4 GB é possível, mas muito improvável considerando a taxa de ataque. Eu sugiro instalar o OSSEC, ele detecta quebra de tentativas e bloqueia o IP automaticamente por um determinado tempo.
Fui avisado que meu servidor quebrou seu limite de transferência. Eu acho que meu nó Tor tornou-se popular, então optei por desativá-lo este mês (não a melhor escolha para a comunidade, mas eu preciso diminuir). Então notei que o servidor transferiu cerca de 4GBs esta noite. Verifiquei os logs do Apache com Awstats, sem tráfego relevante (e não hospedo sites tão populares lá). Eu verifiquei logs de correio, ninguém tentou enviar lixo. Verifiquei messages logs e encontrei toneladas desses
Apr 29 10:17:53 marcus sshd[9281]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:07 marcus sshd[9283]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:24 marcus sshd[9298]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:39 marcus sshd[9303]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:56 marcus sshd[9306]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:11 marcus sshd[9309]: Did not receive identification string from 86.208.123.132
Apr 29 10:19:18 marcus sshd[9312]: Did not receive identification string from 101.98.178.92
Apr 29 10:19:27 marcus sshd[9314]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:41 marcus sshd[9317]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:01 marcus sshd[9321]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:13 marcus sshd[9324]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:32 marcus sshd[9327]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:48 marcus sshd[9331]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:07 marcus sshd[9336]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:20 marcus sshd[9338]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:35 marcus sshd[9341]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:51 marcus sshd[9344]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:06 marcus sshd[9349]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:23 marcus sshd[9353]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:39 marcus sshd[9359]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:54 marcus sshd[9361]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:10 marcus sshd[9367]: Did not receive identification string from 85.170.189.156
Apr 29 10:23:29 marcus sshd[9369]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:45 marcus sshd[9375]: Did not receive identification string from 85.170.189.156
Apr 29 10:24:10 marcus sshd[9387]: Did not receive identification string from 86.208.123.132
Apr 29 10:24:16 marcus sshd[9388]: Did not receive identification string from 85.170.189.156
A cada poucos segundos, um bot está tentando invadir meu SSH, o que é impossível, porque eu preciso da autenticação do pubkey. Minha pergunta é: esse tráfego, nessa frequência, pode consumir 4GB (digamos 3,5) em 10 horas de ataque contínuo?
Alterei minha porta SSH e parei esses ataques, mas não tenho certeza sobre meu consumo de rede. Eu não tenho serviços fora de controle rodando - meu firewall é meio restritivo -, ou compartilho o servidor com alguém abusivamente fazendo P2P ou qualquer outra coisa. Minha preocupação é ir abaixo de 400GB / mês.
Alguma dica?
Se estas são a causa do uso da largura de banda, então a largura de banda já é consumida no momento em que você lida com eles em seu sistema. Você pode usar uma ferramenta como o iptraf para mostrar o que está acontecendo em cada interface / porta e, em seguida, tomar as ações apropriadas com base nos fatos.
Não, essas tentativas de conexão única por segundo não adicionam até 4 GB em dez horas. Você acha que poderia baixar um arquivo de 4GB em 10 horas obtendo um pequeno pacote uma vez por segundo? Existem 3600 segundos em uma hora, então se você obtiver um kilobyte por segundo por dez horas, seria 36000 Kb, ou 36 megabytes.
Sua largura de banda é medida de acordo com o que vai pelo canal do seu provedor até o roteador externo, não o que chega ao seu servidor. Você tem que olhar para a porcaria que não está chegando ao seu servidor, que a parte mais externa do equipamento está rejeitando.
No que diz respeito ao que alcança seu servidor, você não pode confiar nos logs de aplicativos. Até mesmo pacotes que são descartados pelo firewall local são de largura de banda. As estatísticas da interface (mostradas por ifconfig ) informam os bytes Tx / Rx.
Tags linux bandwidth-control