Вчера наш сервер Digital Ocean обнаружил нечто похожее на атаку. Исходящий трафик внезапно увеличился до 700 Мбит / с, в то время как входящий трафик остался на уровне около 0,1 Мбит / с и не увеличился ни разу. Трафик длился несколько минут, пока Digital Ocean не отключил наш сервер от сети, предполагая, что мы выполняем DoS (что является разумным).
У меня есть два предположения: либо кто-то взломал наш сервер (после атаки я понял, что мой коллега включил вход по SSH с паролем), либо есть какая-то атака, о которой я не знаю.
Кто-нибудь может прояснить ситуацию для меня? Если действительно существует какая-то DoS, трафик которого выглядит так, пожалуйста, сообщите мне.
security
denial-of-service
Кшиштоф Крашевский
источник
источник
Ответы:
Одна вероятная возможность - атака усиления. Например, если вы используете открытый рекурсивный преобразователь DNS (хотя есть и другие протоколы, с которыми вы можете сделать это), вы можете получить очень маленький UDP-пакет с поддельным IP-адресом. Затем ваш сервер генерирует большой ответ и отправляет его жертве, думая, что это законный запрос.
Другая возможность заключается в том, что кто-то удалял данные из вашей сети. Если кто-то попадет на ваш сервер и разгрузит каждый найденный байт, это тоже будет выглядеть так.
Невозможно узнать, кто это был, не проведя расследование и не надеясь, что все, что произошло, оставило доказательства. Если это последнее (эксфильтрация), то они, вероятно, очистили свои следы как могли.
источник
Я согласен с возможностью усиления атаки. Самый простой способ справиться с этим - использовать бесплатный облачный брандмауэр DigitalOcean .
Разрешить только входящие SSH, HTTP и HTTPS. Если возможно, разрешите SSH только с доверенных IP-адресов.
Вы можете сделать это с помощью брандмауэра на вашей виртуальной машине, решение DO проще.
источник
Вы должны спросить Digital Ocean. Они не отключают серверы только для высокого исходящего трафика: это отключит большинство серверов. Например, веб-сервер хостинг что-то популярное.
Скорее, они закрыли ваш сервер, потому что характер вашего трафика выглядел вредоносным. Таким образом, они, вероятно, имеют некоторое представление о том, что это было.
В противном случае вам придется исследовать себя. Возможно, если хост все еще работает, он все еще пытается отправить трафик, который отбрасывается Digital Ocean. В этом случае вы сможете наблюдать это с помощью дампа пакетов. Или вы можете найти подсказки в системных журналах. К сожалению, это может быть что-то из миллиона вещей, поэтому спекулировать первопричиной в отсутствие такого расследования бесполезно.
источник