Son derece düşük gelen trafik ve yüksek giden trafik için olası neden nedir?

9

Dün Dijital Okyanus sunucumuz bir saldırı gibi görünen bir şeyle karşılaştı. Giden trafik aniden 700Mbps'ye yükselirken, gelen trafik yaklaşık 0.1Mbps'de kaldı ve bir kez bile artmadı. Digital Ocean, DoS (makul olan) yaptığımızı varsayarak sunucumuzu ağdan kesene kadar birkaç dakika sürdü.

İki varsayım var: ya sunucumuzda saldırıya uğramış biri (saldırıdan sonra meslektaşımın SSH girişini şifre ile etkinleştirdiğini fark ettim) ya da bilmediğim bir saldırı var.

Bu durumu benim için kimse çözebilir mi? Gerçekten de trafiğin böyle göründüğü bir tür DoS varsa, lütfen beni eğitin.

security  denial-of-service 
Krzysztof Kraszewski
kaynak
1
Jonas Schäfer
2
VestaCP kullanıyorsanız, lütfen bu DigitalOcean sayfasına baktığınızdan emin olun .
Sevvlor
2
@ Sevevlor oh tanrım. Meslektaşımın bu şeyi sunucumuza yüklediği hakkında hiçbir fikrim yoktu. Teşekkürler.
Krzysztof Kraszewski
Ayrıca @JonasWielicki bağlantı için teşekkürler, bir gün kendini kanıtlayacak.
Krzysztof Kraszewski

Yanıtlar:

20

Muhtemel bir olasılık, bir amplifikasyon saldırısıdır. Örneğin, açık bir özyinelemeli DNS çözümleyicisi çalıştırıyorsanız (bunu yine de yapabileceğiniz başka protokoller vardır), sahte bir IP adresi olan çok küçük bir UDP paketi alabilirsiniz. Sunucunuz daha sonra büyük bir yanıt oluşturur ve bunun meşru bir istek olduğunu düşünerek kurbana gönderir.

Başka bir olasılık, birisinin ağınızdan veri dışarı sızmasıdır. Birisi sunucunuza girdiyse ve bulabilecekleri her baytı boşaltsaydı, bu da böyle görünecektir.

Soruşturma yapmadan hangisinin olduğunu bilmenin ve ne olursa olsun kanıt kalmasını ummanın bir yolu yok. Eğer ikincisi (sızma) ise, muhtemelen izlerini ellerinden geldiğince temizlediler.

Mark Henderson
kaynak
1
Teşekkürler. DO ile bir yazışma içindeyim, umarım neler olup bittiğiyle ilgili bir fikirleri olur. Araştırmamıza göre, birinin SSH aracılığıyla sunucumuza erişmesi muhtemel. Cevabımı, diğer cevaplar da çok faydalı olsa da, sorumu cevaplamanın en kesin yanı olduğu için kabul ediyorum.
Krzysztof Kraszewski
2
@KrzysztofKraszewski İş arkadaşınız gerçekten cesur bir şifre kullanmıyorsa / SSH benim için muhtemel bir aday gibi görünmez. Uzaktan kaba kuvvet çok yavaş ve gürültülüdür.
Will
Sunucunun güvenliği ihlal edilmişse, bir amplifikasyon saldırısı pek olası görünmüyor. Sunucuyu köklendirdiğinizde neden bu kadar önemsiz bir saldırıyla uğraşasınız ki? Ve braindead şifreleri oldukça yaygındır.
Phil Frost
1
@PhilFrost Amplifikasyon saldırısından bahsettiğim nokta, OP'nin sadece bu şekilde kullanılan başka bir şey çalıştırmasının ve sunucunun güvenliğinin ihlal edilmemesinin mümkün olduğuydu . DNS en yaygın olanıdır, ancak bu şekilde kötüye kullanılabilecek MOTD ve diğer garip eski protokoller de vardır. Garip trafik modeline uyan olası bir çözümdür.
Mark Henderson
3
amplikasyon
10

Amplifikasyon atağı olasılığına katılıyorum. Bunu yapmanın en basit yolu DigitalOcean'ın ücretsiz bulut güvenlik duvarını kullanmaktır .

Yalnızca SSH, HTTP ve HTTPS gelenlerine izin verin. Mümkünse, yalnızca güvenilir IP'lerinizden SSH'ye izin verin.

Bunu VM'nizdeki güvenlik duvarını kullanarak yapabilirsiniz, DO'nun çözümü daha kolaydır.

Mike M
kaynak
Bahşiş için teşekkürler, sunucularımızı korumak için biraz zaman harcayacağım (bir süre önce yapmam gerektiği gibi).
Krzysztof Kraszewski
5

Digital Ocean'a sormalısın. Sadece yüksek giden trafik için sunucuları kapatmazlar: bu çoğu sunucuyu kapatır. Örneğin, popüler bir şey barındıran bir web sunucusu.

Aksine, trafiğinizin doğası kötü amaçlı göründüğü için sunucunuzu kapattılar. Bu nedenle, muhtemelen ne olduğu hakkında bir fikirleri var.

Aksi takdirde kendinizi araştırmanız gerekir. Belki de ev sahibi hala çalışıyorsa, hala Digital Ocean tarafından bırakılan trafiği göndermeye çalışıyor. Bu durumda bir paket dökümü ile gözlemleyebilirsiniz. Veya sistem günlüklerinde ipuçlarını bulabilirsiniz. Ne yazık ki bir milyon şeyden herhangi biri olabilir, bu yüzden böyle bir soruşturma olmadığı için altta yatan neden üzerine spekülasyon yapmak boşuna.

Phil Frost
kaynak
Mike M'nin cevabı altındaki yorumuma göz atın. Birisi sunucumuza erişti ve saldırı yapmak için kullandı. Cevabınız için teşekkür ederim.
Krzysztof Kraszewski
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.