Qual è la probabile causa del traffico in entrata estremamente basso e del traffico in uscita elevato?

9

Ieri il nostro server Digital Ocean ha riscontrato qualcosa che sembrava un attacco. Il traffico in uscita è aumentato improvvisamente a 700 Mbps, mentre il traffico in entrata è rimasto a circa 0,1 Mbps e non è aumentato nemmeno una volta. Il traffico è durato per diversi minuti fino a quando Digital Ocean ha interrotto il nostro server dalla rete supponendo che stiamo eseguendo un DoS (che è ragionevole).

Ho due ipotesi: o qualcuno ha violato il nostro server (dopo l'attacco mi sono reso conto che il mio collega aveva abilitato l'accesso SSH con password) o c'è un tipo di attacco che non conosco.

Qualcuno può chiarire questa situazione per me? Se esiste davvero un tipo di DoS il cui traffico è simile a quello, ti prego di educarmi.

security  denial-of-service 
Krzysztof Kraszewski
fonte
1
Jonas Schäfer l'
2
Se usi VestaCP, assicurati di guardare questa pagina DigitalOcean .
Sevvlor,
2
@Sevvlor oh dio. Non avevo idea che il mio collega avesse installato questa cosa sul nostro server. Grazie.
Krzysztof Kraszewski
Anche @JonasWielicki grazie per il link, un giorno si rivelerà utile.
Krzysztof Kraszewski

Risposte:

20

Una probabile possibilità è un attacco di amplificazione. Se stai eseguendo un risolutore DNS ricorsivo aperto (ci sono altri protocolli con cui puoi farlo), ad esempio, puoi ricevere un pacchetto UDP molto piccolo che ha un indirizzo IP contraffatto. Il tuo server genera quindi una risposta di grandi dimensioni e la invia alla vittima, pensando che sia una richiesta legittima.

Un'altra possibilità è che qualcuno stia esfiltrando i dati dalla rete. Se qualcuno entrasse nel tuo server e scaricasse tutti i byte che riusciva a trovare, sembrerebbe anche quello.

Non c'è modo di sapere quale fosse senza fare un'indagine e sperando che qualunque cosa fosse accaduta lasciò prove. Se è quest'ultimo (esfiltrazione), probabilmente hanno cancellato le loro tracce nel miglior modo possibile.

Mark Henderson
fonte
1
Grazie. Sono in corrispondenza di DO, speriamo che abbiano un'idea di quello che sta succedendo. Secondo la mia indagine, è probabile che qualcuno abbia ottenuto l'accesso al nostro server tramite SSH. Accetto la tua risposta in quanto è la più precisa nel rispondere alla mia domanda, sebbene anche altre risposte siano molto utili.
Krzysztof Kraszewski
2
@KrzysztofKraszewski A meno che il tuo collega non stia / usasse una password davvero semplice, SSH NON sembrerebbe un probabile candidato per me. La forzatura a distanza del bruto è molto lenta e rumorosa.
Sarà l'
Se il server è stato compromesso, un attacco di amplificazione sembra molto improbabile. Perché preoccuparsi di un attacco così banale quando si è effettuato il root del server? E le password Braindead sono molto comuni.
Phil Frost,
1
@PhilFrost Il punto di me che menziono l'attacco di amplificazione è che è possibile che l'OP stia eseguendo qualcos'altro che è stato appena utilizzato in quel modo e che il server non è stato compromesso. Il DNS è il più comune, ma c'è anche MOTD e altri strani vecchi protocolli che possono essere abusati in questo modo. È una possibile soluzione che si adatta allo strano modello di traffico.
Mark Henderson,
3
dave_thompson_085,
10

Concordo con la possibilità di un attacco di amplificazione. Il modo più semplice per gestirlo è utilizzare il firewall cloud gratuito di DigitalOcean .

Consenti solo SSH, HTTP e HTTPS in ingresso. Se possibile, consenti solo SSH dai tuoi IP affidabili.

Puoi farlo usando il firewall sulla tua VM, la soluzione di DO è semplicemente più semplice.

Mike M
fonte
Grazie per la punta, passerò un po 'di tempo a proteggere i nostri server (come avrei dovuto fare qualche tempo fa).
Krzysztof Kraszewski
5

Dovresti chiedere a Digital Ocean. Non chiudono i server solo per un elevato traffico in uscita: ciò arresterebbe la maggior parte dei server. Ad esempio, un server web che ospita qualcosa di popolare.

Piuttosto, hanno chiuso il server perché la natura del traffico sembrava dannosa. Come tale, probabilmente hanno qualche idea di cosa fosse.

Altrimenti dovrai investigare te stesso. Forse se l'host è ancora in esecuzione, sta ancora tentando di inviare traffico che viene eliminato da Digital Ocean. In tal caso, saresti in grado di osservarlo con un dump di pacchetti. Oppure potresti essere in grado di trovare indizi nei registri di sistema. Sfortunatamente potrebbe essere una qualsiasi delle milioni di cose, quindi speculare sulla causa sottostante in assenza di una simile indagine è inutile.

Phil Frost
fonte
Guarda il mio commento sotto la risposta di Mike M. Sembra che qualcuno abbia effettuato l'accesso al nostro server e l'abbia utilizzato per eseguire un attacco. La ringrazio per la risposta.
Krzysztof Kraszewski
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.