SSH saldırıları 10 saatte 4 GB boşalır. Mümkün?

10

Sunucumun aktarım sınırını aştığı konusunda uyarıldım. Tor düğümümün popüler hale geldiğini düşündüm, bu yüzden bu ay devre dışı bırakmayı seçtim (topluluk için en iyi seçim değil ama aşağı inmem gerekiyor). Sonra sunucunun bu gece 4GB civarında aktardığını fark ettim. Apache günlüklerini Awstats ile kontrol ettim, alakalı trafik yok (ve orada çok popüler siteler barındırmıyorum). Posta günlüklerini kontrol ettim, kimse çöp göndermeye çalışmadı. messagesGünlükleri kontrol ettim ve bunların tonlarını buldum

Apr 29 10:17:53 marcus sshd[9281]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:07 marcus sshd[9283]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:24 marcus sshd[9298]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:39 marcus sshd[9303]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:56 marcus sshd[9306]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:11 marcus sshd[9309]: Did not receive identification string from 86.208.123.132
Apr 29 10:19:18 marcus sshd[9312]: Did not receive identification string from 101.98.178.92
Apr 29 10:19:27 marcus sshd[9314]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:41 marcus sshd[9317]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:01 marcus sshd[9321]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:13 marcus sshd[9324]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:32 marcus sshd[9327]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:48 marcus sshd[9331]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:07 marcus sshd[9336]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:20 marcus sshd[9338]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:35 marcus sshd[9341]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:51 marcus sshd[9344]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:06 marcus sshd[9349]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:23 marcus sshd[9353]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:39 marcus sshd[9359]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:54 marcus sshd[9361]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:10 marcus sshd[9367]: Did not receive identification string from 85.170.189.156
Apr 29 10:23:29 marcus sshd[9369]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:45 marcus sshd[9375]: Did not receive identification string from 85.170.189.156
Apr 29 10:24:10 marcus sshd[9387]: Did not receive identification string from 86.208.123.132
Apr 29 10:24:16 marcus sshd[9388]: Did not receive identification string from 85.170.189.156

Birkaç saniyede bir bot SSH'mi hacklemeye çalışıyor, bu imkansız çünkü pubkey kimlik doğrulamasına ihtiyacım var. Sorum şu: Bu trafik, bu sıklıkta, 10 saatlik sürekli saldırıda 4GB (örneğin 3.5) tüketebilir mi?

SSH bağlantı noktasını değiştirdim ve bu saldırıları durdurdum, ancak ağ tüketimimden emin değilim. Kontrolden çıkan hizmetlerim yok - güvenlik duvarım biraz kısıtlayıcı - veya sunucuyu kötüye kullanan P2P veya başka biriyle paylaşıyor. Benim endişem ayda 400GB'ın altına inmek.

Herhangi bir ipucu?

linux  bandwidth-control 
usr-yerel-ΕΨΗΕΛΩΝ
kaynak

Yanıtlar:

16

4 GB mümkündür, ancak saldırı hızı göz önüne alındığında pek olası değildir. OSSEC'yi yüklemenizi öneririm, denemelerde kopma olduğunu algılar ve IP'yi belirli bir süre boyunca otomatik olarak engeller.

Lucas Kauffman
kaynak
1
Zaten fail2ban var, başarıyla kötü girişleri engelledi ama bu mesajları görmezden geliyor gibi görünüyor. Belki ayarlayacağım.
usr-local-ΕΨΗΕΛΩΝ
1
Kabul edilmiş. Fail2ban, günlük iletilerini alıştırma girişimleri olarak kabul etmek için bazı ayarlara ihtiyaç duyuyordu. +1 de @lain çünkü 2 cevabı kabul edemiyorum
usr-local-ΕΨΗΕΛΩΝ
@djechelon: Lütfen sorunu çözdüğünü bize bildirin. Her nasılsa ben paketler sisteminize geldikten sonra düşecek gibi şüpheliyim.
user9517
@ Çoğu saldırgan düşürüldüklerinde vazgeçerler.
Lucas Kauffman
3
@LucasKaufman: 4Gb / 10Hrs ~ 120Kb / sn. Başarısız girişimlerden bu kadar yüksek bir verim olduğunu görmüyorum ve yukarıdaki pasaj çok daha düşük bir saldırı oranı (26 inç ~ 7 dakika) gösteriyor.
user9517
14

