Wczoraj nasz serwer Digital Ocean napotkał coś, co wyglądało jak atak. Ruch wychodzący nagle wzrósł do 700 Mb / s, podczas gdy ruch przychodzący utrzymał się na poziomie około 0,1 Mb / s i nie wzrósł ani razu. Ruch trwał kilka minut, dopóki Digital Ocean nie odciął naszego serwera od sieci, zakładając, że wykonujemy DoS (co jest rozsądne).
Mam dwa założenia: albo ktoś włamał się na nasz serwer (po ataku zdałem sobie sprawę, że mój kolega włączył logowanie SSH za pomocą hasła), albo istnieje pewien rodzaj ataku, o którym nie wiem.
Czy ktoś może mi wyjaśnić tę sytuację? Jeśli rzeczywiście istnieje rodzaj DoS, którego ruch wygląda tak, prosimy o edukację.
security
denial-of-service
Krzysztof Kraszewski
źródło
źródło
Odpowiedzi:
Jedną z prawdopodobnych możliwości jest atak wzmacniający. Jeśli korzystasz z otwartego programu rekurencyjnego DNS (istnieją inne protokoły, z którymi możesz to zrobić), na przykład możesz otrzymać bardzo mały pakiet UDP, który ma sfałszowany adres IP. Serwer następnie generuje dużą odpowiedź i wysyła ją do ofiary, sądząc, że jest to uzasadniona prośba.
Inną możliwością jest to, że ktoś wyodrębniał dane z Twojej sieci. Gdyby ktoś dostał się na twój serwer i zwalniał każdy bajt, jaki mógł znaleźć, to też tak wyglądałoby.
Nie ma sposobu, aby dowiedzieć się, który to był bez przeprowadzenia dochodzenia i mając nadzieję, że cokolwiek się wydarzyło, pozostawiło dowody. Jeśli to ta ostatnia (eksfiltracja), prawdopodobnie usunęli swoje ścieżki najlepiej, jak potrafili.
źródło
Zgadzam się z możliwością ataku wzmacniającego. Najprostszym sposobem na poradzenie sobie z tym jest skorzystanie z bezpłatnej zapory chmurowej DigitalOcean .
Zezwalaj tylko na połączenia przychodzące SSH, HTTP i HTTPS. Jeśli to możliwe, zezwalaj tylko na SSH z zaufanych adresów IP.
Możesz to zrobić za pomocą zapory na maszynie wirtualnej, rozwiązanie DO jest po prostu łatwiejsze.
źródło
Powinieneś zapytać Digital Ocean. Nie wyłączają serwerów tylko z powodu dużego ruchu wychodzącego: to zamknęłoby większość serwerów. Na przykład serwer WWW obsługujący coś popularnego.
Zamiast tego zamknęli serwer, ponieważ charakter ruchu wyglądał złośliwie. W związku z tym prawdopodobnie mają pojęcie, co to było.
W przeciwnym razie będziesz musiał zbadać siebie. Być może, jeśli host nadal działa, nadal próbuje wysłać ruch, który jest odrzucany przez Digital Ocean. W takim przypadku można to zaobserwować za pomocą zrzutu pakietów. Lub możesz znaleźć wskazówki w logach systemowych. Niestety może to być jedna z milionów rzeczy, więc spekulacje na temat przyczyny braku takiego dochodzenia są daremne.
źródło