สาเหตุที่เป็นไปได้สำหรับการรับส่งข้อมูลขาเข้าต่ำมากและปริมาณการใช้ขาออกสูงคืออะไร

9

เมื่อวานนี้เซิร์ฟเวอร์ Digital Ocean ของเราพบสิ่งที่ดูเหมือนเป็นการโจมตี ทราฟฟิกขาออกเพิ่มขึ้นเป็น 700Mbps ในขณะที่ทราฟฟิกขาเข้าอยู่ที่ประมาณ 0.1Mbps และไม่เพิ่มขึ้นแม้แต่ครั้งเดียว การรับส่งข้อมูลใช้เวลานานหลายนาทีจนกระทั่ง Digital Ocean ตัดเซิร์ฟเวอร์ของเราออกจากเครือข่ายโดยสมมติว่าเรากำลังใช้งาน DoS (ซึ่งสมเหตุสมผล)

ฉันมีสมมติฐานสองข้อ: มีบางคนที่แฮ็คเข้าสู่เซิร์ฟเวอร์ของเรา (หลังจากการโจมตีฉันรู้ว่าเพื่อนร่วมงานของฉันเปิดใช้งานการเข้าสู่ระบบด้วยรหัสผ่าน SSH) หรือมีการโจมตีบางอย่างที่ฉันไม่รู้

ใครช่วยเคลียร์สถานการณ์นี้ให้ฉันได้ไหม หากมี DoS ประเภทใดที่ปริมาณการใช้งานเป็นเช่นนั้นโปรดให้ความรู้แก่ฉัน

security  denial-of-service 
Krzysztof Kraszewski
แหล่งที่มา
1
Jonas Schäfer
2
ถ้าคุณกำลังเรียก VestaCP โปรดให้แน่ใจว่าจะดูที่นี้หน้า DigitalOcean
Sevvlor
2
@Sevvlor โอ้พระเจ้า ฉันไม่รู้ว่าเพื่อนร่วมงานของฉันติดตั้งสิ่งนี้บนเซิร์ฟเวอร์ของเรา ขอบคุณ
Krzysztof Kraszewski
นอกจากนี้ @JonasWielicki ขอบคุณสำหรับลิงค์มันจะพิสูจน์ตัวเองว่ามีประโยชน์สักวันหนึ่ง
Krzysztof Kraszewski

คำตอบ:

20

โอกาสที่เป็นไปได้อย่างหนึ่งคือการโจมตีแบบขยาย หากคุณใช้ตัวแก้ไข DNS แบบเปิดซ้ำ (มีโพรโทคอลอื่นที่คุณสามารถทำได้ด้วย) ตัวอย่างเช่นคุณสามารถรับแพ็กเก็ต UDP ขนาดเล็กมากที่มีที่อยู่ IP ปลอมแปลง เซิร์ฟเวอร์ของคุณสร้างการตอบสนองที่มีขนาดใหญ่และส่งไปยังเหยื่อโดยคิดว่าเป็นคำขอที่ถูกต้องตามกฎหมาย

ความเป็นไปได้อีกอย่างก็คือมีบางคนกำลัง exfiltrating ข้อมูลนอกเครือข่ายของคุณ หากใครบางคนเข้าไปในเซิร์ฟเวอร์ของคุณและถ่ายทุก ๆ ไบท์ที่พวกเขาพบมันก็จะเป็นแบบนั้นเช่นกัน

ไม่มีทางที่จะรู้ว่ามันคือใครโดยไม่ต้องทำการสอบสวนและหวังว่าสิ่งที่เกิดขึ้นเป็นหลักฐาน ถ้าเป็นแบบหลัง (exfiltration) พวกเขาอาจเคลียร์เส้นทางของพวกเขาให้ดีที่สุดเท่าที่จะทำได้

