cj\201\333h\247|\264n]\366Bsr\260\352xXmH~\031]\210\203OG\351\207O&T\216b\276\273\221\fkY\230}\007G\024\271\351'\2422\r\367\246\366\352^#\203\b ):        \244\266\311\272\304\273\221\344\016\301|\236R\305\027\354]\314\266\246\206\321,5\313\325\305X?\333Mx\377\337me\304\346\205\341\230\352@<\217\357:\277\003\365\\370\331o\251\017\005\377V\365\004\005\275\200\324\200\231\241\026\206\260^N\023\304IB\031\020\230j\036\277\270\254#R\323!\250\2037h,\262^]>\371\3437DQ\374qI\355\362oNr?wSV\234\216X\244\212\204]\213lpc\302\264\252\334O\274\354\341C\333@r'\224\350w\306\254"}\220=\007\202\336+\375\206\351\r\351\214l\270\273\006" H=[181.67.204.178]:36043 I=[64.31.38.66]:25 NULL character(s) present (shown as '?')
2013-10-16 00:35:10 SMTP syntax error in "Q\356\226J\226\244\021y\033;\027\320W$\246\244\b\304\253\3444\020\260o#\006\265A6\275\273DF%7\201\205\265;4\246\016\312\244{"E\277P\312<\266\374\312\332\\272\365\336@\031\216\343\211 \005\350\304\352o\356\rkl\363\261%\225\370\344\262O\376\327z\003\002a\257\~\026(\266\204+\333H\022\307\3006\027\361S\234\033L5\007"\372,)\235\377kWJ\314\242\3270\216\334\203\254\364\223\233\262I5R\270\273W,F\365\341\211J?\322?O\241\345\267U\036n\224Z\373b\021`L\2478e\3549vi,\027\177\346\376Xa\3547\277\235\360$\213[\366\300\250\310\002\314s\274\b\2423\374\004H\341u\223\253\235\037\230\203\360\255\235u\017o\243\fd~\250\211\354Z\255\371\016\036\262\252/`\267[P\242\274\374\330~\301\227_\332\306\354\265j\313\353:E\321MZ\006\327fH\374\333\343\320\330\340\253\020v\Rd\004b\335fl\360@#\026\365\372\227\b\373\322\260\321u\037\215t\204\032\033d\202\232"\361\017Y\201\211\024>hw\031\327\233\312\225\215\246\336#\263\323\306(\243C/\245\344\017r\251\373\034\232\257t\265 \266\302FFB\264e\007H\326#l\303\374\332XRyc5WQV\301\334\232\246:a\027/\027f\026\264\361k\233\373urs\201Tz\325=\376~\2437\375\372\020\245(\212\016\322\020\217\304n\335\vy\226    \020R\356\373\241[J\023\247Li\324\254\210\3631\261=\243P\267\320h\2752\351\271\220\301\244t\272\306Xa.\314\241Q\245\3208\246\264\3257+\217\333\232\3478\340" H=[181.67.204.178]:36043 I=[64.31.38.66]:25 NULL character(s) present (shown as '?')
2013-10-16 00:35:10 SMTP syntax error in "" H=[181.67.204.178]:36043 I=[64.31.38.66]:25 unrecognized command

Снова мои искренние извинения, если это не то место, чтобы спросить это.

С уважением, Арун Куриан

2 ответа2

2

Судя по вышеприведенному выводу, это выглядит более или менее тем же ботнетом, который атакует также и один из наших серверов ... наши журналы показывали что-то стесняющееся из 30 тысяч уникальных IP-адресов, с ненужными двоичными данными, отправленными с момента завершения сеанса TCP. .. в такой ситуации серые списки не помогают никому, так как проблема вызвана одновременными соединениями (в один момент мы насчитали около 2000 активных / ожидающих соединений в выводе netstat), который либо запускает MTA до своего предела процесса или убивает процессор (если лимит процессов MTA достаточно высок). На данный момент мы активировали политику брандмауэра, чтобы заблокировать любой входящий SMTP, который не был получен из наших сетей (/ 16, / 19), надеясь, что эти дети из сценария f @ cking скоро потеряют интерес и остановят атаку ботов. Здесь нам нужно настроить некий прозрачный инструмент с низким уровнем воздействия, который заботится о TCP-квитировании, проверяет правильность соединения, в этом случае он подменяет квитирование и исходные данные и позволяет остальной части сеанса проходить без какого-либо взаимодействия ... Да, я знаю, что есть коммерческие решения, которые делают это, но они находятся в диапазоне 5 цифр ...

0

Очень сложно дать совет, не зная о том, что происходит (например, данные о трафике и профиль сервера), и даже в этом случае, вероятно, не тот форум, на котором стоит спрашивать - может быть, Serverfault лучше?

Разберитесь с проблемой !!

В зависимости от вашего профиля, вы можете посмотреть на "решение проблемы". Под этим я подразумеваю получение другого почтового провайдера для обработки вашей входящей электронной почты и пересылки его вам. Разрешите подключения только от этого почтового провайдера и ваших внутренних IP-адресов. Поиск по запросу "smtp mail filter services", вероятно, предоставит некоторых потенциальных поставщиков, или ваш поставщик upstrema может предложить эту услугу.

Общие решения "сделай сам":

Если вы уверены, что он (сильно) распределен, попробуйте включить грейлистинг. Это может немного помочь в зависимости от характера атаки.

Если проблема исходит от нескольких серверов (но не очень распространена), посмотрите на использование fail2ban и написание некоторых пользовательских правил. Я обнаружил, что это делает чудеса при распределенных атаках на мои WordPress сайты.

Вероятно, не вариант, но это может быть. Возможно, вы сможете использовать iptables для блокировки географических регионов - например, если ваши клиенты не находятся в России или Китае, вы можете заблокировать входящие SMTP-запросы из этих диапазонов с помощью геолокации. Конечно, это также остановит законный трафик - это может не быть проблемой в корпоративной среде с целевым рынком.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .