У меня есть размещенный сервер с Asterisk PBX со следующими характеристиками: Debian 9 x86 64-битный Linux, 2 ГБ ОЗУ, 2 ТБ пропускной способности и 20 ГБ SSD-хранилища.
Уже почти сутки сервер как будто находится в "офлайне". Я не могу подключиться по SSH или подключиться к нему с помощью FileZilla (SFTP). Тем не менее, я получаю нормальные ответы на пинг:
Pinging domain.com [IP.AD.DR.ESS] with 32 bytes of data:
Reply from IP.AD.DR.ESS: bytes=32 time=28ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=26ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=27ms TTL=51
Ping statistics for IP.AD.DR.ESS:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 26ms, Maximum = 30ms, Average = 27ms
C:\Users\username>ping domain.com
Pinging domain.com [IP.AD.DR.ESS] with 32 bytes of data:
Reply from IP.AD.DR.ESS: bytes=32 time=27ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=43ms TTL=51
Ping statistics for IP.AD.DR.ESS:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 27ms, Maximum = 43ms, Average = 32ms
Был короткий период, когда в течение нескольких минут я получал сообщение «Время ответа истекло», но через несколько минут он снова стал доступен, и с тех пор так и было.
Ирония заключается в том, что среднее время приема-передачи здесь немного лучше, чем обычно, когда сервер работает!
За исключением нескольких минут вчерашнего дня, ни один из моих пинговых запросов не истек.
Я связался со своим администратором сервера, который ранее подвергался DDoS-атакам, и он сказал, что это DDoS-атаки, и единственное, что мне нужно сделать, это подождать. Тем не менее, это меня не волнует. Когда я посмотрел, как я мог определить, действительно ли это была DDoS-атака, я продолжал замечать следующее:
Есть несколько улик, указывающих на продолжающуюся DDoS-атаку: Loggly:
-Время жизни (TTL) для запроса ping истекло
Я попросил своего администратора сервера связаться с хостом сервера, и он отказался, сказав, что это была DDoS-атака, и единственное, что нужно было сделать, это дождаться ее завершения, что хост сервера ничего не может сделать, и все это будет просто пустая трата времени.
Лично я скептически относился к этому, особенно к тому, что я обнаружил, просто выполнив pinging сервера.
Когда я пробую SSHing, я просто ничего не получаю, затем в конечном итоге программное обеспечение вызвало тайм-аут соединения, а в FileZilla я получаю, что программное обеспечение вызвало прерывание соединения, не смог подключиться к серверу.
Неужели это возможная DDoS-атака? Или может быть что-то еще ответственное за это, объясняя, почему сервер полностью недоступен, и почему пинг показывает, что сервер «здоров»?
Да, также, все вызовы (Asterisk) на сервер сбрасываются, поэтому это не может быть чем-то специфичным для администратора, сервер в целом, кажется, не работает, за исключением ответов ping.
Сервер, возможно, подвергся атаке с использованием DoS на уровне приложений. Большинство ОС обрабатывают запросы ping (пакеты ICMP) на уровне ядра. На уровне пользователя сервера могут быть исчерпаны ресурсы, однако уровень ядра имеет более высокие приоритеты, что позволяет отвечать на запросы ping.
Однако нет уверенности, что ваш сервер подвергся (D) DoS-атаке.
Чтобы понять, как работает DDoS и как это влияет на сервер, сеть, ... Необходимо базовое понимание работы в сети. Например: знания Модель OSI и TCP 3-стороннее рукопожатие необходимо.
В большинстве DDoS-атак используется подход уровня 4 или уровня 7.
Злоумышленник отправляет жертве огромное количество сообщений SYN из разных мест или, что более вероятно, через поддельные адреса источника.
Целевой сервер / сервер-жертва выделит ресурсы для обработки этого соединения. Поскольку злоумышленник не предпринимает никаких дальнейших действий, сервер-жертва будет находиться в состоянии с множеством полуоткрытые соединения. Это приводит к отказу в обслуживании, потому что у жертвы больше нет ресурсов для обработки других законных соединений.
Злоумышленник отправляет любые (случайные) данные. В последние годы появилась методика под названием DDoS-атака с усилением DNS выросла как атака UDP-флуд.
Эта атака заполняет всю полосу пропускания сервера и даже, возможно, вышестоящего провайдера. Поскольку вся полоса пропускания заполнена, почти никакой легитимный трафик не может достичь сервера.
Подобные атаки зависят от конкретного приложения.
Цель такой атаки - исчерпать любые системные ресурсы. Процесс может перестать отвечать из-за высокой загрузки ЦП, но также может завершиться из-за полного заполнения жесткого диска. Это приводит к отказу в обслуживании.