SSH-атаки зливають 4 Гб за 10 годин. Можливо?

Мене попередили, що мій сервер порушив ліміт передачі. Я думаю, що мій вузол Tor став популярним, тому я вирішив відключити його в цьому місяці (не найкращий вибір для громади, але мені потрібно йти вниз). Потім я помітив, що сервер передав близько 4 ГБ цієї ночі. Я перевірив журнали Apache за допомогою Awstats, немає відповідного трафіку (і я не розміщую там так популярних сайтів). Я перевірив поштові журнали, ніхто не намагався відправити сміття. Я перевірив messagesжурнали та знайшов тонни цих

Apr 29 10:17:53 marcus sshd[9281]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:07 marcus sshd[9283]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:24 marcus sshd[9298]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:39 marcus sshd[9303]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:56 marcus sshd[9306]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:11 marcus sshd[9309]: Did not receive identification string from 86.208.123.132
Apr 29 10:19:18 marcus sshd[9312]: Did not receive identification string from 101.98.178.92
Apr 29 10:19:27 marcus sshd[9314]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:41 marcus sshd[9317]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:01 marcus sshd[9321]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:13 marcus sshd[9324]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:32 marcus sshd[9327]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:48 marcus sshd[9331]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:07 marcus sshd[9336]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:20 marcus sshd[9338]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:35 marcus sshd[9341]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:51 marcus sshd[9344]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:06 marcus sshd[9349]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:23 marcus sshd[9353]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:39 marcus sshd[9359]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:54 marcus sshd[9361]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:10 marcus sshd[9367]: Did not receive identification string from 85.170.189.156
Apr 29 10:23:29 marcus sshd[9369]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:45 marcus sshd[9375]: Did not receive identification string from 85.170.189.156
Apr 29 10:24:10 marcus sshd[9387]: Did not receive identification string from 86.208.123.132
Apr 29 10:24:16 marcus sshd[9388]: Did not receive identification string from 85.170.189.156

Кожні кілька секунд бот намагається зламати мій SSH, що неможливо, оскільки мені потрібна автентифікація порту. Моє запитання: чи може цей трафік з такою частотою споживати 4 ГБ (скажімо 3,5) за 10 годин безперервної атаки?

Я змінив свій порт SSH і зупинив ці атаки, але я не впевнений у споживанні своєї мережі. У мене немає керованих служб - мій брандмауер є своєрідним обмежувальним, або ділитись сервером з кимось, який жорстоко робить P2P чи що завгодно. Моє занепокоєння полягає в тому, щоб вийти нижче 400 Гб / місяць

Якісь поради?

linux bandwidth-control

— usr-local-ΕΨΗΕΛΩΝ
джерело

Відповіді:

4 ГБ можливо, але дуже малоймовірно, враховуючи швидкість атаки. Я пропоную встановити OSSEC, він виявляє розрив у спробах і блокує IP автоматично на певний час.

— Лукас Кауффман
джерело

У мене вже є fail2ban, він успішно блокував погані реєстрації, але, здається, ігнорує ці повідомлення. Можливо, я це налаштую.

— usr-local-ΕΨΗΕΛΩΝ

Прийнято. Fail2ban знадобилася певна настройка, щоб прийняти повідомлення журналу як спроби прориву. +1 також до @lain, тому що я не можу прийняти 2 відповіді

— usr-local-ΕΨΗΕΛΩΝ

@djechelon: Будь ласка, повідомте нам, якщо це вирішує проблему. Якимось чином сумніваюся, що це станеться, коли пакети будуть скинуті після приходу до вашої системи.

— користувач9517

@Iain більшість зловмисників здаються, коли їх опускають.

— Лукас Кауффман

@LucasKaufman: 4Gb / 10Hrs становить ~ 120Kb / сек. Я не бачу, що настільки велика пропускна здатність від невдалих спроб, і фрагмент, наведений вище, демонструє набагато нижчу швидкість атаки (26 за ~ 7 хв.).

— користувач9517

Якщо вони є причиною використання пропускної здатності, то пропускна здатність вже витрачається до часу, коли ви працюєте з ними у своїй системі. Ви можете використовувати такий інструмент, як iptraf, щоб отримати детальну інформацію про те, що відбувається на кожному інтерфейсі / порту, і тоді ви можете вжити відповідних дій на основі фактів.

— user9517
джерело

Очевидно, що я можу докласти своїх зусиль щодо запобігання майбутнього споживання пропускної здатності, починаючи з наступного місяця

— usr-local-ΕΨΗΕΛΩΝ

І ... дуже корисна відповідь, але iptraf не працює з OpenVZ (посилання webhostingtalk.com/showthread.php?t=924814 ), і я про це не згадував :)

— usr-local-ΕΨΗΕΛΩΝ

Основна ідея залишається тією ж. Знайдіть щось, що підкаже вам місце використання та вирішіть проблему. Все інше - здогадки.

— користувач9517

Ні, самі ці спроби з'єднання раз на секунду не збираються складати до 4 Гб за десять годин. Як ви думаєте, ви могли завантажити файл 4 Гб за 10 годин, отримавши мініатюрний пакет раз на секунду? За годину йде 3600 секунд, тож якщо за десять годин ви отримаєте кілобайт в секунду, це буде 36000 Кб, або 36 мегабайт.

Ваша пропускна здатність вимірюється залежно від того, що йде по каналу від вашого постачальника до вашого зовнішнього маршрутизатора, а не того, що доходить до вашого сервера. Ви повинні дивитися на лайно, яке не доходить до вашого сервера, що більшість зовнішніх пристроїв відкидає.

Що стосується того, що стосується вашого сервера, ви не можете покладатися на журнали програм. Навіть пакети, які мовчки скидаються місцевим брандмауером, є пропускною здатністю. Статистика інтерфейсу (показана ifconfig) відображає вам байти Tx / Rx.

— Каз
джерело

Не впевнений. З моєї точки зору, повідомлення з журналу показують, що клієнти відкрили сокет до порту 22, але його відхилили, оскільки "те, що вони передали", не було визнано належним рукостисканням SSH. Я не хотів прослуховувати порт 22, щоб побачити фактичну корисну навантаження, яку надсилали сканери, але теоретично вони могли відправити тонни сміття, поки SSH не впаде. Питання: коли openSSH скидає недійсне рукостискання? По-друге, я провів ніч з системою Tor відключений, і трафік продовжував зростати (Apache не показував значного руху), коли перенастроєний провал2ban трафіку майже припинився

— usr-local-ΕΨΗΕΛΩΝ

Дозвольте мені перефразувати трохи, про всяк випадок. Якби я хотів витратити 4 ГБ пропускної спроможності з сервера, я міг би зробити ботнет, який відкриває HTTP-з'єднання та надсилає необмежену завантаженість POST для кожного запиту. Журнали покажуть, що невдалі запити трапляються з низькими показниками, але кожен надзвичайно важкий. Але це починає втрачати сенс. Я був знайомий зі скануваннями SSH ("невдала автентифікація для root, адміністратора ..."), оскільки їх мета - взяти під контроль вузол. Чому зловмисник буде проти споживання пропускної здатності через SSH? Не має сенсу. Якщо хтось не ненавидить Tor-вузли ...

— usr-local-ΕΨΗΕΛΩΝ