การโจมตีของ SSH จะลดลง 4GB ใน 10 ชั่วโมง ไปได้หรือไม่

10

ฉันได้รับการเตือนว่าเซิร์ฟเวอร์ของฉันมีขีด จำกัด การโอน ฉันว่าโหนดทอร์ของฉันเป็นที่นิยมดังนั้นฉันเลือกที่จะปิดการใช้งานในเดือนนี้ (ไม่ใช่ตัวเลือกที่ดีที่สุดสำหรับชุมชน แต่ฉันต้องลงไป) จากนั้นฉันสังเกตเห็นว่าเซิร์ฟเวอร์ถ่ายโอนประมาณ 4GB ในคืนนี้ ฉันได้ตรวจสอบบันทึก Apache กับ Awstats ไม่มีการรับส่งข้อมูลที่เกี่ยวข้อง (และฉันไม่ได้โฮสต์เว็บไซต์ยอดนิยมไว้ที่นั่น) ฉันตรวจสอบบันทึกเมลแล้วไม่มีใครพยายามส่งขยะ ฉันได้ตรวจสอบmessagesบันทึกและพบสิ่งเหล่านี้มากมาย

Apr 29 10:17:53 marcus sshd[9281]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:07 marcus sshd[9283]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:24 marcus sshd[9298]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:39 marcus sshd[9303]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:56 marcus sshd[9306]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:11 marcus sshd[9309]: Did not receive identification string from 86.208.123.132
Apr 29 10:19:18 marcus sshd[9312]: Did not receive identification string from 101.98.178.92
Apr 29 10:19:27 marcus sshd[9314]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:41 marcus sshd[9317]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:01 marcus sshd[9321]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:13 marcus sshd[9324]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:32 marcus sshd[9327]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:48 marcus sshd[9331]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:07 marcus sshd[9336]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:20 marcus sshd[9338]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:35 marcus sshd[9341]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:51 marcus sshd[9344]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:06 marcus sshd[9349]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:23 marcus sshd[9353]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:39 marcus sshd[9359]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:54 marcus sshd[9361]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:10 marcus sshd[9367]: Did not receive identification string from 85.170.189.156
Apr 29 10:23:29 marcus sshd[9369]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:45 marcus sshd[9375]: Did not receive identification string from 85.170.189.156
Apr 29 10:24:10 marcus sshd[9387]: Did not receive identification string from 86.208.123.132
Apr 29 10:24:16 marcus sshd[9388]: Did not receive identification string from 85.170.189.156

บอทพยายามแฮ็ค SSH ของฉันทุก ๆ วินาทีซึ่งเป็นไปไม่ได้เพราะฉันต้องการการรับรองความถูกต้องของ pubkey คำถามของฉันคือ: ทราฟฟิกนี้ที่ความถี่นี้ใช้งาน 4GB ได้หรือไม่ 3.5 สมมุติในการโจมตีต่อเนื่อง 10 ชั่วโมง

ฉันได้เปลี่ยนพอร์ต SSH ของฉันและหยุดการโจมตีเหล่านี้ แต่ฉันไม่แน่ใจเกี่ยวกับการใช้เครือข่ายของฉัน ฉันไม่ได้ให้บริการนอกการควบคุมการทำงาน - ไฟร์วอลล์ของฉันค่อนข้างเข้มงวด - หรือแชร์เซิร์ฟเวอร์กับใครบางคนที่ทำ P2P อย่างไม่เหมาะสมหรืออะไรก็ตาม ความกังวลของฉันคือต่ำกว่า 400GB / เดือน

เคล็ดลับใด ๆ

linux  bandwidth-control 
usr ท้องถิ่น-ΕΨΗΕΛΩΝ
แหล่งที่มา

คำตอบ:

16

เป็นไปได้ 4 GB แต่ไม่น่าเป็นไปได้มากที่จะพิจารณาอัตราการโจมตี ฉันขอแนะนำให้ติดตั้ง OSSEC ตรวจพบการพยายามบุกรุกและบล็อก IP โดยอัตโนมัติในช่วงระยะเวลาหนึ่ง

ลูคัสคอฟฟ์แมน
แหล่งที่มา
1
ฉันมี fail2ban อยู่แล้วมันบล็อกการลงชื่อเข้าใช้ที่ไม่ดีได้สำเร็จ แต่ดูเหมือนว่าจะไม่สนใจข้อความเหล่านี้ บางทีฉันจะปรับมัน
usr-local-ΕΨΗΕΛΩΝ
1
ได้รับการยอมรับ Fail2ban ต้องการการปรับแต่งบางอย่างเพื่อยอมรับข้อความบันทึกว่าเป็นความพยายามในการเจาะ +1 ถึง @lain เช่นกันเพราะฉันไม่สามารถยอมรับ 2 คำตอบ
usr-local-ΕΨΗΕΛΩΝ
@djechelon: โปรดแจ้งให้เราทราบว่านี่จะช่วยแก้ปัญหาได้ไหม อย่างใดฉันสงสัยว่ามันจะเป็นแพ็คเก็ตจะลดลงหลังจากมาถึงระบบของคุณ
user9517
@ ผู้โจมตีส่วนใหญ่ยอมแพ้เมื่อพวกเขาถูกทิ้ง
Lucas Kauffman
3
@LucasKaufman: 4Gb / 10 ชั่วโมงคือ ~ 120Kb / วินาที ฉันไม่เห็นว่ามีปริมาณงานจำนวนมากจากความพยายามที่ล้มเหลวและตัวอย่างด้านบนแสดงอัตราการโจมตีที่ต่ำกว่ามาก (26 ใน ~ 7 นาที)
user9517
14

