Krz*_*ski 9 security denial-of-service
昨天我们的 Digital Ocean 服务器遇到了类似攻击的问题。出站流量突然增加到700Mbps,而入站流量一直保持在0.1Mbps左右,甚至没有增加一次。流量持续了几分钟,直到假设我们正在执行 DoS(这是合理的),Digital Ocean 将我们的服务器从网络上切断。
我有两个假设:要么有人黑进了我们的服务器(在攻击之后我意识到我的同事已经启用了使用密码的 SSH 登录),要么存在某种我不知道的攻击。
任何人都可以为我清除这种情况吗?如果确实有一种DoS,流量看起来像那样,请教育我。
Mar*_*son 20
一种可能的可能性是放大攻击。例如,如果您正在运行一个开放的递归 DNS 解析器(虽然您可以使用其他协议来执行此操作),例如,您可能会收到一个非常小的 UDP 数据包,该数据包具有欺骗性的 IP 地址。然后您的服务器生成一个大响应并将其发送给受害者,认为这是一个合法的请求。
另一种可能性是有人正在从您的网络中窃取数据。如果有人进入您的服务器并卸载他们可以找到的每个字节,它看起来也是如此。
如果不进行调查,并希望发生的任何事情留下证据,就无法知道是哪一个。如果是后者(渗出),那么他们可能会尽其所能清除他们的踪迹。
小智 10
我同意放大攻击的可能性。处理此问题的最简单方法是使用DigitalOcean 的免费云防火墙。
只允许 SSH、HTTP 和 HTTPS 入站。如果可能,只允许来自您信任的 IP 的 SSH。
您可以使用 VM 上的防火墙执行此操作,DO 的解决方案更简单。
你应该问数字海洋。他们不会仅仅因为高出站流量而关闭服务器:这会关闭大多数服务器。例如,托管流行内容的网络服务器。
相反,他们关闭了您的服务器,因为您的流量的性质看起来是恶意的。因此,他们可能知道那是什么。
否则你就得自己调查了。也许如果主机仍在运行,它仍在尝试发送被 Digital Ocean 丢弃的流量。在这种情况下,您可以通过数据包转储来观察它。或者您可以在系统日志中找到线索。不幸的是,这可能是一百万件事情中的任何一件,因此在没有此类调查的情况下推测根本原因是徒劳的。