Меня предупредили, что мой сервер превысил лимит передачи. Я думал, что мой узел Tor стал популярным, поэтому я решил отключить его в этом месяце (не лучший выбор для сообщества, но мне нужно отказаться). Затем я заметил, что за ночь сервер передал около 4 ГБ. Я проверил логи Apache с помощью Awstats, никакого соответствующего трафика (и я не размещаю там столь популярные сайты). Я проверил логи почты, никто не пробовал отправлять мусор. я проверил messages журналов и нашел тонны этих
Apr 29 10:17:53 marcus sshd[9281]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:07 marcus sshd[9283]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:24 marcus sshd[9298]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:39 marcus sshd[9303]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:56 marcus sshd[9306]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:11 marcus sshd[9309]: Did not receive identification string from 86.208.123.132
Apr 29 10:19:18 marcus sshd[9312]: Did not receive identification string from 101.98.178.92
Apr 29 10:19:27 marcus sshd[9314]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:41 marcus sshd[9317]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:01 marcus sshd[9321]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:13 marcus sshd[9324]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:32 marcus sshd[9327]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:48 marcus sshd[9331]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:07 marcus sshd[9336]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:20 marcus sshd[9338]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:35 marcus sshd[9341]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:51 marcus sshd[9344]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:06 marcus sshd[9349]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:23 marcus sshd[9353]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:39 marcus sshd[9359]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:54 marcus sshd[9361]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:10 marcus sshd[9367]: Did not receive identification string from 85.170.189.156
Apr 29 10:23:29 marcus sshd[9369]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:45 marcus sshd[9375]: Did not receive identification string from 85.170.189.156
Apr 29 10:24:10 marcus sshd[9387]: Did not receive identification string from 86.208.123.132
Apr 29 10:24:16 marcus sshd[9388]: Did not receive identification string from 85.170.189.156
Каждые несколько секунд бот пытается взломать мой SSH, что невозможно, потому что мне требуется аутентификация по общему ключу. У меня вопрос: может ли этот трафик с такой частотой потреблять 4 ГБ (скажем, 3,5) за 10 часов непрерывной атаки?
Я изменил свой порт SSH и остановил эти атаки, но я не уверен в потреблении сети. У меня нет неконтролируемых сервисов - мой брандмауэр в некотором роде ограничивает - или не делится сервером с кем-то, кто злоупотребляет P2P, или что-то еще. Я беспокоюсь о том, чтобы опуститься ниже 400 ГБ в месяц.
Какие-нибудь советы?
4 ГБ возможно, но очень маловероятно, учитывая скорость атаки. Предлагаю установить OSSEC, он определяет обрыв попыток и автоматически блокирует IP на определенный тайм-аут.
Если они являются причиной использования полосы пропускания, то к тому времени, когда вы обрабатываете их в своей системе, она уже израсходована. Вы можете использовать такой инструмент, как iptraf, чтобы получить подробную информацию о том, что происходит на каждом интерфейсе / порте, и затем предпринять соответствующие действия на основе фактов.
Нет, эти попытки подключения один раз в секунду сами по себе не увеличат объем памяти до 4 ГБ за десять часов. Как вы думаете, можно ли загрузить файл размером 4 ГБ за 10 часов, получая крошечный пакет раз в секунду? В часе 3600 секунд, поэтому, если вы получаете килобайт в секунду за десять часов, это будет 36000 КБ или 36 мегабайт.
Ваша пропускная способность измеряется по тому, что идет по трубе от вашего провайдера к вашему внешнему маршрутизатору, а не по тому, что доходит до вашего сервера. Вы должны смотреть на то дерьмо, которое не достигает вашего сервера, которое отвергает большинство внешних устройств.
Что касается того, что доходит до вашего сервера, вы не можете полагаться на журналы приложений. Даже пакеты, которые автоматически отбрасываются локальным брандмауэром, являются пропускной способностью. Статистика интерфейса (отображается ifconfig) сообщит вам байты Tx / Rx.