Bunlar bant genişliği kullanımının nedeni ise, bant genişliği sisteminizde bunlarla uğraştığınız zamana kadar tüketilir. Her arabirimde / bağlantı noktasında neler olup bittiğine dair bir döküm vermek için iptraf gibi bir araç kullanabilirsiniz ve daha sonra gerçeklere dayalı olarak uygun eylemi gerçekleştirebilirsiniz.

user9517
kaynak
Açıkçası gelecekteki bant genişliği tüketimini önlemeye yönelik çabalarımı önümüzdeki aydan başlayarak koyabilirim
usr-local-ΕΨΗΕΛΩΝ
1
Ve ... çok yararlı cevap, ama iptraf OpenVZ (referans webhostingtalk.com/showthread.php?t=924814 ) ile çalışmıyor ve bundan bahsetmedim :)
usr-local-ΕΨΗΕΛΩΝ
Temel fikir aynı kalır. Kullanımın nerede olduğunu söyleyecek bir şey bulun ve sorunu çözün. Başka bir şey varsayımdır.
user9517
4

Hayır, saniyede bir kez yapılan bu bağlantı girişimlerinin kendileri on saat içinde 4 GB'a kadar eklemeyecek. Saniyede bir kez küçük bir paket alarak 10 saat içinde 4 GB'lık bir dosya indirebileceğinizi düşünüyor musunuz? Bir saatte 3600 saniye vardır, bu yüzden on saat boyunca saniyede bir kilobayt alırsanız, bu 36000 Kb veya 36 megabayt olacaktır.

Bant genişliğiniz, sunucunuza ulaşanlara değil, sağlayıcınızdan harici yönlendiricinize giden boruya göre ölçülür. Sunucunuza ulaşmayan, çoğu harici ekipmanın reddettiği saçmalıklara bakmalısınız.

Sunucunuza neyin eriştiği kadarıyla, uygulama günlüklerine güvenemezsiniz. Yerel güvenlik duvarı tarafından sessizce bırakılan paketler bile bant genişliğidir. Arayüz istatistikleri (ile gösterilir ifconfig) size Tx / Rx baytlarını söyleyecektir.

Kaz
kaynak
Emin değil. Benim bakış açımdan, günlük iletileri, istemcilerin 22 numaralı bağlantı noktasına bir yuva açtıklarını ancak "ilettikleri" uygun SSH el sıkışması olarak tanınmadıkları için reddedildiklerini gösteriyor. Tarayıcıların gönderdiği gerçek yükü görmek için port 22'yi teleklemek istemedim, ancak teorik olarak SSH düşene kadar tonlarca çöp gönderebilirler. Soru şudur: openSSH ne zaman geçersiz bir el sıkışma bırakır? İkincisi, Tor devre dışı bırakılmış bir gece geçirdim ve trafik hala arttı (Apache önemli bir trafik göstermedi), yeniden yapılandırılan başarısız2ban trafiği neredeyse durduğunda
usr-local-'30
1
Her ihtimale karşı biraz ifade edeyim. Bir sunucudan 4GB bant genişliği boşaltmak istersem HTTP bağlantılarını açan ve her istek için sınırsız POST yükü gönderen bir botnet yapabilirim. Günlükler başarısız isteklerin düşük oranlarla gerçekleştiğini, ancak her birinin son derece ağır olduğunu gösterecektir. Ama bu anlamını yitirmeye başlar. SSH taramalarına aşina oldum ("kök, yönetici için başarısız kimlik doğrulama ...") çünkü hedefleri düğümü kontrol altına almak. Bir saldırgan neden SSH aracılığıyla bant genişliğini boşaltmayı düşünür? Mantıklı değil. Birisi Tor düğümlerinden nefret etmedikçe ...
usr-local-ΕΨΗΕΛΩΝ
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.