Какова возможная причина чрезвычайно низкого входящего трафика и высокого исходящего трафика?

9

Вчера наш сервер Digital Ocean обнаружил нечто похожее на атаку. Исходящий трафик внезапно увеличился до 700 Мбит / с, в то время как входящий трафик остался на уровне около 0,1 Мбит / с и не увеличился ни разу. Трафик длился несколько минут, пока Digital Ocean не отключил наш сервер от сети, предполагая, что мы выполняем DoS (что является разумным).

У меня есть два предположения: либо кто-то взломал наш сервер (после атаки я понял, что мой коллега включил вход по SSH с паролем), либо есть какая-то атака, о которой я не знаю.

Кто-нибудь может прояснить ситуацию для меня? Если действительно существует какая-то DoS, трафик которого выглядит так, пожалуйста, сообщите мне.

security  denial-of-service 
Кшиштоф Крашевский
источник
1
Йонас Шефер
2
Если вы используете VestaCP, пожалуйста, посмотрите на эту страницу DigitalOcean .
Севрлор
2
@ Севвор, о боже. Я понятия не имел, что мой коллега установил эту вещь на нашем сервере. Спасибо.
Кшиштоф Крашевский
Также @JonasWielicki спасибо за ссылку, она когда-нибудь пригодится.
Кшиштоф Крашевский

Ответы:

20

Одна вероятная возможность - атака усиления. Например, если вы используете открытый рекурсивный преобразователь DNS (хотя есть и другие протоколы, с которыми вы можете сделать это), вы можете получить очень маленький UDP-пакет с поддельным IP-адресом. Затем ваш сервер генерирует большой ответ и отправляет его жертве, думая, что это законный запрос.

Другая возможность заключается в том, что кто-то удалял данные из вашей сети. Если кто-то попадет на ваш сервер и разгрузит каждый найденный байт, это тоже будет выглядеть так.

Невозможно узнать, кто это был, не проведя расследование и не надеясь, что все, что произошло, оставило доказательства. Если это последнее (эксфильтрация), то они, вероятно, очистили свои следы как могли.

Марк Хендерсон
источник
1
Спасибо. Я в основном поддерживаю DO, надеюсь, у них будет представление о том, что происходит. Согласно моему расследованию, вполне вероятно, что кто-то получил доступ к нашему серверу через SSH. Я принимаю ваш ответ, так как он наиболее точен при ответе на мой вопрос, хотя другие ответы также очень полезны.
Кшиштоф Крашевский
2
@KrzysztofKraszewski Если ваш коллега не использует действительно мозговой пароль, SSH НЕ может показаться мне вероятным кандидатом. Дистанционное перебор очень медленный и шумный.
Будет
Если сервер был взломан, атака с усилением кажется маловероятной. Зачем беспокоиться о такой тривиальной атаке, когда вы рутируете сервер? И пароли мозговой смерти замечательно распространены.
Фил Фрост
1
@PhilFrost Смысл того, что я упомянул атаку усиления, было то, что возможно, что OP запускает что-то еще, что просто используется таким образом, и что сервер не был взломан. DNS является наиболее распространенным, но есть также MOTD и другие странные старые протоколы, которыми можно злоупотреблять таким образом. Это одно из возможных решений, которое соответствует странной схеме трафика.
Марк Хендерсон
3
амплификации
10

Я согласен с возможностью усиления атаки. Самый простой способ справиться с этим - использовать бесплатный облачный брандмауэр DigitalOcean .

Разрешить только входящие SSH, HTTP и HTTPS. Если возможно, разрешите SSH только с доверенных IP-адресов.

Вы можете сделать это с помощью брандмауэра на вашей виртуальной машине, решение DO проще.

Майк М
источник
Спасибо за совет, я потрачу некоторое время на защиту наших серверов (как я должен был некоторое время назад).
Кшиштоф Крашевский
5

Вы должны спросить Digital Ocean. Они не отключают серверы только для высокого исходящего трафика: это отключит большинство серверов. Например, веб-сервер хостинг что-то популярное.

Скорее, они закрыли ваш сервер, потому что характер вашего трафика выглядел вредоносным. Таким образом, они, вероятно, имеют некоторое представление о том, что это было.

В противном случае вам придется исследовать себя. Возможно, если хост все еще работает, он все еще пытается отправить трафик, который отбрасывается Digital Ocean. В этом случае вы сможете наблюдать это с помощью дампа пакетов. Или вы можете найти подсказки в системных журналах. К сожалению, это может быть что-то из миллиона вещей, поэтому спекулировать первопричиной в отсутствие такого расследования бесполезно.

Фил Фрост
источник
Проверьте мой комментарий под ответом Майка М. Похоже, кто-то получил доступ к нашему серверу и использовал его для выполнения атаки. Спасибо за ваш ответ.
Кшиштоф Крашевский
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.