Вчера наш сервер Digital Ocean обнаружил нечто похожее на атаку. Исходящий трафик внезапно увеличился до 700 Мбит / с, в то время как входящий трафик остался на уровне примерно 0,1 Мбит / с и не увеличился ни разу. Трафик длился несколько минут, пока Digital Ocean не отключила наш сервер от сети, предполагая, что мы выполняем DoS (что разумно).
У меня два предположения: либо кто-то взломал наш сервер (после атаки я понял, что мой коллега включил SSH-вход с паролем), либо есть какая-то атака, о которой я не знаю.
Может ли кто-нибудь прояснить мне эту ситуацию? Если действительно существует своего рода DoS, трафик которого выглядит так, пожалуйста, научите меня.
Одна из вероятных возможностей - это атака усиления. Если вы используете открытый рекурсивный преобразователь DNS (есть и другие протоколы, с которыми вы можете это сделать), например, вы можете получить очень небольшой пакет UDP с поддельным IP-адресом. Затем ваш сервер генерирует большой ответ и отправляет его жертве, думая, что это законный запрос.
Другая возможность заключается в том, что кто-то украл данные из вашей сети. Если бы кто-то проник на ваш сервер и выгружал каждый найденный байт, это тоже выглядело бы так.
Невозможно узнать, что это было, не проводя расследования и не надеясь, что все, что произошло, оставило доказательства. Если это последнее (эксфильтрация), то они, вероятно, расчистили свои следы как могли.
Я согласен с возможностью атаки усиления. Самый простой способ справиться с этим - использовать Бесплатный облачный брандмауэр DigitalOcean.
Разрешить только входящие SSH, HTTP и HTTPS. Если возможно, разрешите SSH только с ваших доверенных IP-адресов.
Вы можете сделать это с помощью брандмауэра на вашей виртуальной машине, решение DO просто проще.
Вам следует спросить Digital Ocean. Они не отключают серверы только из-за высокого исходящего трафика: это отключило бы большинство серверов. Например, веб-сервер, на котором размещается что-то популярное.
Скорее, они отключили ваш сервер, потому что характер вашего трафика выглядел злонамеренно. Таким образом, они, вероятно, имеют некоторое представление о том, что это было.
В противном случае вам придется исследовать себя. Возможно, если хост все еще работает, он все еще пытается отправить трафик, который отбрасывается Digital Ocean. В этом случае вы сможете наблюдать это с помощью дампа пакета. Или вы можете найти подсказки в системных журналах. К сожалению, это может быть любая из миллиона вещей, поэтому без расследования спекулировать на первопричине - бесполезно.