Le log du firewall ufw mentionne un grand paquet d'accès de l'IP 213.186.33.99. C'est une IP OVH avec le hostname cdns.ovh.net. Sur le site abuseipdb.com, cette @IP est identifiée à de nombreuses reprises comme étant utilisée piour du scan de port, de l'attaque en brut force, etc. Quelle est l'utilité de cette IP et puis-je la bloquer ?
213.186.33.99
Si ces pseudo-attaques sont sur le port 53, je mettrais ma main au feu que ces accès sont légitimes. Si vous avez un serveur DNS logguez les demandes pour savoir éventuellement quel précédent utilisateur de votre adresse IP référence toujours cette adresse comme étant celle d'un serveur DNS.
Merci pour cette réponse.
La commande netstat m'indique qu'il s'agit du processus systemd-resolv :
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 983/systemd-resolve
udp 0 0 127.0.0.53:53 0.0.0.0:* 983/systemd-resolve
En fouillant un peu, j'ai trouvé l@IP qui pose question dans le /etc/resolv.conf !
Donc rien d'anormal à ce scan de port par le DNS d'OVH. Maintenant il s'agit pour moi de comprendre d'où vient cette IP dans ce fichier … mais je viens de trouver : https://docs.ovh.com/gb/en/public-cloud/change-instance-dns-servers/ https://docs.ovh.com/gb/en/public-cloud/change-instance-dns-servers/
Le log ufw.log :
Sep 28 23:13:12 kernel: [517637.012283] [UFW ALLOW] IN= OUT=eno1 SRC=x.x.x.x DST=213.186.33.99 LEN=81 TOS=0x00 PREC=0x00 TTL=64 ID=29249 DF PROTO=UDP SPT=43776 DPT=53 LEN=61
Sep 28 23:13:12 kernel: [517637.012283] [UFW ALLOW] IN= OUT=eno1 SRC=x.x.x.x DST=213.186.33.99 LEN=79 TOS=0x00 PREC=0x00 TTL=64 ID=29720 DF PROTO=UDP SPT=36657 DPT=53 LEN=59
Sep 28 23:13:12 kernel: [517637.012284] [UFW ALLOW] IN= OUT=eno1 SRC=x.x.x.x DST=213.186.33.99 LEN=87 TOS=0x00 PREC=0x00 TTL=64 ID=29719 DF PROTO=UDP SPT=41569 DPT=53 LEN=67
Sep 28 23:13:12 kernel: [517637.012285] [UFW ALLOW] IN= OUT=eno1 SRC=x.x.x.x DST=213.186.33.99 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=29722 DF PROTO=UDP SPT=58553 DPT=53 LEN=58
Sep 28 23:13:12 kernel: [517637.012285] [UFW ALLOW] IN= OUT=eno1 SRC=x.x.x.x DST=213.186.33.99 LEN=77 TOS=0x00 PREC=0x00 TTL=64 ID=29721 DF PROTO=UDP SPT=37731 DPT=53 LEN=57
Sep 28 23:13:12 kernel: [517637.014724] [UFW ALLOW] IN= OUT=eno1 SRC=x.x.x.x DST=213.186.33.99 LEN=76 TOS=0x00 PREC=0x00 TTL=64 ID=29724 DF PROTO=UDP SPT=58774 DPT=53 LEN=56
Sep 28 23:13:12 kernel: [517637.014725] [UFW ALLOW] IN= OUT=eno1 SRC=x.x.x.x DST=213.186.33.99 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=29723 DF PROTO=UDP SPT=54762 DPT=53 LEN=45
Sep 28 23:13:12 kernel: [517637.014725] [UFW ALLOW] IN= OUT=eno1 SRC=x.x.x.x DST=213.186.33.99 LEN=66 TOS=0x00 PREC=0x00 TTL=64 ID=29725 DF PROTO=UDP SPT=36093 DPT=53 LEN=46
Sep 28 23:13:12 kernel: [517637.014733] [UFW ALLOW] IN= OUT=eno1 SRC=x.x.x.x DST=213.186.33.99 LEN=76 TOS=0x00 PREC=0x00 TTL=64 ID=29727 DF PROTO=UDP SPT=58774 DPT=53 LEN=56
Sep 28 23:13:12 kernel: [517637.014733] [UFW ALLOW] IN= OUT=eno1 SRC=x.x.x.x DST=213.186.33.99 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=29728 DF PROTO=UDP SPT=54762 DPT=53 LEN=45
Sep 28 23:13:12 kernel: [517637.014734] [UFW ALLOW] IN= OUT=eno1 SRC=x.x.x.x DST=213.186.33.99 LEN=66 TO
Bonjour,
c'est pas du scan de port (car ça sort de votre serveur à destination de 213.186.33.99), c'est de la résolution DNS car c'est que du OUT sur du port 53 en UDP.
Cordialement, janus57
Je sais mais j'ai exactement la même chose avec cette IP 213.186.33.99 en tant que source sur d'autres ports en particulier le port UDP/53.
Je sais mais j'ai exactement la même chose avec cette IP 213.186.33.99 en tant que source sur d'autres ports en particulier le port UDP/53.
Bonjour,
Si vous bloquez les connexions sortantes vers le serveur qui est renseigné dans /etc/resolv.conf, vous aurez des erreurs de résolution DNS.
A un moment, il faut arrêter avec la parano, si vous fermez la porte à double tour, eh bien c'est fermé pour vous aussi.