Nguyên nhân có thể xảy ra đối với lưu lượng truy cập trong nước cực kỳ thấp và lưu lượng truy cập ra ngoài cao là gì?

Hôm qua máy chủ Digital Ocean của chúng tôi đã gặp phải thứ gì đó trông giống như một cuộc tấn công. Lưu lượng truy cập đi ra đột ngột tăng lên 700Mb / giây, trong khi lưu lượng truy cập trong nước ở mức khoảng 0,1Mb / giây và không tăng dù chỉ một lần. Lưu lượng truy cập kéo dài trong vài phút cho đến khi Digital Ocean cắt máy chủ của chúng tôi khỏi mạng với giả định chúng tôi đang thực hiện DoS (điều này hợp lý).

Tôi có hai giả định: hoặc ai đó đã xâm nhập vào máy chủ của chúng tôi (sau cuộc tấn công tôi nhận ra đồng nghiệp của mình đã kích hoạt đăng nhập SSH bằng mật khẩu) hoặc có một loại tấn công mà tôi không biết.

Bất cứ ai có thể làm rõ tình huống này cho tôi? Nếu thực sự có một loại DoS mà lưu lượng truy cập trông như thế, xin vui lòng giáo dục tôi.

Một khả năng có thể là một cuộc tấn công khuếch đại. Ví dụ: nếu bạn đang chạy trình phân giải DNS đệ quy mở (có các giao thức khác bạn có thể thực hiện việc này), bạn có thể nhận được gói UDP rất nhỏ có địa chỉ IP giả mạo. Máy chủ của bạn sau đó tạo ra một phản hồi lớn và gửi nó cho nạn nhân, nghĩ rằng đó là một yêu cầu hợp pháp.

Một khả năng khác là ai đó đã xóa dữ liệu khỏi mạng của bạn. Nếu ai đó đã vào máy chủ của bạn và đang giảm tải từng byte họ có thể tìm thấy, thì nó cũng sẽ như vậy.

Không có cách nào để biết đó là ai mà không cần điều tra, và hy vọng rằng bất cứ điều gì đã xảy ra đều để lại bằng chứng. Nếu đó là cái thứ hai (exfiltration) thì có lẽ họ đã xóa dấu vết của họ một cách tốt nhất có thể.

Tôi đồng ý với khả năng của một cuộc tấn công khuếch đại. Cách đơn giản nhất để xử lý việc này là sử dụng tường lửa đám mây miễn phí của DigitalOcean .

Chỉ cho phép SSH, HTTP và HTTPS gửi đến. Nếu có thể, chỉ cho phép SSH từ các IP đáng tin cậy của bạn.

Bạn có thể làm điều này bằng cách sử dụng tường lửa trên máy ảo của mình, giải pháp của DO chỉ đơn giản hơn.

Bạn nên hỏi Digital Ocean. Họ không tắt máy chủ chỉ vì lưu lượng truy cập cao: điều đó sẽ đóng cửa hầu hết các máy chủ. Ví dụ, một máy chủ web lưu trữ một cái gì đó phổ biến.

Thay vào đó, họ đóng cửa máy chủ của bạn vì bản chất lưu lượng truy cập của bạn trông độc hại. Như vậy, có lẽ họ có một số ý tưởng đó là gì.

Nếu không, bạn sẽ phải tự điều tra. Có lẽ nếu máy chủ vẫn đang chạy thì nó vẫn cố gửi lưu lượng đang bị Digital Ocean bỏ. Trong trường hợp đó, bạn có thể quan sát nó với một bãi chứa gói. Hoặc bạn có thể tìm thấy manh mối trong nhật ký hệ thống. Nó có thể là một trong số một triệu điều không may, vì vậy suy đoán về nguyên nhân cơ bản vắng mặt một cuộc điều tra như vậy là vô ích.