มาร์คเฮนเดอร์สัน
แหล่งที่มา
1
ขอบคุณ ฉันอยู่ในการโต้ตอบกับ DO หวังว่าพวกเขาจะมีความคิดว่าเกิดอะไรขึ้น จากการตรวจสอบของฉันเป็นไปได้ว่ามีบางคนเข้าถึงเซิร์ฟเวอร์ของเราผ่าน SSH ฉันยอมรับคำตอบของคุณเนื่องจากมันแม่นยำที่สุดในการตอบคำถามของฉันแม้ว่าคำตอบอื่น ๆ ก็มีประโยชน์มาก
Krzysztof Kraszewski
2
@KrzysztofKraszewski เว้นเสีย แต่เพื่อนร่วมงานของคุณคือ / ใช้รหัสผ่าน braindead จริง ๆ SSH จะไม่ดูเหมือนผู้สมัครที่น่าจะเป็นฉัน เดรัจฉานบังคับระยะไกลช้ามากและมีเสียงดัง
จะ
หากเซิร์ฟเวอร์ถูกโจมตีการขยายสัญญาณก็ไม่น่าเป็นไปได้ ทำไมต้องกังวลกับการโจมตีเล็กน้อยเมื่อคุณรูทเซิร์ฟเวอร์? และรหัสผ่าน braindead นั้นเป็นเรื่องธรรมดา
Phil Frost
1
@PhilFrost ประเด็นของฉันที่พูดถึงการโจมตีแอมพลิฟายเออร์คือเป็นไปได้ที่ OP กำลังทำงานอย่างอื่นที่เพิ่งถูกใช้งานในลักษณะนั้นและเซิร์ฟเวอร์ไม่ได้ถูกบุกรุก DNS เป็นสิ่งที่พบได้บ่อยที่สุด แต่ก็มี MOTD และโปรโตคอลเก่าอื่น ๆ ที่สามารถใช้ในทางที่ผิด มันเป็นทางออกหนึ่งที่เป็นไปได้ที่เหมาะกับรูปแบบการจราจรแปลก ๆ
Mark Henderson
3
แอมพลิไฟเออร์ที่
10

ฉันเห็นด้วยกับความเป็นไปได้ของการโจมตีแบบขยาย วิธีที่ง่ายที่สุดในการจัดการนี้คือการใช้ไฟร์วอลล์เมฆ DigitalOcean ฟรี

อนุญาตเฉพาะ SSH, HTTP และ HTTPS ขาเข้า หากเป็นไปได้ให้อนุญาต SSH จาก IP ที่เชื่อถือได้ของคุณ

คุณสามารถทำได้โดยใช้ไฟร์วอลล์บน VM วิธีแก้ปัญหาของ DO ทำได้ง่ายขึ้น

ไมค์เอ็ม
แหล่งที่มา
ขอบคุณสำหรับเคล็ดลับฉันจะใช้เวลารักษาความปลอดภัยเซิร์ฟเวอร์ของเรา
Krzysztof Kraszewski
5

คุณควรถามมหาสมุทรดิจิตอล พวกเขาไม่ได้ปิดเซิร์ฟเวอร์เพียงเพื่อการรับส่งข้อมูลสูง: ที่จะปิดเซิร์ฟเวอร์ส่วนใหญ่ ตัวอย่างเช่นเว็บเซิร์ฟเวอร์ที่โฮสต์สิ่งที่เป็นที่นิยม

ค่อนข้างพวกเขาปิดเซิร์ฟเวอร์ของคุณเพราะลักษณะของการรับส่งข้อมูลของคุณดูเป็นอันตราย เช่นนี้พวกเขาอาจมีความคิดว่ามันคืออะไร

มิฉะนั้นคุณจะต้องตรวจสอบตัวเอง บางทีถ้าโฮสต์ยังคงทำงานอยู่ก็ยังคงพยายามที่จะส่งปริมาณข้อมูลซึ่งดิจิตอลดิจิตัลกำลังทำอยู่ ในกรณีนี้คุณจะสามารถสังเกตได้ด้วยแพ็กเก็ตดัมพ์ หรือคุณอาจพบเบาะแสในบันทึกของระบบ น่าจะเป็นหนึ่งในล้านสิ่งที่น่าเสียดายดังนั้นการคาดเดาสาเหตุที่ไม่มีการสอบสวนดังกล่าวนั้นไร้ประโยชน์

Phil Frost
แหล่งที่มา
ตรวจสอบความคิดเห็นของฉันภายใต้คำตอบของ Mike M ดูเหมือนว่ามีคนเข้าถึงเซิร์ฟเวอร์ของเราและใช้มันเพื่อทำการโจมตี ขอบคุณสำหรับคำตอบ.
Krzysztof Kraszewski
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.