Estou sob um ataque DDoS?

Question

Estou sob um ataque DDoS?

#1 resposta do (0 votos)

2

OK, aqui estão algumas informações: Fedora23 rodando no VirtualBox em um host do Windows 7.

O roteador voltado para o público não tem DMZ, mas o encaminhamento de porta de 2325 (externo) para 1194 (interno) e o IP estático interno.

Executando iftop , estou obtendo uma quantidade enorme de tráfego de entrada / saída (50-70 mbps):

revolve-mainframe           => 104.23.119.177                    54.6Mb  35.4Mb  8.84Mb
                            <=                                      0b      0b      0b
revolve-mainframe           => v.pr.h.cpvps.us                      0b    643b    210b

Isso atrapalha a internet do nosso escritório, é desnecessário dizer.

A execução dos seguintes comandos para bloquear os IPs resolve o problema:

[root@revolve-mainframe sysconfig]# sudo route add -host 104.23.118.177 reject
[root@revolve-mainframe sysconfig]# sudo route add -host 104.23.119.177 reject
[root@revolve-mainframe sysconfig]# netstat -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         gateway         0.0.0.0         UG        0 0          0 enp0s8
10.8.0.0        10.8.0.2        255.255.255.0   UG        0 0          0 tun0
10.8.0.2        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
104.23.118.177  -               255.255.255.255 !H        - -          - -
104.23.119.177  -               255.255.255.255 !H        - -          - -
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 enp0s8
192.168.56.0    0.0.0.0         255.255.255.0   U         0 0          0 enp0s3

Agora a pergunta é: isso é resultado de um ataque DDoS? Se eu desbloquear esses dois IPs, recebo uma enxurrada de pacotes de entrada de todos os tipos de endereços IP diferentes.

Mas são apenas dois endereços IP específicos que eu tenho que bloquear para interromper a inundação.

Ou será que meu servidor foi comprometido e está sendo usado como uma fonte de DDoS?

Ou ...?

fedora linux denial-of-service

por heisian 20.07.2016 / 00:24

1 resposta

Tags fedora linux denial-of-service

Server 2012R2 - “Acesso Negado” na unidade no Explorer, mas pode navegar pela linha CMD fonte do cabeçalho da guia do Windows desarrumada

score 0 · Answer 1

Atualmente vejo duas possibilidades,

1) O endereço IP do nosso escritório (IP estático fornecido pela adorável Comcast) está em uma lista de alvos conhecidos por algum invasor DDoS / DoS.

2) O servidor foi comprometido e está sendo usado para DoS atacar outras pessoas.

Ou ambos.

De qualquer maneira, o que farei para remediar isso por enquanto é reconstruir completamente a pilha de servidores a partir de uma instância simples no Amazon EC2. Se meu servidor físico em nosso escritório tiver sido comprometido, a nova pilha de nuvem resolverá isso.

A execução de uma instância de nuvem também me permitirá obter um IP estático recente, o que seria um pesadelo para o serviço ao cliente da Comcast se eu quisesse fazer o mesmo com o IP estático da WAN do nosso escritório.

Indo além, eu poderia atribuir um nome de domínio ao meu IP provisionado na nuvem e usar um serviço como o Cloudflare para mascarar e impedir tentativas de DDoS, caso eu queira, por algum motivo, tornar público um endereço para meu servidor em nuvem. Mas sendo que de 4 servidores Amazon EC2 voltados para o público, nenhum ainda foi vítima de ataque, o que pode nem ser necessário (até que nossa empresa se torne um alvo maior).