หากสิ่งเหล่านี้เป็นสาเหตุของการใช้แบนด์วิดท์แบนด์วิดท์จะถูกใช้ไปตามเวลาที่คุณจัดการกับมันในระบบของคุณ คุณสามารถใช้เครื่องมือเช่น iptraf เพื่อให้รายละเอียดของสิ่งที่เกิดขึ้นในแต่ละอินเตอร์เฟส / พอร์ตและจากนั้นคุณสามารถดำเนินการตามความเหมาะสมตามข้อเท็จจริง

user9517
แหล่งที่มา
เห็นได้ชัดว่าฉันสามารถใช้ความพยายามของฉันในการป้องกันการใช้แบนด์วิดท์ในอนาคตเริ่มต้นจากเดือนที่จะเกิดขึ้น
usr-local-ΕΨΗΕΛΩΝ
1
และ ... คำตอบที่เป็นประโยชน์มาก แต่ iptraf ไม่ทำงานกับ OpenVZ (อ้างอิงwebhostingtalk.com/showthread.php?t=924814 ) และฉันไม่ได้พูดถึงมัน :)
usr-local-ΕΨΗΕΛΩΝ
แนวคิดพื้นฐานยังคงเหมือนเดิม ค้นหาสิ่งที่จะบอกคุณว่าการใช้งานอยู่ที่ใดแล้วแก้ไขปัญหา สิ่งอื่นใดที่เป็นการคาดเดา
user9517
4

ไม่การพยายามเชื่อมต่อหนึ่งครั้งต่อวินาทีเหล่านี้จะไม่เพิ่มขึ้นอีก 4GB ในอีกสิบชั่วโมง คุณคิดว่าคุณสามารถดาวน์โหลดไฟล์ 4GB ภายใน 10 ชั่วโมงโดยรับแพ็คเก็ตขนาดเล็กหนึ่งครั้งต่อวินาทีหรือไม่? มี 3600 วินาทีในหนึ่งชั่วโมงดังนั้นหากคุณได้รับกิโลไบต์ต่อวินาทีเป็นเวลาสิบชั่วโมงนั่นก็คือ 36000 Kb หรือ 36 เมกะไบต์

แบนด์วิดท์ของคุณถูกวัดตามสิ่งที่ทำให้ท่อจากผู้ให้บริการของคุณไปยังเราเตอร์ภายนอกไม่ใช่สิ่งที่มาถึงเซิร์ฟเวอร์ของคุณ คุณต้องดูที่อึที่ไม่ถึงเซิร์ฟเวอร์ของคุณว่าอุปกรณ์ภายนอกส่วนใหญ่ปฏิเสธ

ตราบใดที่เซิร์ฟเวอร์ของคุณเข้าถึงคุณไม่สามารถเชื่อถือได้ในบันทึกของแอปพลิเคชัน แม้แต่แพ็กเก็ตที่ลดลงอย่างเงียบ ๆ โดยไฟร์วอลล์ในพื้นที่ก็ยังมีแบนด์วิดธ์ สถิติส่วนต่อประสาน (แสดงโดยifconfig) จะบอกให้คุณทราบว่า Tx / Rx ไบต์

Kaz
แหล่งที่มา
ไม่แน่ใจ. จากมุมมองของฉันข้อความบันทึกแสดงว่าลูกค้าเปิดซ็อกเก็ตไปยังพอร์ต 22 แต่ถูกปฏิเสธเพราะ "สิ่งที่พวกเขาส่ง" ไม่ได้รับการยอมรับว่าเป็นจับมือ SSH ที่เหมาะสม ฉันไม่ต้องการ wiretap พอร์ต 22 เพื่อดู payload ที่แท้จริงที่สแกนเนอร์ส่ง แต่ตามทฤษฎีแล้วพวกเขาสามารถส่งขยะจำนวนมากได้จนกระทั่ง SSH ลดลง คำถามคือ: openSSH จะลดการจับมือที่ไม่ถูกต้องเมื่อใด ประการที่สองฉันใช้เวลาหนึ่งคืนกับ Tor ถูกปิดการใช้งานและปริมาณการใช้งานก็เพิ่มขึ้น (Apache ไม่ได้แสดงปริมาณการใช้งานที่สำคัญ) เมื่อการรับส่งข้อมูล
ล้มเหลว 2 ครั้ง
1
ขอผมใช้ถ้อยคำใหม่สักหน่อยในกรณี ถ้าฉันต้องการระบายแบนด์วิดท์ 4GB จากเซิร์ฟเวอร์ฉันสามารถสร้าง botnet ที่เปิดการเชื่อมต่อ HTTP และส่ง POST แบบไม่ จำกัด จำนวนสำหรับการร้องขอแต่ละครั้ง บันทึกจะแสดงว่าคำขอที่ล้มเหลวเกิดขึ้นในอัตราที่ต่ำ แต่แต่ละรายการมีน้ำหนักมาก แต่สิ่งนี้เริ่มหมดความรู้สึก ฉันคุ้นเคยกับการสแกน SSH ("การรับรองความถูกต้องล้มเหลวสำหรับ root, ผู้ดูแลระบบ ... ") เนื่องจากวัตถุประสงค์ของพวกเขาคือการควบคุมโหนด เหตุใดผู้โจมตีจึงคำนึงถึงการใช้แบนด์วิดท์ผ่าน SSH ไม่สมเหตุสมผล เว้นแต่มีใครบางคนเกลียดโหนดของ Tor ...
usr-local-ΕΨΗΕΛΩΝ
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.