大量不明來源的連線, 表示受到攻擊?
» Bookmark on del.icio.us昨天有一個客戶, 詢問某一部 Server 受到攻擊, 該如何處理? 聽起來是很嚴重. 不過, 這樣的訊息並沒有太大的意義, 所以進一步詢問更詳細的狀況, 原來情形是這樣, 有一部 SMTP/POP3/Webmail Server…, 某些時候會發生使用者無法收、發信件的情形. 當狀況發生時, Server 上可以看到 SMTP 有數百個連線, 通常是三、四百個以上. 據客戶表示, 從 SMTP Server 上確實可以看到許多來路不明的 SMTP 連線.
OK, 所以這是受到攻擊?
我直覺認定並不是, 又不是拍電影, 哪能隨隨便便就受到攻擊. 不過, 大膽假設, 還是得小心求證, 才能找到真正的問題. 許多人遇到問題的習慣是, 腦海裡先浮現某個答案, 然後便陷在這個框框裡, 而完全忽略了其他的可能性. 如果一開始方向就錯了, 那就要花更多時間才能找到答案. 甚至不管方向是否正確, 仍堅持只要自己想要的答案, 那更是解決不了問題.
回到問題, 首先我觀察這部 Server 的運作情形, 執行的處理程序, 網路的連線狀況, 並未發現任何的異常. 持續觀察 SMTP 連線的狀況一段時間, 也沒有異常. 既然是 SMTP Server 所以隨時有來自世界各地的 SMTP 連線, 也是很合理的. 但客戶提到, 並不是整天都會發生異常大量的連線, 而或造成無法收、發信件, 因此也可以假設, 在我監看這部電腦的時候, 剛好沒有客戶所稱的 “攻擊” 行為.
另外客戶有提到, 這個問題一天之內, 有可能發生二、三次. 那是否有可能剛好是有大量的信件寄進來? 看起來不是, 因為這部電腦的 SMTP Server 本身有統計每天進出的信件數量, 從數字來看, 信件並不算多. 既然信件量不是非常大, 那為什麼 SMTP 的連線數會到數百, 而且發生問題時, 並不只有短暫的幾分鐘. 或許這就是問題的徵結.
既然問題可能出在 SMTP Server 本身, 因此我嚐試從別的電腦發出 SMTP 連線的請求, 從 SMTP Server 的反應來看, 開啟 SMTP 連線到結束, 都如預期般的反應, 也不會讓連線數持續大量增加, 所以也印證前面的假設, 不是大量的信件同時進來造成的. 那如果是不正常的 SMTP 連線呢? 例如: port scan 之類的動作, 針對這部 Server 的 25 port 發出探測的封包, 結果會如何? 結果發現, 這套 SMTP 軟體, 在收到非正常 SMTP 的 port scan 這種掃描時, 該連線就會持續很長的時間, 因此, 如果有來自世界各地的電腦對這部 Server 的 25 port 送出類似 port scan 的封包時, 它的連線數就會持續增加, 而且增加到大約二、三百以上時, Client 就開始發生連不上的情形. 整個狀況完全和客戶所描述的相同, 我想這就是答案了.
當一台電腦放到 Internet 上之後, 免不了就會有無聊人士過來敲敲門, 如果這樣就影響到正常的運作, 這樣的系統似乎太脆弱了. 但這是被攻擊嗎? 算得上是不當的行為, 但還談不上是攻擊吧.
其實我想說的是, 常常某個狀況發生時, 我們就認定是病毒的傑作, 或者是被入侵了, 被攻擊了… 答案還未知前, 當然可以假設任何的可能性, 但真正還是要用開放的態度來找答案, 這樣才能解決問題.