Що є ймовірною причиною надзвичайно низького в'їзного трафіку та великого виїзного трафіку?

9

Вчора наш сервер Digital Ocean зіткнувся з чимось схожим на атаку. Вихідний трафік раптово збільшився до 700 Мбіт / с, тоді як вхідний трафік залишився приблизно на 0,1 Мбіт / с і не збільшився жодного разу. Трафік тривав кілька хвилин, поки Digital Ocean не відключив наш сервер від мережі, припускаючи, що ми виконуємо DoS (що розумно).

У мене є два припущення: або хтось зламав наш сервер (після атаки я зрозумів, що мій колега дозволив SSH увійти з паролем) або є якась атака, про яку я не знаю.

Чи може хтось очистити цю ситуацію для мене? Якщо дійсно є такий тип DoS, який має такий трафік, будь ласка, навчіть мене.

security  denial-of-service 
Кшиштоф Крашевський
джерело
1
Йонас Шефер
2
Якщо ви працюєте з VestaCP, перегляньте цю сторінку DigitalOcean .
Севлор
2
@Sevvlor о боже. Я не мав уявлення, що мій колега встановив цю річ на наш сервер. Дякую.
Кшиштоф Крашевський
Також @JonasWielicki дякує за посилання, воно виявиться корисним колись.
Кшиштоф Крашевський

Відповіді:

20

Однією з можливих можливостей є атака посилення. Якщо ви працюєте з відкритим рекурсивним DNS-рішенням (є й інші протоколи, з якими ви можете це зробити), наприклад, ви можете отримати дуже маленький пакет UDP, який має підроблений IP-адресу. Потім ваш сервер генерує велику відповідь і надсилає її жертві, думаючи, що це законний запит.

Інша можливість полягає в тому, що хтось вишукував дані у вашій мережі. Якби хтось зайшов у ваш сервер і вивантажував кожен байт, який вони могли знайти, це також виглядатиме.

Немає можливості дізнатися, хто це був, не проводивши розслідування, і сподіваючись, що все, що сталося, залишило свідчення. Якщо це остання (ексфільтрація), то вони, ймовірно, очищали свої сліди якнайкраще.

Марк Хендерсон
джерело
1
Дякую. Я переписуюсь з DO, сподіваюся, вони матимуть уявлення про те, що відбувається. За моїм розслідуванням, ймовірно, хтось отримав доступ до нашого сервера через SSH. Я приймаю вашу відповідь як найбільш точну у відповіді на моє запитання, хоча інші відповіді також дуже корисні.
Кшиштоф Крашевський
2
@KrzysztofKraszewski Якщо б ваш колега / не користувався дійсно паролем для розумної роботи, SSH НЕ здасться мені ймовірним кандидатом. Віддалене грубе форсування відбувається дуже повільно і шумно.
Буде
Якщо сервер був порушений, атака підсилення здається дуже малоймовірною. Навіщо турбуватися з такою тривіальною атакою, коли ви вкоренили сервер? І паролі braindead надзвичайно поширені.
Філ Мороз
1
@PhilFrost Точка, про яку я згадував про атаку посилення, полягала в тому, що можливо, що ОП виконує щось інше, що просто використовується таким чином, і що сервер не був порушений. DNS - найпоширеніший, але є також MOTD та інші дивні старі протоколи, якими можна зловживати таким чином. Це одне можливе рішення, яке відповідає дивної схемі руху.
Марк Хендерсон
3
посилення
10

Я згоден з можливістю нападу посилення. Найпростіший спосіб впоратися з цим - використовувати безкоштовний хмарний брандмауер DigitalOcean .

Дозволити вхідні дані лише для SSH, HTTP та HTTPS. Якщо можливо, дозвольте SSH лише від ваших надійних IP-адрес.

Ви можете зробити це за допомогою брандмауера на своєму VM, рішення DO просто простіше.

Майк М
джерело
Дякую за пораду, я витрачу певний час на захист наших серверів (як я мав би час тому).
Кшиштоф Крашевський
5

Слід запитати Digital Ocean. Вони не відключають сервери лише для великого вихідного трафіку: це закриє більшість серверів. Наприклад, веб-сервер, на якому розміщено щось популярне.

Швидше, вони закрили ваш сервер, оскільки характер вашого трафіку виглядав шкідливим. Як такі, вони, мабуть, мають деяке уявлення, що це було.

Інакше доведеться розслідувати себе. Можливо, якщо хост все ще працює, він все ще намагається відправити трафік, який викидає Digital Ocean. У цьому випадку ви зможете спостерігати це за допомогою дамп-пакету. Або ви зможете знайти підказки в системних журналах. На жаль, це може бути будь-який мільйон речей, тому спекуляція на основній причині відсутності такого розслідування марна.

Філ Мороз
джерело
Перевірте мій коментар під відповіддю Майка М. Схоже, хтось звернувся до нашого сервера і використовував його для атаки. Спасибі за вашу відповідь.
Кшиштоф Крашевський
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.