Qual é a causa provável do tráfego de entrada extremamente baixo e do tráfego de saída alto?

9

Ontem, nosso servidor do Oceano Digital encontrou algo que parecia um ataque. O tráfego de saída aumentou repentinamente para 700 Mbps, enquanto o tráfego de entrada permaneceu em torno de 0,1 Mbps e não aumentou nem uma vez. O tráfego durou vários minutos até a Digital Ocean desligar o servidor da rede, supondo que estamos executando um DoS (o que é razoável).

Eu tenho duas hipóteses: alguém invadiu nosso servidor (depois do ataque eu percebi que meu colega tinha habilitado o login SSH com senha) ou há algum tipo de ataque que eu não conheço.

Alguém pode esclarecer esta situação para mim? Se de fato existe uma espécie de DoS cujo tráfego se parece com isso, por favor, me instrua.

    
por Krzysztof Kraszewski 10.04.2018 / 12:07

3 respostas

20

Uma possibilidade provável é um ataque de amplificação. Se você estiver executando um resolvedor de DNS recursivo aberto (há outros protocolos com os quais você pode fazer isso), por exemplo, você pode receber um pacote UDP muito pequeno que tenha um endereço IP falsificado. Seu servidor gera uma resposta grande e a envia para a vítima, pensando que é uma solicitação legítima.

Outra possibilidade é que alguém esteja exfiltrando dados da sua rede. Se alguém entrasse em seu servidor e descarregasse todos os bytes que pudessem encontrar, ele também seria assim.

Não há como saber qual foi sem fazer uma investigação e esperar que o que aconteceu tenha deixado evidências. Se é o último (exfiltração), então eles provavelmente limparam seus rastros o melhor que puderam.

    
por 10.04.2018 / 13:16
10

Concordo com a possibilidade de um ataque de amplificação. A maneira mais simples de lidar com isso é usar o firewall de nuvem gratuito da DigitalOcean .

Permitir somente SSH, HTTP e HTTPS de entrada. Se possível, permita apenas o SSH dos seus IPs confiáveis.

Você pode fazer isso usando o firewall na sua VM, a solução do DO é mais fácil.

    
por 10.04.2018 / 16:28
5

Você deveria perguntar ao Oceano Digital. Eles não desligam os servidores apenas para tráfego de saída alto: isso desligaria a maioria dos servidores. Por exemplo, um servidor da Web que hospeda algo popular.

Em vez disso, eles encerram o servidor porque a natureza do seu tráfego parece mal-intencionada. Como tal, eles provavelmente têm alguma ideia do que era.

Caso contrário, você terá que investigar a si mesmo. Talvez, se o host ainda estiver em execução, ele ainda esteja tentando enviar tráfego que está sendo descartado pelo Oceano Digital. Nesse caso, você poderá observá-lo com um despejo de pacotes. Ou você pode encontrar pistas nos registros do sistema. Pode ser qualquer um de um milhão de coisas, infelizmente, especulando sobre a causa subjacente ausente, tal investigação é fútil.

    
por 10.04.2018 / 17:56