Este poderia ser um ataque DOS?

3

Estou um pouco fora de mim aqui (somos uma empresa razoavelmente pequena, sou um desenvolvedor de software preso ao fazer sysadmin quando necessário), mas pensei em perguntar às pessoas inteligentes da ServerFault sobre o meu problema antes de ligarmos para a nossa empresa de suporte de TI de terceiros.

Estamos experimentando um enorme pico de tráfego no momento, semelhante a um pico que experimentamos em outubro, que desapareceu sozinho. Se você vir o monitor de uso da internet do nosso provedor:

Vocênotaráquenosúltimos2,5diasestivemosmaximizandonossaconexãoADSL2(~20mbps).Ironicamente,foiodiadaAustrália(feriado)paraumdessesdias.

NóspossuímosumappliancedeInternetFortinetFortigatequefaznossaconectividadederegistroeinternet.Aquiestáoinstantâneodonossouso:Estefoitiradoontem:

Este hoje:

Vocêveráqueaconexãoestavanolimitemáximoatéchegarmosaoescritórionamanhãdeontem,entãoestavapraticamentenomáximo(muitomaiordoqueonormal,comovocêprovavelmentepodecolherdaimagemdahistóriamensaldointernode)atésairmoseentãocomeçou100%deusonovamente.Finalmente,porvoltade11anos,oInternodefinalmentenoscobriu(estranho,dadoquetínhamosultrapassadonossolimitenosúltimosdoisdias).

TemosumaassinaturadoFAMS,oserviçoon-linederegistroserelatóriosdaFortinet.TambémtemosnossoFortigateexportarnossoslogsparaumservidorsyslog.EuolheiparaoFAMSeéissoqueomelhorusodoserviçopelologdedestinoseparece:

Como você pode ver, há apenas cerca de 8 ou 9 registrados lá, o que é normal para nós, pelo menos não é perto de 167GB que estamos usando o Internode.

Isso me intriga - claramente o appliance Fortigate tem algum tipo de log do tráfego, já que o instantâneo de utilização está lá, mas nos logs detalhados (os syslogs não mostram muito, mas não sei como analisar de uma forma eficiente, acabei de vê-los fluir) não há nada.

A minha pergunta é, alguma ideia de que tipo de tráfego isto poderia ser? Eu estou pensando, talvez, que o Fortigate não incomoda o registro de certos tipos de tráfego (ICMP?) E estamos sendo DOS através desse tipo de tráfego. Devo mencionar que temos URLs publicamente acessíveis que são protegidos por senha, mas nossos uploads não estão incluídos em nossa cota, então não acho que seja isso.

Alguma dica de onde devo procurar? Ou devo apenas chamar as grandes armas (ou talvez apenas esperar até que ele desapareça como da última vez ...)

EDIT: Aqui está outro relatório da FAMS, este é um dos meus pedidos na web, infelizmente eu não posso obter um relatório em todas as portas para isso:

    
por RodH257 28.01.2011 / 00:22

3 respostas

4

Este link me apontou a resposta: link

O problema foi o adobe updated e o nosso roteador fortigate não gostou um do outro, causando um loop infinito. Eu teria pensado que esse tipo de coisa deveria aparecer nos logs do firewall, mas eu dei uma olhada na versão 'pedidos' em vez de megabytes e um computador estava tentando ir para a Adobe para atualizações.

Olhando para o tópico, este foi o problema:

  • O computador estava tentando atualizar automaticamente adobe
  • O Adobe inicia o download do arquivo de atualização
  • O Fortigate tem a verificação de vírus http, armazena em cache o arquivo e obtém pronto para verificação de vírus
  • A Adobe acha que o atraso significa que o download não funcionou, então ele recolhe e pede novamente
  • Isso continua, o arquivo nunca chega ao PC cliente, o que significa que nunca é realmente registrado no registros completos de fortinet.

Pelo menos é algo nesse sentido, por enquanto eu desliguei a verificação de vírus dos pedidos HTTP. Mas vou olhar apenas para bloquear o adobe de tudo, ou modificar as configurações do scanner.

Obrigado a todos pela sua ajuda - eu agradeço!

    
por 28.01.2011 / 08:12
1

Pergunta:

No seu servidor - você está vendo uma tonelada de endereços IP nos logs repetidas vezes ... E eles estão todos puxando o mesmo arquivo ou consulta ...

Geralmente um dos terá algum fluxo para ele que você pode seguir se entrar nos logs

para uma verificação temporária (ou de permutação -) em um firewall fora de sua rede) Isso pode ajudar se for um ddos

www.CloudFlare.com - nós usamos isso para um site altamente político sobre terrorismo. O site não tem visto um DDOS agora por mais de 4 meses - e nós costumávamos batalhar literalmente a cada semana.

Boas notícias - é grátis -) e, embora seja um firewall, geralmente também funcionará como um serviço gratuito de CDN.

    
por 28.01.2011 / 06:18
0

O histórico de tráfego mostra o tráfego intenso como entrada na interface da WAN e o gráfico mostra a maior parte do tráfego como sendo HTTP. Você verificou quais são os endereços IP de destino? Eles são servidores web, servidores de streaming de mídia, etc? Poderia ser alguém em seu escritório fazendo download de arquivos da internet, streaming de músicas ou vídeos, etc? Eu ficaria muito surpreso se um ataque DOS fosse capaz de aumentar tanto tráfego. Você consegue ver os endereços IP de origem e de destino no gráfico? Isso lhe daria uma ideia melhor do que está acontecendo.

    
por 28.01.2011 / 01:00