Czy mam atak DDoS?

2

OK, oto kilka informacji: Fedora23 działa w VirtualBox na hoście Windows 7.

Router publiczny nie ma DMZ, ale przekazywanie portów od 2325 (zewnętrzne) do 1194 (wewnętrzne) i wewnętrzny statyczny adres IP.

Bieganie iftop, Dostaję ogromną ilość ruchu przychodzącego / wychodzącego (50-70 Mb / s):

revolve-mainframe           => 104.23.119.177                    54.6Mb  35.4Mb  8.84Mb
                            <=                                      0b      0b      0b
revolve-mainframe           => v.pr.h.cpvps.us                      0b    643b    210b

Nie trzeba dodawać, że to grzęźnie w Internecie naszego biura.

Uruchomienie następujących poleceń w celu zablokowania adresów IP rozwiązuje problem:

[root@revolve-mainframe sysconfig]# sudo route add -host 104.23.118.177 reject
[root@revolve-mainframe sysconfig]# sudo route add -host 104.23.119.177 reject
[root@revolve-mainframe sysconfig]# netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         gateway         0.0.0.0         UG        0 0          0 enp0s8
10.8.0.0        10.8.0.2        255.255.255.0   UG        0 0          0 tun0
10.8.0.2        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
104.23.118.177  -               255.255.255.255 !H        - -          - -
104.23.119.177  -               255.255.255.255 !H        - -          - -
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 enp0s8
192.168.56.0    0.0.0.0         255.255.255.0   U         0 0          0 enp0s3

Teraz pytanie brzmi, czy to wynik ataku DDoS? Jeśli odblokuję te dwa adresy IP, otrzymuję zalew pakietów przychodzących z różnego rodzaju różnych adresów IP.

Ale tylko dwa konkretne adresy IP muszę zablokować, aby zatrzymać powódź.

A może mój serwer został naruszony i używany jako źródło DDoS?

Lub...?

heisian
źródło
4
Nie jesteś DDOSed. Nie ma wystarczającej liczby połączeń. Nie możesz być DDOSed z pojedynczego adresu IP.
Ramhound
2
To jest poprawne @Ramhound, ale możesz być DoSed (bez drugiego D) z pojedynczego adresu IP, jeśli przepustowość ataku przekracza przepustowość dostępną dla twojego uplink. W przypadku OP serwer nie otrzymuje ataku. Aktywnie generuje ruch w kierunku adresów IP wskazanych w iftop. Aby dowiedzieć się, który proces powoduje ruch na twojej maszynie. Może to tylko wadliwy lub zapomniany cronjob.
markusju
1
Racja, ale autor uważa, że ​​jest DDOSed nie DOSed. Znam różnicę, celowo nie wspominając ani nie wyjaśniając różnicy
Ramhound
OK odkryłem trochę więcej informacji, dane są rzeczywiście wysyłane do iz wielu adresów IP. Jak tylko zablokuję parę adresów IP, inny zestaw pojawi się na liście iftop. Co więcej, jeśli spojrzę na aktywność sieciową Windows (mam hosta z Windows 7 z gościem Fedory 23 w maszynie wirtualnej VirtualBox używającej zmostkowanego adaptera do uzyskania dostępu do Internetu), wysłałem WAY więcej niż otrzymałem. Appx 632 GB zostało wysłane w ciągu ostatniego dnia, a tylko 300 MB zostało odebrane. Wygląda więc na to, że mój serwer mógł zostać naruszony i faktycznie jest używany jako źródło DoS.
heisian
Na razie wyłączyłem usługę sieciową przez systemctl w maszynie wirtualnej Fedory. Myślę, że to, co zrobię, aby się upewnić, to po prostu odbudować stos w chmurze. EC2. W ten sposób świeża instalacja i możliwość uzyskania nowych adresów IP z zachcianką.
heisian

Odpowiedzi:

0

Obecnie widzę dwie możliwości,

1) Adres IP naszego biura (statyczny adres IP udostępniony przez śliczną Comcast) znajduje się na liście znanych celów przez niektórych atakujących DDoS / DoS.

2) Serwer został naruszony i jest wykorzystywany do ataku na innych.

Lub obie.

Tak czy inaczej, na razie zrobię to, aby całkowicie odbudować stos serwerów z instancji Amazon EC2. Jeśli mój fizyczny serwer w naszym biurze został naruszony, nowy stos chmur rozwiąże ten problem.

Uruchamianie instancji w chmurze pozwoli mi na uzyskanie świeżego statycznego adresu IP raczej trywialnie, co byłoby koszmarem obsługi klienta w Comcast, gdybym chciał zrobić to samo dla własnego statycznego adresu IP WAN.

Idąc o krok dalej, mógłbym przypisać nazwę domeny do mojego przydzielonego do chmury adresu IP i użyć usługi takiej jak Cloudflare do maskowania i udaremniania prób DDoS, jeśli z jakiegoś powodu chciałbym podać do publicznej wiadomości adres mojego serwera w chmurze. Ale ponieważ jest to jeden z 4 publicznie dostępnych serwerów Amazon EC2, żaden z nich nie padł ofiarą ataku, co może nawet nie być konieczne (dopóki nasza firma nie stanie się większym celem).

heisian
źródło