web-dev-qa-db-ja.com

インバウンドトラフィックが非常に少なく、アウトバウンドトラフィックが多い場合、考えられる原因は何ですか。

昨日、Digital Oceanサーバーが攻撃のように見える何かに遭遇しました。送信トラフィックは突然700Mbpsに増加しましたが、受信トラフィックは約0.1Mbpsのままで、一度も増加しませんでした。トラフィックは、Digital OceanがDoSを実行していると想定して(これは妥当です)、Digital Oceanがサーバーをネットワークから切断するまで数分間続きました。

私は2つの仮定を持っています。誰かが私たちのサーバーにハッキングした(攻撃の後で同僚がパスワードでSSHログインを有効にしたことに気付いた)か、または知らない種類の攻撃があるかです。

誰かがこの状況を解決してくれますか?確かにそのようなトラフィックのようなDoSがある場合は、教えてください。

考えられる可能性の1つは、増幅攻撃です。たとえば、オープンな再帰DNSリゾルバーを実行している場合(ただし、これを行うことができる他のプロトコルがあります)、偽装されたIPアドレスを持つ非常に小さなUDPパケットを受信する可能性があります。次に、サーバーは大きな応答を生成し、それを正当な要求であると考えて被害者に送信します。

別の可能性は、誰かがあなたのネットワークからデータを引き出していたということです。誰かがあなたのサーバーに侵入して、彼らが見つけることができるすべてのバイトをオフロードしているなら、それも同様に見えます。

調査を行わず、何が起こっても証拠が残ることを期待せずに、それがどれであるかを知る方法はありません。後者(流出)の場合、彼らはおそらく彼らのトラックをできる限りクリアしたでしょう。

20
Mark Henderson

増幅攻撃の可能性に同意します。これを処理する最も簡単な方法は、 DigitalOceanの無料クラウドファイアウォール を使用することです。

SSH、HTTP、およびHTTPSインバウンドのみを許可します。可能であれば、信頼できるIPからのSSHのみを許可してください。

VMのファイアウォールを使用してこれを行うことができます。DOのソリューションはより簡単です。

10
Mike M

あなたはデジタルオーシャンに尋ねるべきです。アウトバウンドトラフィックが多い場合にのみサーバーをシャットダウンするわけではありません。ほとんどのサーバーがシャットダウンされます。たとえば、人気のあるものをホストしているWebサーバー。

むしろ、トラフィックの性質が悪意があるように見えるため、サーバーをシャットダウンします。そのため、彼らはおそらくそれが何であったかについて何らかの考えを持っています。

それ以外の場合は、自分で調査する必要があります。おそらく、ホストがまだ稼働している場合でも、Digital Oceanによってドロップされているトラフィックを送信しようとしています。その場合は、パケットダンプで確認できます。または、システムログで手掛かりを見つけることができる場合があります。残念ながら100万件ある可能性があるため、このような調査が行われていない根本的な原因を推測することは無駄です。

5
Phil Frost